ダークモード

従業員向けセキュリティガイドライン

関連方針: 情報セキュリティ方針情報の許容される利用方針

関連管理策: A.5 組織的管理策A.6 人的管理策A.7 物理的管理策A.8 技術的管理策

1. 目的

本ガイドラインは、{{組織名}}の全従業員が日常業務において遵守すべき情報セキュリティルールを定めることを目的とする。

2. 適用範囲

本ガイドラインは、以下の者に適用する:

  • {{組織名}}の全従業員(正社員、契約社員、パート・アルバイト)
  • 派遣社員
  • 業務委託先のうち、当社施設内で業務を行う者

3. 入社時のセキュリティ責任

3.1 秘密保持義務 (A.6.6)

入社時に以下の事項を理解し、誓約すること:

  • [ ] 業務上知り得た情報を第三者に漏らさない
  • [ ] 退職後も秘密保持義務が継続することを理解する
  • [ ] 秘密保持誓約書に署名する

3.2 セキュリティ教育の受講 (A.6.3)

入社後、以下の教育を受講すること:

  • [ ] 情報セキュリティ基礎研修(入社後 {{期間}} 以内)
  • [ ] 本ガイドラインの内容確認
  • [ ] 部門別セキュリティ研修(該当する場合)

3.3 利用規約への同意 (A.6.2)

以下の規約・方針を確認し、同意すること:

  • [ ] 情報セキュリティ方針
  • [ ] 情報の許容される利用方針
  • [ ] 個人情報保護方針

4. 在職中の遵守事項

4.1 情報の取扱い (A.5.12, A.5.13, A.5.14)

情報の分類

情報は以下のように分類される。分類に応じた取扱いを行うこと:

分類定義取扱いの例
極秘漏洩により重大な損害が発生する情報経営戦略、M&A情報、重要顧客情報
社外秘社外への開示を禁止する情報社内システム情報、従業員情報、契約情報
関係者限り特定の関係者のみに開示する情報プロジェクト情報、部門内情報
公開公開しても問題のない情報プレスリリース、公開Webサイト情報

遵守事項

  • 情報の分類に応じたラベル(表示)を付けること
  • 分類に応じた保管・送信方法を使用すること
  • 不明な場合は上長または ISMS 管理者に確認すること

4.2 パスワード管理 (A.5.17)

パスワードの要件

  • 最低 {{文字数}} 文字以上
  • 英大文字・英小文字・数字・記号を組み合わせる
  • 推測されやすいパスワード(氏名、生年月日、連続した数字等)は使用しない
  • 他のサービスと同じパスワードを使い回さない

禁止事項

  • パスワードを他人に教えない
  • パスワードをメモに書いて放置しない
  • パスワードをメールや チャットで送信しない

4.3 クリアデスク・クリアスクリーン (A.7.7)

クリアデスク

  • 離席時・退社時は、機密文書を施錠可能な場所に保管する
  • 机上に機密情報を放置しない
  • 不要な書類はシュレッダーで処分する

クリアスクリーン

  • 離席時は必ず画面をロックする({{ショートカットキー}})
  • {{時間}}分以上操作がない場合、自動でスクリーンロックされる設定を維持する
  • ログイン状態のまま席を離れない

4.4 端末・デバイスの管理 (A.8.1)

会社支給端末

  • 業務目的以外に使用しない
  • 許可されていないソフトウェアをインストールしない
  • OS・ソフトウェアのアップデートを適用する
  • ウイルス対策ソフトを無効化しない

私用デバイス(BYOD)

  • 会社が許可した場合のみ業務に使用できる
  • 使用する場合は BYOD 申請を行う
  • 会社のセキュリティ要件を満たすこと

4.5 リモートワーク (A.6.7)

リモートワーク時は以下を遵守すること:

  • [ ] 会社が指定した VPN を使用して接続する
  • [ ] 公共の Wi-Fi は使用しない(使用する場合は VPN 必須)
  • [ ] 第三者に画面を覗かれない環境で作業する
  • [ ] 機密情報を印刷しない(やむを得ない場合は使用後シュレッダー処分)
  • [ ] 家族等と共用する端末で業務を行わない
  • [ ] 業務終了後は会社システムからログアウトする

4.6 記憶媒体の取扱い (A.7.10)

USB メモリ等の外部記憶媒体

  • 会社が許可した媒体のみ使用する
  • 暗号化されていない媒体で機密情報を持ち出さない
  • 使用後は確実にデータを消去する
  • 紛失した場合は直ちに報告する

クラウドストレージ

  • 会社が許可したサービスのみ使用する
  • 個人アカウントに業務データを保存しない
  • 共有設定は必要最小限にする

4.7 構外での資産管理 (A.7.9)

社外に会社の資産(PC、書類等)を持ち出す場合:

  • [ ] 持ち出し申請を行い、承認を得る
  • [ ] 移動中は常に手元に置く(車内放置、預け入れ荷物等は禁止)
  • [ ] 暗号化・パスワード保護を確実に行う
  • [ ] 盗難・紛失に備えて最小限の情報のみ持ち出す

5. セキュリティ事象の報告 (A.6.8)

5.1 報告すべき事象

以下の事象を発見・認識した場合は、速やかに報告すること:

  • PC・スマートフォン・USB メモリ等の紛失・盗難
  • 不審なメール(フィッシング、マルウェア添付等)の受信
  • 不正アクセスの疑い(身に覚えのないログイン通知等)
  • ウイルス感染の疑い
  • 情報漏洩の可能性
  • その他セキュリティ上の問題

5.2 報告方法

連絡先連絡方法
ISMS 管理者{{連絡先}}
情報システム部門{{連絡先}}
緊急時(夜間・休日){{連絡先}}

5.3 報告後の対応

  • 指示があるまで、該当する機器の使用を停止する
  • 証拠となる情報(画面キャプチャ、メール等)を保全する
  • 事実関係を正確に伝える
  • 調査への協力を行う

注意: 報告を行ったことで不利益を受けることはありません。速やかな報告が被害拡大の防止につながります。

6. 退職・異動時の義務 (A.5.11, A.6.5)

6.1 資産の返却

退職・異動時には、以下の資産を返却すること:

  • [ ] 会社支給 PC・スマートフォン
  • [ ] 入館証・セキュリティカード
  • [ ] 鍵
  • [ ] 業務で作成・取得した資料(紙・電子データ)
  • [ ] その他会社から貸与された物品

6.2 アクセス権の返上

  • 業務システムのアカウントは退職日に無効化される
  • 退職前に私用データを会社システムから削除しておくこと
  • 業務データの私的コピーは禁止

6.3 継続する秘密保持義務

退職後も以下の義務が継続する:

  • 在職中に知り得た機密情報の秘密保持
  • 秘密情報を利用した競業行為の禁止(就業規則による)
  • 違反した場合は損害賠償請求の対象となる可能性がある

7. 違反時の対応 (A.6.4)

本ガイドラインに違反した場合、以下の対応がとられる可能性がある:

  1. 注意・指導: 軽微な違反に対する口頭または書面での注意
  2. 再教育: セキュリティ研修の再受講
  3. 懲戒処分: 就業規則に基づく処分(重大な違反の場合)
  4. 損害賠償: 故意または重大な過失により損害が発生した場合

8. 関連文書

改訂履歴

日付変更内容承認者
1.0{{発効日}}初版作成{{承認者}}