情報セキュリティの取り扱いPRIVACY POLICY

第1条（目的）

本規程は、農業生産法人　株式会社ミヤモトオレンジガーデン（以下「会社」という。）が所有又は管理する全ての情報資産の機密性、完全性及び可用性を確保し、適切な管理を行うために必要な事項を定め、会社の保有する情報資産に係る安全性及び信頼性の向上を図ることを目的とする。

第2条（定義）

本規程において、次に掲げる用語の定義は、以下に定める通りとする。なお、本規程で定義されていない各用語の定義は関連する社内規程の定義に従うものとする。

「情報資産」とは、会社の技術、営業、人事、財務、組織その他の事項に関する一切の情報（書面又は電磁的記録を含む。）と、それらの情報を利用するために会社が所有又は管理するための手段（コンピュータ等のハードウエア、ソフトウェア、サーバ、ネットワーク機器、外部記憶媒体等を含むがこれらに限らない。）をいう。
「情報システム」とは、会社が所有又は管理する情報処理及び通信に係るシステムをいう。
「情報セキュリティ」とは、情報の機密性、完全性及び可用性を確保することをいう。
「機密性」とは、情報資産に関して、アクセスを許可された従業者だけがこれにアクセスできる特性をいう。
「完全性」とは、情報資産が破壊、改竄、又は消去されることなく完全である特性をいう。
「可用性」とは、情報資産に関して、アクセスを許可された従業者が、適時に支障なく使用できる特性をいう。
「情報セキュリティ対策」とは、情報セキュリティを確保するために必要な措置をいう。
「従業者」とは、会社の組織内にあって直接間接に会社の指揮監督を受けて会社の業務に従事している者をいい、会社の従業者（正社員、契約社員、臨時社員、嘱託、パートタイマー、第三者から派遣された派遣社員、会社への出向社員及び会社からの出向社員、その他会社と雇用契約又はそれに準ずる関係にある者）と会社の取締役、監査役、執行役員、理事、監事及び顧問等をいう。
「秘密情報」とは、情報資産のうち、不正競争防止法第2条6項に定める営業秘密及びこれと同等レベル以上で取り扱われる経営、財務及び人事等にかかる情報で、許可された管理責任者以外の閲覧が禁止される情報及び各部門の管掌役員及び管理責任者が、重要又は秘密の情報としての取扱いを指示する情報で、当該管理責任者等のほか、許可された従業者のみが定められた方法で閲覧・利用することのできる情報をいう。

第3条（情報セキュリティ管理体制）

会社における情報セキュリティ管理体制は、以下に定める通りとする。

代表取締役は、情報セキュリティ対策に関する施策の決定及び情報セキュリティ管理等に従事する従業者として情報セキュリティ統括責任者の任命等を行い、情報セキュリティ対策に関する責任体制の確立、運用及び改善のために必要な資源を用意する。
情報セキュリティ統括責任者は、情報セキュリティに関する施策及び情報セキュリティ管理等に関する権限と責務を有し、これらを統括し、情報資産に係る情報セキュリティ対策の適切な確保に努め、情報セキュリティ管理責任者に対して必要かつ適切な監督を行う。
情報セキュリティ管理責任者は各部門の長とし、会社の情報セキュリティ対策が円滑に遂行できるよう、本規程及び関連する社内規程に従って、各部門が所管する情報資産に係る情報セキュリティ対策の実施及び改善の活動を管理・監督する。
本規程に定める事項に関する主管部門は管理部とする。

第4条（適用範囲）

本規程は、当社の情報資産を取り扱う全ての従業者に適用される。

第5条（情報資産の取扱い）

1.従業者は、情報資産の取扱いに関して、本規程及び関連する社内規程の定めについて理解し、遵守しなければならない。
2.従業者は、業務上取り扱う情報資産及び情報資産の取扱いの中で上知り得た情報を、業務目的以外に使用してはならず、かつ、会社の指示又は許可なく、第三者に開示又は漏洩してはならない。また、従業者は他部署や取引先等に対し重要情報、秘密情報の詮索をし、又はその提供を強要してはならない。
3.従業者は、入社時及び退職時等に会社から秘密情報に関する事項を含む会社が定める誓約書の提出を求められた場合、会社が定める期日までに提出しなければならない。

第6条（教育研修）

情報セキュリティ統括責任者及び情報セキュリティ管理責任者は、本規程の内容等を周知徹底させるため、会社の情報資産を取り扱う従業者に対し、適切な教育研修を計画立案し、以下の各号に定める内容に従い、実施するものとする。

情報セキュリティ統括責任者は、原則として年に一度、会社の情報資産を取り扱う全ての従業者に対し、情報セキュリティに関する説明会を実施する。
情報セキュリティ統括責任者は、情報セキュリティ違反者に対して、情報セキュリティの再教育を実施し、当該違反の再発防止に努めなければならない。
情報セキュリティ管理責任者は、新入社員、中途採用者に対して、入社時に情報セキュリティ教育を計画、実施しなければならない。
情報セキュリティ管理責任者は、社内異動者に対して、異動時に、当該部門の情報セキュリティに関して教育を計画、実施しなければならない。
情報セキュリティ管理責任者は、契約社員その他の業務委託先等に対して、当該部門の情報セキュリティに関して、許可された権限と責務に応じた教育を計画、実施しなければならない。

第7条（業務委託先の管理）

1.情報セキュリティ管理責任者は、その業務の遂行上必要な場合に限り、業務委託先の選定、委託業務の遂行状況の監督調査等を行った上で、会社の審査に合格することを条件に、情報資産に係る業務の一部又は全部を委託することができる。但し、この場合、委託する業務内容は、職務遂行上必要な範囲に限るものとし、業務委託先における守秘義務及び複製物の取扱い方法を含む、情報資産の情報セキュリティを規定した秘密保持契約又は秘密保持条項を含む契約書を、業務委託先と締結し、これを履行させなければならない。
2.情報セキュリティ管理責任者は、業務委託先に情報資産に係る業務の一部又は全部を委託した場合、当該業務終了後の情報資産及びその複製物の返却・廃棄等の適切な処理の実行に関し責任を負うものとし、最終処理結果については、文書等により確認しなければならない。

第8条（貸与PC等の取扱い）

1.従業者は、会社から貸与又は支給されたPC等（以下「貸与PC等」という。）を使用するものとし、貸与PC等の貸与時にインストール又は設定されたソフトウェアを用いるものとする。
2.従業者は、貸与PC等にパスワードを設定する等、貸与物品及び情報等を善良な管理者の注意をもって使用及び管理し、職務遂行上必要な範囲を超えて使用してはならない。
3.従業者は、情報セキュリティ管理責任者の許可なく、貸与PC等以外のPC等を会社に持ち込み、又は使用してはならない。
4.従業者は、情報セキュリティ管理責任者の許可なく、貸与PC等を独自に改変し、又はインストールされていないソフトウェアを追加し、若しくは設定されているウイルス対策ソフト等を変更・削除してはならない。但し、当該従業者が書面又は電磁的方法により申請を行い、情報セキュリティ管理責任者が業務上必要であると認め、その使用を許諾する場合はこの限りでない。
5.従業者は、貸与PC等について、情報セキュリティ管理責任者の指示に従い、OSの最新化やセキュリティパッチの適用等、必要な対策を適時に講じなければならない。
6.情報セキュリティ管理責任者は、所管する部内にある貸与PC等の利用目的が終了した場合、速やかに管理部に通知し、返却しなければならない。なお、従業者が退職する場合、原則として本人が退職する前に、管理部の責任者又はその指示する者が当該退職者の貸与PC等についてその利用状況を点検する。

第9条（不正利用の防止に関する措置）

1.従業者は、貸与PC等が第三者に不正利用されないよう、貸与PC等を一定時間以上使用しない場合、スクリーンセーバー等の保護機能を有効に機能させる。
2.安全管理上、貸与PC等に設定するパスワードは、以下の各号に定める方法により設定するものとする。

氏名等の個人情報からは推測できなこと。
英単語等をそのまま使用していないこと。
英数字混在であること。
適切な長さの文字列であること。
類推しやすい並び方やその安易な組合せにしないこと。

第10条（貸与PC等での秘密情報の取扱い）

1.従業者は、貸与PC等で秘密情報を取り扱う場合には、情報セキュリティ管理責任者に対し許可を得なければならず、万一の漏洩に備え、暗号化等の対策を実施しなければならない。
2.従業者は、情報セキュリティ管理責任者の許可なく、秘密情報を外部記憶媒体に保存してはならない。但し、業務遂行上、従業者に外部記憶媒体を使用させる場合、全て情報セキュリティ管理責任者が指定する方法で暗号化しなければならず、情報セキュリティ責任者が全て管理し、使用後は返却を受けるものとする。

第11条（情報資産の使用、持出等）

従業者は、秘密情報が記載された文書、資料又はデータ等を原則として社外に持出してはならない。但し、業務遂行上、外部への持出しが必要な場合、事前に情報セキュリティ管理責任者にその目的、情報内容を示して承認を得るものとし、盗難や紛失が発生しないよう、十分に注意しなければならない。

第12条（セキュリティ区画）

1.情報システム統括責任者は重要度の高い情報資産を配置したサーバールーム等のセキュリティ区画及び施設（以下「セキュリティ区画」という。）については、入室可能者を制限するよう体制及び手順を整備する。
2.セキュリティ区画においては、ＩＣカード、ナンバーキー等による入退室管理システムの設置及びセキュリティ区画へ持ち込むコピー機、FAX、プリンタ等、情報の複写や送信のための設備機器等の制限等の措置を講じる。
3.セキュリティ区画は、危険物保管場所、火気施設、水道設備等、災害のリスクの大きい場所からは遠ざけて設置しなければならない。
4.セキュリティ区画は、従業者の不在時には施錠しなければならない。
5.セキュリティ区画においては、情報システム統括責任者又はその指示する者の許可なく撮影・録音を行ってはならない。
6.セキュリティ区画においては、作業に必要のないPC、カメラ、スマートフォン等の機器を持ち込んではならず、持ち込んだ場合は、速やかに撤去しなければならない。
7.セキュリティ区画の環境（機器・設備の有無、配置、利用状況等）は定期的に点検しなければならない。

第13条（事務・通信機器の取扱い）

1.従業者は、ホワイトボード等への書き込み内容を使用後に必ず消去し、放置してはならない。
2.従業者は、コピー機、FAX、プリンタ等の入出力書類を放置してはならない。
3.従業者は、FAX等の送信時には必ず宛先を確認し、誤送信を防止しなければならない。

第14条（搬入物の受け渡し）

1.搬入物の受渡しについては、受渡し場所を設置し、セキュリティ区画とは分離しなければならない。
2.受渡し場所への外部の事業者のアクセスは、必ず従業者の同伴で行い、当該受渡し場所への入退室等を記録しなければならない。
3.郵便物の受入れ場所には盗み見や抜き取りを防止する対策を行わなければならない。

第15条（情報システムの設置、保全、障害対策等）

情報システムを所管する管理部は、以下の各号に定める内容に従い、情報システムの設置、保全、障害対策等を実施する。

情報資産が第三者による不正利用や、情報の改竄が行われないようファイアウォール、ルータ、OS、サーバ及びその他関連装置を含む情報システムのIT基盤を適切に設置し、その記録を保存する。
情報システムに対して、故障・障害等が発生しないように定期保守等を実施しなければならない。
情報システム上のデータに対して、重大な誤操作や災害によるデータの毀損等に備え、定期的にバックアップを取得し、安全の確保された場所に保全しなければならない。

第16条（インターネット接続環境の整備）

情報システムを所管する管理部は、以下の各号に定める内容に従い、インターネット接続環境、社内ＬＡＮ環境、社内ＷＡＮ環境、リモート接続環境において、本規程の遵守事項が適切に実施されているか定期的に確認する。

ネットワーク機器の追加、撤去や設定の変更に伴う構成管理が、変更履歴やコンフィグファイルの日時から適切に行われていることを確認する。
インターネット、社内ＷＡＮ、及び社内ＬＡＮ等の重要な機器においては、アクセスログ、システムログが取得できていることを実際に確認する。
アクセスログ、システムログなどを定期的に解析し、異常やインシデントに結びつく危険な兆候を検出した場合は、本規程及び関連する社内規程に従い適切に対応しているか確認する。
アクセス制御について定期的に見直しを行い、必要であれば適切にアクセス制御を見直し、設定を変更しているか確認する。
ネットワーク機器のソフトウェア、ファームウェアなどに対するパッチが提供されたとき、適用による影響、適用しないことによる影響を整理したうえで計画を立て、パッチ適用が行われているか、また、適用が不可能な場合、代替策を講じているか確認する。
ネットワーク管理用のＩＤ及びアクセス権、及びネットワーク管理者、オペレータの棚卸を定期的に行っていることを確認すること。
担当者の異動、退職があった場合は、そのＩＤの利用を速やかに停止し、パスワードを遅滞なく変更していることを確認する。

第17条（ウイルス対策及び不正アクセスの防止等）

情報システムを所管する管理部は、以下の各号に定める内容に従い、ウイルス対策及び不正アクセスの防止等を実施する。

インターネットからのＷｅｂ通信やメールの添付ファイルを利用したマルウエア、不正ソフトウェアの攻撃に対するマルウエア対策として、機器設定等を常に最新の状態に維持する。
インターネットから直接アクセス可能なＩＰを持つ機器に対し、定期的に脆弱性検査を行い、検出した脆弱性に対し計画を立て、改善する。
インターネット接続環境と社内ＬＡＮとの境界には、ファイアウォールを設置し、外部からの不正アクセスの対策を実施する。

第18条（漏洩等に対する措置）