平成25年4月1日制定
目的
第1条 この規程は、当組合の「情報セキュリティ基本方針」に基づき、当組合における情報セキュリティの維持及び推進を行うために必要な基本的事項を定めたものであり、当組合における情報セキュリティマネジメントシステム(組織的に情報セキュリティの維持及び向上のための施策を立案、運用、見直し及び改善すること。)を確立することを目的とする。
用語の定義
第2条 この規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。
- (1)「情報」とは、有形、無形を問わず、当組合が保有する一切の情報(当組合固有の情報の他、契約その他の正当な手段に基づき入手した、組合員及び利用者その他の第三者から取得した情報を含む。)をいう。
- (2)「情報資産」とは、有形、無形を問わず、情報を含む媒体と伝達手段をいう。全ての紙面、記憶媒体、情報システム等と、口頭や電気通信等で伝達される情報を含む。
- (3)「情報システム」とは、情報を取扱う機器装置等のハードウェア、ソフトウェア、プログラム、伝送経路及びこれらにより構成される電子システム等をいい、情報に関連する一切の資産及び処理方法を含む。
- (4)「リスク」とは、想定される脅威(情報資産に対して損害を与える要因をいう。)が、情報資産に対して損害を与える可能性をいう。
- (5)「リスク評価」とは、情報資産について、脅威に対する脆弱性を分析し、かつリスクが顕在化した場合の事業に対する影響度を評価することをいう。
- (6)「情報セキュリティ」とは、情報資産に対し、①機密性(正当に許可した者だけが当該情報資産にアクセスできること)、②完全性(正確及び完全であるよう、情報資産を不正な改ざん及び破壊から保護すること。)及び③可用性(正当にアクセスを許可された者が、使用許諾の範囲内で、必要なときに円滑に当該情報資産にアクセスできること。)を確保し維持することをいう。
- (7)「サイバーセキュリティ事案」とは、情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃等の、サイバーセキュリティが脅かされる事案をいう。
- (8)「対象情報」とは、リスク評価の結果、情報セキュリティの確保及び維持が必要と判断した情報をいう。
- (9)「対象情報システム」とは、リスク評価の結果、情報セキュリティの確保及び維持が必要と判断した情報システムをいう。
- (10)「対象情報資産」とは、対象情報及び対象情報システムの総称をいう。
- (11)「不測事態」とは、情報セキュリティの確保及び維持に重大な影響を与える障害、障害、セキュリティ侵害等の事態をいう。自然災害による「不測事態」については本規程の対象外とし、別途定める事業継続計画(BCP)に従うものとする。
- (12)「役職員等」とは、当組合の役職員並びにこれに準ずる者(嘱託職員、臨時職員、パートタイマー、アルバイト等及び当組合との間に委任契約又は雇用契約が成立した者)をいう。
- (13)「室部」とは、室部及びこれに準じる組織をいう。
適用範囲
第3条 この規程は、役職員等に適用する。
情報セキュリティ管理体制
第4条 「情報セキュリティ委員会」は、情報セキュリティ統括管理者、情報セキュリティ統括責任者、情報システム管理者、情報セキュリティ部門責任者により構成されるものとする。
② 情報セキュリティ委員会は、当組合における情報セキュリティ維持及び向上に必要な基準、
規程類を制定し、これらの周知徹底、運用及び見直し、改善を図るとともに、施策等の審議、
評価、見直し、及び改善を行う。
③ 情報セキュリティ委員会は、情報セキュリティに関する不測事態が生じた場合の連絡体制を
整備、運営及び見直し、改善を行う。
④ 「情報セキュリティ統括管理者」(以下、「統括管理者」という。)とは、理事会の決議に
基づき当組合の理事の中から選任された者であって、当組合における情報セキュリティに係る
業務について情報セキュリティ実施要領に記載した統括的責任と権限を有するものとする。
⑤ 統括管理者は、情報セキュリティ委員会の委員長を務めるものとする。
⑥ 「情報セキュリティ統括責任者」(以下、「統括責任者」という。)は、
当組合の情報セキュリティを主管する部署の長であって、情報セキュリティ委員会
および本規程に従い、当組合における情報セキュリティに係る業務を実施する
情報セキュリティ実施要領に記載した責任と権限を有するものとする。
⑦ 「情報システム管理者」は、当組合の情報システムを主管する部門の長であって、
統括責任者を補佐し、当組合の情報システムのセキュリティに係る業務について
情報セキュリティ実施要領に記載した責任と権限を有するものとする。
⑧ 「情報セキュリティ部門責任者」(以下「部門責任者」という。)は、室部の長であって、
統括責任者の指示に従い、当該室部における情報セキュリティに係る業務について
情報セキュリティ実施要領に記載した一義的な責任と権限を有する者をいう。
⑨ 「情報セキュリティ支店・事業所等責任者」(以下「支店・事業所等責任者」という。)は、
当該支店・事業所等における情報セキュリティに係る業務について情報セキュリティ実施要領に
記載した一義的な責任と権限を有する者をいう。
⑩ 「情報セキュリティ担当者」は、部門責任者及び支店・事業所等責任者の管理責任において、
選任された1名又は複数名の者であって、当該室部もしくは支店・事業所等における部門責任者
および支店・事業所等責任者より指示された業務を行うものとする。
⑪ 部門責任者は、情報セキュリティ担当者を選任後、速やかにその役職、氏名等を統括責任者に
届け出るものとし、また、情報セキュリティ担当者を変更する場合も同様とする。
(教育)
第5条 統括管理者は、関係室部長と協議のうえ、役職員等に対し、情報セキュリティ意識の向上を図り、情報セキュリティ管理体制、規程類及び関係法令等を理解させるために必要な教育を企画する。
② 統括責任者および部門責任者は、前項に基づき研修等を実施する。
③ 研修等に関する事項は「個人情報保護・情報セキュリティ研修内規」に定める。
(システムリスク管理態勢)
第6条 システムリスクについて代表理事をはじめ、役職員がその重要性を十分認識し、定期的なレビューを行う。
② 代表理事は、システム障害やサイバーセキュリティ事案(以下「システム障害等」という。)の
未然防止と発生時の迅速な復旧対応について、経営上の重大な課題と認識し、態勢を整備する。
③ 理事会は、コンピュータシステムのネットワーク化の進展等により、リスクが顕在化した場合、
その影響が連鎖し、広域化・深刻化する傾向にある等、経営に重大な影響を与える可能性がある
ことを十分踏まえ、リスク管理態勢を整備し、適宜見直しを行う。
④ 部門責任者は、自室部が保有する対象情報資産について把握し、定期的にリスク評価を
実施しなければならない。
(対象情報に関する情報セキュリティ)
⑤ 統括責任者は、法務、その他の関係部門長と協議のうえ、室部がリスク評価を実施するために
必要な事項等を定めた基準を作成し、情報セキュリティ委員会の審議に付す。
⑥ 統括責任者は、情報セキュリティ委員会の審議の結果に従い、前項の基準を制定し、
この周知徹底、運用および見直し、改善を図る。
⑦ 部門責任者は、前項に基づき制定された基準に従い、自室部においてリスク評価の周知徹底、
実施、運用を行い、自室部の役職員等への指示を行う。
⑧ 支店・事業所等責任者は、前々項に基づき制定された基準に従い、当該支店・事業所等において
リスク評価の周知徹底、実施、運用を行い、自支店・事業所等の役職員等への指示を行う。
⑨ 内部監査部門は、リスクが多様化していることを踏まえ、定期的に又は適時にリスクの認識・
評価を行う。
⑩ 情報システム管理者は、洗い出したリスクに対し、十分な対応策を講じ、情報セキュリティ
委員会に付議する。
(対象情報資産に関する情報セキュリティ)
第7条 役職員等は、自己が扱う対象情報資産を適切に管理しなければならない。
② 役職員等は、対象情報資産の管理にあたり、「個人情報取扱規程」その他の情報セキュリティに
関連する規程類を遵守しなければならない。
③ 統括責任者は、関係室部長と協議のうえ、役職員等が対象情報資産を適切に管理するために
必要な事項等を定めた基準および規程等を制定し、周知徹底、運用を行い、定期的または、
システム基盤等の変更の都度、見直し、改善を図る。
④ 部門責任者は、前項に基づき制定された基準および規程類に従い、自室部の役職員等が、
自室部の対象情報資産を適切に管理するよう、周知徹底、運用を行い、自室部の役職員等への
指示を行う。
⑤ 支店・事業所等責任者は、前々項に基づき制定された基準および規程類に従い、
自室部の役職員等が、自室部の対象情報を適切に管理するよう、周知徹底、運用を行い、
自支店・事業所等の役職員等への指示を行う。
⑥ 役職員等は、対象情報資産の使用および管理に際し、情報セキュリティに関連する規程、
要領等を遵守しなければならない。
(対象情報システムに関する情報セキュリティ)
第8条 情報システム管理者は、当組合の保有する対象情報システムについて、その設計、開発から導入、運用、保守を通じ、対象情報システムの重要度や特性に適合した情報セキュリティの確保、維持のための施策(コンピュータウィルスからの保護、記録情報のバックアップ、情報システムの運用の記録、ネットワークの管理、情報システムの付属媒体の管理、電子メールのセキュリティ、アクセス制御、不正アクセス対策を含むが、これらに限らない。)を講じるものとする。
② 情報システム管理者は、対象情報システム、ネットワーク等のサイバーセキュリティに対し、
サイバー攻撃の施策(ファイヤウォールの設置、抗ウィルスソフトの導入、脆弱性診断、
これらに限らない。)を講じるものとする。
③ 情報システム管理者は、システム、データ、ネットワーク管理上のセキュリティに関して
統括を行う。
④ 情報システム管理者は、コンピュータシステムの不正使用防止対策、不正アクセス防止対策、
コンピュータウィルス等の不正プログラムの侵入防止対策等を行う。
⑤ 情報システム管理者は、関係室部長と協議のうえ、対象情報システムを適切に管理するために
必要な事項等を定めた基準および規程類を作成し、情報セキュリティ委員会で制定したうえで、
この周知徹底、運用を行い、定期的またはシステム基盤等の変更の都度、見直し、改善を図る。
⑥ 部門責任者は、前項に基づき制定された基準および規程類に従い、自室部の対象情報システムを
適切に管理するために、周知徹底、運用を行い、自室部の役職員等への指示を行う。
⑦ 支店・事業所等責任者は、前々項に基づき制定された基準および規程類に従い、
自支店・事業所等の対象情報システムを適切に管理するために、周知徹底、運用を行い、
自支店・事業所等の役職員等への指示を行う。
⑧ 役職員等は、対象情報システムの利用および管理に際し、情報セキュリティに関連する規程、
要領等を遵守しなければならない。
⑨ 当組合は、インターネット取引をする場合の利用者に対して、留意事項を説明するための
適切な措置を講じるものとする。
(人的セキュリティ)
第9条 統括管理者は、関係室部長と協議のうえ、理事会で定める職制規程等に役職員等の情報セキュリティ管理体制における役割及び責任を規定する。
② 役員(常勤・非常勤)については、役員候補者となった段階で、情報セキュリティの確保、
維持に関する必要な事項を定めた個人情報保護法に関する念書を当該役員候補者から
取得するものとする。
③ 職員の採用・派遣社員の受入を行う場合は、その採用又は受入時に、情報セキュリティの確保、
維持に関する必要な事項を定めた個人情報保護法に関する念書を当該職員及び当該派遣社員から
取得するものとする。
④ リスク管理部門長は、関係室部長と協議のうえ、前2項に定める個人情報保護法に関する念書の
取得のために必要な事項等の周知徹底を図る。
(取引先等に関する情報セキュリティ)
第10条 部門責任者及び支店・事業所等責任者は、対象情報資産を取引先等の第三者に開示する場合、対象情報資産を第三者に預ける場合、その他第三者が対象情報資産を知り得る場合は、当該第三者との間で情報セキュリティの確保、維持のために必要な契約を締結する等の適切な措置を講じなければならない。
(保管環境に関する情報セキュリティ)
第11条 統括責任者は、対象情報資産を保管する建物、区画、書棚等について、当該対象情報資産につき不当なアクセス、紛失、盗難等を防止するため、管理区域の入退出管理その他の適切な措置を講じるものとする。
(不測事態対応計画)
第12条 統括責任者は、不測事態が生じた場合においても、事業活動に支障を来さない、又は支障を最小限化するための計画(以下「不測事態対応計画」という。)を立案、策定、周知および見直し・改善を行うものとする。
② 統括責任者は、不測事態対応計画の実効性について定期的に見直し、必要に応じ改善を
図るものとする。
③ 統括責任者は、関係部門長と協議のうえ、不測事態対応計画の策定等を行うために必要な
事項等を定めた基準を制定し、この周知徹底、運用および見直し、改善を図る。
④ 代表理事及び理事は、システム障害等発生の危機時において、果たすべき責任やとるべき
対応について具体的に定める。また、自らが指揮を執る訓練を行い、その実効性を確保する。
(不測事態の報告等)
第13条 役職員等は、不測事態の発生又は発生の兆候を知った場合、直ちにこれを所属する支店・事業所等責任者及び部門責任者に報告するものとする。
② 統括責任者は、不測事態の再発防止の観点から、不測事態への対応結果につき、必要に応じ
情報セキュリティ委員会に報告する。
(自主点検)
第14条 部門責任者、支店・事業所等責任者は、情報セキュリティの確保、維持について定期的に自主点検し、改善を図らなければならない。
② 支店・事業所等責任者は、検査実施指示担当部署長の指示に基づき、自支店・事業所等に
おける情報セキュリティの確保、維持について定期的に自主点検し、改善を図らなければ
ならない。
③ 支店・事業所等責任者および部門責任者は、前2項の自主点検の結果を速やかに統括責任者
および検査実施指示担当部署長に報告する。
④ 統括責任者は、前項により提出を受けた自主点検の結果を評価し、その結果に応じ、
改善を図るために必要な指導を部門責任者に対して行うものとする。
⑤ 統括責任者は、検査実施指示担当部署長その他の関係部門長と協議のうえ、部門責任者が
第1項の自主点検を実施するために必要な事項等を定めた基準を制定し、この周知徹底、運用 および見直し、改善を図る。
(監査)
第15条 内部監査部署の長は、この規程並びにこの規程に基づき統括責任者が制定する基準及び規程類の遵守状況を監査する。ただし、組合外の第三者に監査業務を委託することを妨げない。
② 内部監査部署の長は、前項の監査の結果を部門責任者および支店・事業所等責任者に通知し、
必要に応じて改善を図るための助言・提案を行うものとする。
(規程等の遵守)
第16条 役職員等は、情報セキュリティの重要性を認識のうえ、この規程及びこの規程に基づき制定される基準及び規程類、関係法令その他の規範及び第三者との契約に定められた事項を遵守しなければならない。
(違反時の措置)
第17条 この規程及びこの規程に基づき情報セキュリティ委員会等が制定する基準及び規程類に違反した場合、就業規則等に基づき懲戒処分その他の処分に付することがある。
(規程等の見直し・改善)
第18条 統括責任者は、この規程及びこの規程に基づき制定された基準の実効性を確保するために、第13条に基づき報告を受けた不測事態の発生原因等を考慮のうえ、定期的にこれらを見直し、必要に応じ改善を図るものとする。
② 統括責任者は、部門責任者及び支店・事業所等責任者に対し、前項の見直し・改善が確実に
行われるように指導する。
③ 当組合以外における不正、不祥事件も参考に、情報セキュリティ管理態勢のPDCAサイクル
による継続的な改善を図る。
(規程の改廃)
第19条 この規程の改廃は、理事会の議決を経て行う。
附 則
この規程は、平成25年4月1日から施行する。
附 則
この規程の改正は、平成27年4月1日から施行する。
附 則
この規程の改正は、平成28年1月4日から施行する。