Professional Documents
Culture Documents
東北工場セキュリティハンドブックRev1 202403131022
東北工場セキュリティハンドブックRev1 202403131022
このハンドブックには、従業者が日々の業務において意識すべき
情報セキュリティのルールが記載されています。
目次
1 情報を適切に取り扱う ........................................................................................................ 2
2 機器や記憶媒体を適切に取り扱う .......................................................................................... 5
3 強固なパスワードを設定し、管理する .................................................................................... 7
4 安全なソフトウェア・Web サービスを利用する........................................................................ 8
5 コミュニケーションツールを安全に利用する............................................................................ 9
6 働く場所のセキュリティについて .........................................................................................10
7 情報セキュリティ事故が発生したときの対応...........................................................................12
改訂履歴
1
1 情報を適切に取り扱う
■ 情報の整理・ラベル付け
分類 整理・ラベル付けのルール
紙 紙媒体をキャビネットや机の引き出しに保管する場合は、平積みにせず、ファイリングして整理する。
電子データ 電子データには、識別を容易にするため、内容が分かるようなファイル名・フォルダ名を付ける。
■ 情報資産の分類
社内の情報は機密性を基準に、以下の表に従って分類する。
区分 定義 例
A 情報:秘 社外に漏えいや消失した場合に、当社に重大な影
個人情報 (顧客情報、人事情報など)
密情報 響が生じる情報
営業秘密の定義
① 「秘密管理性」秘密として管理されている
② 「有用性」生産方法、販売方法その他事業活動に有用な技術上または営業上の情報
③ 「非公知性」公然と知られていないもの
※根拠:不正競争防止法第 2 条第 6 項
営業秘密の具体例
① 技術文書(図面、仕様書 等)
② ノウハウ(要領書、規格要領書 等)
③ 取引先情報(見積、注文書 等)
それぞれの各情報の分類区分は「情報資産管理台帳」に記載する。
2
■ A 情報の取り扱い
媒体 取り扱いルール
ファイリングの上、会社で管理する施錠可能なキャビネットで保管し、個人保有は禁止する。
未整理のままやむを得ず机の引き出しに保管する場合は不在時に施錠し、速やかに整理、ファイリング
する。ファイリングされた紙媒体の背表紙には、識別を容易にするため、
『秘』表示、及び資料名を記入
する。
紙 電子データの紙媒体への印刷は、必要最小限にする。
社外(自宅、コンビニなど)での印刷は原則禁止とする。
目的の利用が終わり次第、また定められた保存期限を過ぎた場合、すみやかにシュレッダーや溶解処理
により破棄する。
裏紙の利用は禁止する。
識別を容易にするため、内容が分かるようなファイル名・フォルダ名を付ける。
社内でも必要最小限の人のみがアクセスできる領域に保管する。
除する。
USB メモリを初めとした外部記憶媒体へのコピーは禁止する。
■ B 情報の取り扱い
媒体 取り扱いルール
セキュリティレベル 2 以上のフロア内で管理する。
電子データの紙媒体への印刷は、必要最小限にする。
紙 社外(自宅、コンビニなど)での印刷は原則禁止とする。
目的の利用が終わり次第、すみやかにシュレッダーや溶解処理により破棄する。
裏紙の利用は禁止する。
識別を容易にするため、内容が分かるようなファイル名・フォルダ名を付ける。
社内の従業者のみがアクセスできる領域に保管する。
電子データ
ローカルにダウンロードする場合は、作業終了後はローカル PC より削除する。
USB メモリを初めとした外部記憶媒体へのコピーは、必要最小限とする。
■ 個人情報の取り扱い
業務で個人情報を扱う場合は、個人情報保護法をはじめとする法令や、ガイドラインを遵守する。
新たに個人情報を取得する業務を開始する場合は、情報セキュリティ管理者、ES 人事総務部長に報告する。
■ 情報のマスキング
情報共有・公開を行うにあたって個人名や社名など伏せる必要がある情報が含まれる場合には、削除や修正、イニシャル化す
るなどの適切なマスキングを行う。
3
間接的に個人を特定することが可能となる情報の利用を行う場合も、情報セキュリティ管理者に相談の上、個人情報保護法の
規定に従い加工を行う。(仮名加工情報1、匿名加工情報2など)
■ 情報の削除
情報資産(紙・データ問わず)の保管は、
「情報資産管理台帳」に規定の保管期間を遵守する。
規定の保管期間を超過した場合は、各媒体の廃棄ルールに従い廃棄・削除を行う。
保管期間中の廃棄、保管期間を超過が必要となる場合は、各情報の管理責任者に相談する。
■ 名刺の取り扱い
媒体 取り扱いルール(共通に加えて)
紙 名刺の原本は、各個人でファイリングし、施錠保管する。
名刺管理ツールで管理する。(顧客の名刺のみ)
電子データ
交換した名刺をスキャンした場合は、共有フォルダに保管する。
1
仮名加工情報 : 他の情報と照合しない限り特定の個人を識別できないように加工した個人に関する情報
2
匿名加工情報 : 特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報
4
2 機器や記憶媒体を適切に取り扱う
会社支給の情報機器端末については、退職時の総本社からの指示に従い返却が必要である。
社内での勝手な転用や貸し借りは禁止とする。
機種の更新、交換の際は古い機器を上長へ返却する。
■ PC の取り扱い
ダウンロードフォルダやゴミ箱は定期的に削除を行う。
一時作業と保管をするフォルダは極力分け、一時作業ファイルは定期的に削除する。
社外への持ち出し時にも必ずパスワード付きのスクリーンセーバーを起動する。
PC から一時的に離れる場合は、画面ロックを手動で実施する。
パスワード付きのスクリーンセーバーが 15 分以内に起動するよう設定する。
情報セキュリティ管理者が許可した PC については例外とする。
業務で用いる PC は、家族や友人などの第三者と共有しない。
■ 私物 PC の取り扱い
私物 PC は、会社に持ち込まない、業務で利用しない。
■ モバイルの取り扱い
会社が支給したモバイルのみを業務で利用する。
パスワードもしくは生体認証(指紋認証や顔認証など)を設定する。
リモートワイプを可能にする設定を行う。
許可されていないアプリをダウンロードしない。公式ストア外のアプリが業務上必要な場合は、情報セキュリティ管理者の許
可を得る。
(開発中のアプリなど提供元を把握した上で業務に必要なアプリケーションはこれに限らない。
)
アプリや OS は、定期的なアップデートを行い、常に最新のバージョンを利用するよう心がける。
私物モバイルは業務で利用しない。
許可されていない業務データを端末内に保存しない。(ダウンロードやスクリーンショット等)
業務で利用するアカウントやライセンスを私用では利用しない。
■ 私物スマートフォンの取り扱い
私物スマートフォンは、オクレンジャー登録業務以外での業務利用を禁止とする。
端末への業務情報の保存は、禁止。
5
■ 外部記憶媒体の取り扱い
分類 取り扱いルール
会社から支給された外部記憶媒体のみを利用する。
る。
利用が終わったら、速やかにメディアシュレッダーなどで物理的に破砕する。
CD/DVD 利用中の外部記憶媒体は、識別を容易にするため内容の記載や、管理番号や管理者のラベルを貼り付け
る。
上記に定められていない外部記憶媒体を利用する場合は、管理部に申請し許可を得る。
■ 機器や紙媒体の輸送
配達の記録が残る輸送サービスを利用する。
電子データの物理的媒体での輸送を行う場合は、輸送中の盗難に備えデータにパスワードをかける、暗号化するなどの対
策を施し、パスワードは別の方法(電話、メールなど)で伝達する。
6
3 強固なパスワードを設定し、管理する
PC は初期に IT 部門により設定されたパスワードを利用する。
パスワードの文字列について
5 桁以上とすること。
英数字をそれぞれ 1 文字以上必ず含めること。
自分の氏名や誕生日など推測されやすい文字列は含まないこと。
辞書に載っているような一般的な単語を利用する場合は記号を含めるなど工夫をする。
別のサービスや過去に利用したパスワードの再利用など、パスワードの使いまわしをしない。
以下に該当するパスワードは、個別の利用方針に従う。
対象 個別の利用方針
ノートパソコン 外部に持ち出す可能性のある端末は月に一度以上は変更する。
数字のみ 4 桁など簡単なパスワードを利用してもよいが、連続した同じ数字や生年月日な
スマートフォン ど推測されやすい数字列・文字列は設定しない。
可能な限り、生体認証(指紋認証・顔認証など)を併用する。
数字のみ 4 桁など簡単なパスワードを利用してもよいが、連続した同じ数字や生年月日な
共有 PC
ど推測されやすい数字列・文字列は設定しない。
■ パスワードの管理
パスワードを紙媒体に記載する場合は、万一、第三者に見られた場合でも簡単にログインされないように工夫する。(サービ
パスワード情報を会社支給機器へ張り付けることを禁止する。
共有端末においては、ウェブブラウザにパスワードを記録させる機能(オートコンプリート機能)は無効化する。情報セキュリ
ティ管理者が許可した PC については例外とする。
7
4 安全なソフトウェア・Web サービスを利用する
■ 利用可能なソフトウェア・Web サービス
「システム・サービス管理表」に記載されていないシステム、サービスを利用する場合は、利用する前に IT 管理者へ利用可
否の確認を行うこと。
各部門において、新たなシステム・サービスを選定する場合は、以下に該当するシステム、サービスおよびソフトウェアを利
用してはならない。
外部からアクセスできない社内ネットワークのシステムは例外とする。
上記に該当するソフトウェア・Web サービスを業務上利用する必要がある場合は、情報セキュリティ管理者に相談し、許可を
得る。
PC のレジストリ情報を意図的に編集可能な、いわゆる「レジストリエディタ」の利用は、原則禁止とする。
ブラウザで警告表示された場合は、警告を無視してアクセスしないよう注意する。
■ ぜい弱性の管理
各従業者の判断のもと定期的にセキュリティパッチやアップデートなどを確認し最新版を利用する。
※緊急性の高いセキュリティパッチについては速やかに適用する。
機器 対象
モバイル端末 OS やアプリ
在宅勤務時に利用する自宅のルータなどは
その他 NW 機器
各従業員の判断のもと、自分で行う必要がある。
■ クラウドサービスの利用方法
クラウドサービスに保管する情報は、適切なアクセス制御のもと保管する。
クラウドサービス上の情報を外部と共有する場合は、利用終了後に適切なアクセス権にする。
設定可能な場合は、多要素認証(端末認証や生体認証)を有効化する。
クラウドサービスのアカウントの適切な利用
会社支給アカウントを私有機器への設定、利用を禁止する。
私有アカウントを会社支給 PC、モバイルへの設定、利用を禁止する。
8
5 コミュニケーションツールを安全に利用する
■ アカウントの適切な利用
会社支給アカウントを私有機器への設定、利用を禁止する。
私有アカウントを会社支給 PC、モバイルへの設定、利用を禁止する。
■ 電子メールの利用
送信前に宛先、メール本文、添付ファイルの再確認、重要な内容の場合は W チェックなどを行いメールの誤送信を防止する。
可能な限りメール添付は行ず、共有フォルダへのリンクやファイル転送ツールを用いてファイル共有を行う。
互いに知られてはいけない相手に一斉送信をする場合は、BCC を活用し、宛先が外部に流出しないよう注意する。
送付先を共有したい場合は、メール本文内に宛先等を明記すること。
業務のメール内容を、私用のメールアドレスに転送しない。
不明な送信元からのメールは、ウイルス感染の恐れがあるため、決して開かない。開封してしまった場合は、本文に記載され
■ チャットの利用
チャットは会社で支給するサービスを利用する。
業務に関するチャットは、各チャンネル(チャットルーム)を利用しダイレクトチャットでは業務内容のやり取りは極力行わな
い。
■ 個人 SNS の利用
広報課と ES 人事総務部の一部の利用は例外とする。
私用アカウントでは以下のことを心がける。
私用アカウントを用いての、業務ファイルの送付は行わない。
業務で入手した非公開情報などの投稿をしない。
会社の執務エリア敷地内で撮影した写真や動画などの投稿は避ける。
親しみやすい内容の投稿を心がけ、過激な表現や喧嘩腰の態度を取ることは避け、会社のブランディングに寄与する。
従業員や顧客や取引先などの情報や画像をアップする場合はあらかじめ先方の許可を得る。
組織の公式見解と異なる内容を発信することは禁止とする。
プロフィール画像や投稿する内容に他者が作成した画像や文章などの著作物を、許可なく無断利用しない。
9
■ Web 会議ツールの利用
パスワードの設定や入室までの待機室の有効化などにより、第三者の不正アクセスを防止する。
カメラによる映り込みを防ぐため、背景をつけるなどの設定を行う。
画面共有を行う際、デスクトップ情報の映り込みや予定していないファイル公開等の
予期せぬ情報漏洩などを防ぐため十分注意をする。
盗み聞きなどにも注意をし、実施場所や機器にも注意を払う。
6 働く場所のセキュリティについて
■ クリアデスク(オフィス・リモート問わず)
机上は常に整理整頓を心がける。
■ セキュリティエリア
オフィスは以下のセキュリティエリアに分け、各エリア内では以下のことを遵守する。
建物のエントランスや搬入品・搬 誰でも利用可能
公共
出品の受渡し場所など、従業員の
エリア PC や業務資料などを放置しない。
みならず部外者が自由に入るこ
(Lv0)
とのできるエリア
ロビー、ミーティングスペース 来訪者が入室する場合は、
るエリア み利用可能する。
執務室や製造工程・材料/製品倉 基本的には従業員のみが利
従業者が許可した来訪者の る。
み入室する。
社内でも特定の部門や関係者の 許可された従業員のみ入室
機密 みが利用するサーバールームな 可能とする
サーバールームでは可燃物を放置
エリア ど、内部ゾーンのなかでも特定の 来訪者が入室する場合は「機
しない。
(Lv3) 重要情報資産を保管・設置するエ 密室入退室記録」に必要事項
リア を記入する。
10
※セキュリティエリアの割り当ては「フロア図」に記載されている。
荷物の受取は、公共エリア内で行う。宅配員が共用エリアに入る必要がある場合は、必ず従業者が帯同する。
■ 社外での業務
社外に PC や書類などの情報資産を持ち出す際は、以下を実施する。
社外に持ち出す情報資産(PC や書類など)は、許可されているもののみとする。
持ち出す PC に保存するデータや持ち出す書類は必要最小限にする。
移動時は、情報資産を電車の網棚や車の中などに放置せず、常に肌身離さず持ち歩く。
新幹線や喫茶店など公共の場での作業は、十分注意し以下のことを遵守する。
常に盗み見に注意し A 情報:秘密情報を開かない。
可能であれば、覗き見防止フィルターを用いて画面を保護する。
トイレなど数分の離席であっても機器の盗難を防ぐため持ち歩く。
ネットワークに接続する場合は、会社が支給する通信端末を利用し、指定された方法で接続を行う。
web 会議や通話などを行う際は、お互いの発言内容が第三者にもれないような場所で行う。
自宅での業務時も来客や同居人などに業務に関する情報が見られないよう配慮をする。
11
7 情報セキュリティ事故が発生したときの対応
■ 情報セキュリティ事象
情報セキュリティ事象を発見した従業者は、ネットワークから切断する。
また、情報セキュリティ管理者、フジキンソフトの各管理担当者に電話にて、すみやかに報告する。
ログを残すために PC の電源は切らない。
情報セキュリティ事象の例
業務データが入った媒体(PC、スマートフォンなど)を紛失した。
メールを誤送信した。
社員証・セキュリティカードを紛失した。
パソコンがウイルス感染した。
不明な差出人からのメールや添付ファイルを開いた。
外部から情報漏えいに関する連絡があった。
(※個人情報の場合:情報セキュリティ管理者、ES 人事総務部の担当者へ連絡する)
自宅でのリモートワーク中にネットワーク接続ができなくなった、PC が故障した場合などはフジキンソフトの各管理担当者
へすみやかに連絡し判断を仰ぐ。
12