×閉じる
西港フェリーターミナル 不動産事業

情報セキュリティ基本方針

(2024年4月1日制定)

1.目的

苫小牧港開発株式会社(以下、「当社」という。)が取扱う情報には、個人情報をはじめ経営上重要な情報等、外部に漏えい等した場合には極めて重大な結果を招く情報が多数含まれている。
これらの守るべき情報や情報を取扱う情報ネットワーク及び情報システム等を、災害、事故、故意及び過失等の様々な脅威から防御することは、安定的な会社経営のためにも必要不可欠であり、ひいては当社に対する取引先や顧客からの信頼の維持向上に寄与するものである。
情報セキュリティ基本方針は、当社の情報セキュリティ対策の基本的な方針として、適用の対象や位置づけ等を定め、当社が保有する情報資産の機密性、完全性及び可用性を維持し、総合的、体系的かつ継続的に情報セキュリティ対策を図ることを目的とする。

2.用語の定義

  1. 情報ネットワーク
    コンピュータを相互に接続するための通信網、接続機器のハードウェア及びソフトウェア並びに電磁的記録媒体で構成され、処理を行う仕組みを情報ネットワークという
  2. 情報システム
    ハードウェア及びソフトウェアで構成されるコンピュータ、情報ネットワーク並びに電磁的記録媒体で構成され、処理を行う仕組みを情報システムという
  3. 情報資産
    次の各号を情報資産という
    ① 情報ネットワークと情報システムの開発・運用に係るすべての情報及び情報ネットワークと情報システムで取扱うすべての情報
    ② ①の情報が記録された紙等の有体物及び電磁的記録媒体
    ③ 情報ネットワーク及び情報システム
  4. 情報セキュリティ
    情報資産の機密性、完全性、可用性を維持することをいう
    ① 機密性
    アクセスを許可された者だけが情報にアクセスできることを確実にすること
    ② 完全性
    情報及び処理方法が、正確であること及び完全である状態を保護すること
    ③ 可用性
    許可された利用者が、必要な場合に、情報及び関連する資産にアクセスできることを確実にすること

3.情報セキュリティ基本方針の位置づけと規程の体系

情報セキュリティポリシーは、当社が保有する情報資産に関する情報セキュリティ対策について、総合的かつ体系的に取りまとめたものであり、情報セキュリティ基本方針と情報セキュリティ対策基準によって構成する。
また、情報セキュリティポリシーに基づき、情報セキュリティ実施手順を策定する。

情報セキュリティ規程の構成

文書名 内容
情報セキュリティ
ポリシー
情報セキュリティ
基本方針
当社が保有する情報資産に関する情報セキュリティ対策の基本的な考え方と方針を規定するものであり、情報セキュリティ対策の頂点に位置する。
情報セキュリティ
対策基準
情報セキュリティ基本方針に基づき、情報セキュリティ対策を統一的に講ずるために、社員等が遵守すべき行為及び判断等の基準を規定する。
情報セキュリティ実施手順 情報セキュリティポリシーに基づき、情報セキュリティ対策を具体的に実施するために、社員等が遵守すべき情報セキュリティ対策の実施手順を、情報資産ごとに具体的に規定する。

4.適用範囲

情報セキュリティポリシーの適用範囲は、以下の各号に示すものとする。

  1. 適用組織
    当社の情報資産を取扱うすべての組織とする
  2. 適用情報資産
    適用組織が所管する情報資産とする
  3. 適用対象者
    適用される情報資産に接する適用組織の役員及び社員(顧問、嘱託社員、契約社員、臨時社員、出向社員、派遣社員を含む。以下、「社員等」という。)、元社員、外部委託業者等、当社の情報資産を取扱うすべての者とする

5.社員等の義務

  1. 遵守義務
    社員等は、情報セキュリティの重要性について共通の認識を持つとともに、当社が保有する情報資産を取扱う際には、不正アクセス行為の禁止等に関する法律や著作権法等の情報セキュリティに関連する法令並びに情報セキュリティポリシー、情報セキュリティ実施手順及び当社の業務で個人情報を取扱う際には、別に定める「個人情報取扱規程」を遵守しなければならない
  2. 懲戒処分等
    本ポリシーに違反した社員等は、その重大性及び発生した事案の状況等に応じて、社員就業規則及び社員表彰・懲戒規則による懲戒処分の対象となる場合がある

6.情報セキュリティ管理体制

当社の保有する情報資産について、適切に情報セキュリティ対策を推進・管理するための体制を確立する。

7.情報資産の分類

当社の保有する情報資産をその内容によって分類し、その重要度に応じた情報セキュリティ対策を講ずる。

8.情報資産への脅威

情報セキュリティ対策を講ずるうえで、特に認識すべき脅威は以下のとおりである。

  1. 本ポリシーに規定する適用対象者以外の第三者による、サイバー攻撃をはじめとする部外者の侵入、不正アクセス、ウイルス攻撃、サービス不能攻撃等の意図的な要因によるデータやプログラムの持出、盗聴、改ざん、消去並びに機器及び記録媒体の盗難等
  2. 社員等による、誤操作又は故意の不正アクセス又は不正操作によるデータやプログラムの持出、盗聴、改ざん、消去並びに機器及び記録媒体の盗難等
  3. 地震、落雷、火災、水害等の災害、事故及び故障等

9.情報セキュリティ対策

当社の保有する情報資産を先に掲げた脅威から保護するため、以下の情報セキュリティ対策を講ずる。

  1. 物理的セキュリティ対策
    情報システムを設置する施設への不正な立入り、情報資産への損傷・妨害等を防ぐため、入退室や機器管理上の物理的な対策を講ずる
  2. 人的セキュリティ対策
    情報資産に接する社員等の情報セキュリティに関する権限や責任等を定めるとともに、すべての社員等に情報セキュリティポリシーの内容を周知徹底するため、教育及び啓発が行われるよう必要な対策を講ずる
  3. 技術的セキュリティ対策
    情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、コンピュータウイルス対策等の技術的な対策を講ずる
  4. 運用セキュリティ対策
    情報セキュリティポリシーの実効性を確保し、情報システム等の稼動状況の監視や情報セキュリティポリシーの遵守状況の確認のため、アクセスログ監査の実施等、運用面における必要な対策及び緊急事態が発生した場合に迅速な対応を可能とするため、危機管理対策を講ずる

10.情報セキュリティ対策に関する規程の公開・非公開

情報セキュリティ基本方針は当社の情報セキュリティ対策に関する基本的な方針や適正な運用及び管理体制等を示すものとして当社の自己管理ウェブサイト等において公開する。なお、情報セキュリティ対策基準及び情報セキュリティ実施手順は機密文書として取扱い、原則、公開してはならない。ただし、公開しなければ業務を遂行できない場合には、機密保持契約を締結した上で公開を認める場合がある。

11.情報セキュリティ対策

情報セキュリティポリシーが適切に遵守されていることを確認するために、定期的及び必要に応じて情報セキュリティ監査及び自己点検を実施する。

12.情報セキュリティ対策

情報セキュリティ監査及び自己点検の結果、新たな脅威等情報セキュリティを取り巻く状況の変化に対応するために新たな対策が必要になった場合には、情報セキュリティポリシーの見直しを実施する。

附 則

本情報セキュリティ基本方針は、2024年4月1日から実施する。