情報セキュリティ基本方針

制定:平成30年4月1日

 今日、インターネットをはじめとする情報通信ネットワークや情報システムの利用は生活、経済、社会のあらゆる面で拡大している。一方で、個人情報の漏えい、不正アクセスや新たな攻撃手法による情報資産の破壊・改ざん、操作ミス等によるシステム障害等が後を絶たない。また、自然災害によるシステム障害や疾病を起因とするシステム運用の機能不全にも備える必要がある。

 当社は、業務上取り扱う顧客の情報資産及び当社の情報資産を各種脅威から守り、企業としての社会的使命を果たすため、情報セキュリティポリシーとして本基本方針及び情報セキュリティ対策基準を定め、以下に対し積極的に取り組むことを宣言する。

(1)情報セキュリティ対策に取り組むための全社的な体制を確立する。

(2)情報セキュリティ対策の基準として情報セキュリティ対策基準を策定し、その実行のための手順等を盛り込んだ実施手順を策定する。

(3)当社の保有する情報資産及び顧客から預かった情報資産を適切に管理する。

(4)情報セキュリティ対策の重要性を認識させ、当該対策を適切に実施するために、社員等に対して必要な教育を実施する。

(5)情報セキュリティインシデントが発生した場合又はその予兆があった場合に速やかに対応するため、緊急時対応計画を定める。

(6)情報セキュリティ対策の実施状況の監査又は自己点検等を通して、定期的に対策の見直しを実施する。

(7)全ての社員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティ基本方針、情報セキュリティ対策基準及び情報セキュリティ実施手順を遵守する。

平成30年4月1日

最高情報セキュリティ責任者 長尾 孝俊


1.目的

 本基本方針は、株式会社九州建設計画エンジニアリング(以下当社)が保有する情報資産及び顧客から預かった情報資産の機密性、完全性及び可用性を維持するため、当社が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

2.定義

(1)ネットワーク
 コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。

(2)情報システム
 コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。

(3)情報セキュリティ
 情報資産の機密性、完全性及び可用性を維持することをいう。

(4)情報セキュリティポリシー
 本基本方針及び情報セキュリティ対策基準をいう。

(5)機密性
 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

(6)完全性
 情報が破壊、改ざん又は消去されていない状態を確保することをいう。

(7)可用性
 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

3.対象とする脅威

 情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

(1)不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等

(2)情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等

(3)地震、落雷、火災等の災害による業務の停止等

(4)大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

(5)電力供給の途絶、通信の途絶等のインフラの障害からの波及等

4.適用範囲

(1)本基本方針の範囲
 本基本方針の適用場所は、当社事務所の敷地内・現場事務所・詰め所など、当社の情報を取り扱うことを主たる目的とする場所とする。

(2)情報資産の範囲
 本基本方針が対象とする情報資産は、次のとおりとする。
 ① ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体
 ② ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)
 ③ 情報システムの仕様書及びネットワーク図等のシステム関連文書
 ④ 紙等の有体物に出力された全ての情報、及び紙等の有体物にて入手した全ての情報
 ⑤ 上記以外の業務上知りえた無形の情報

5.社員等の遵守義務

 社長、取締役、社員、非常勤社員及び派遣社員(以下「社員等」という。)は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。

6.情報セキュリティ対策

上記3の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

(1)組織体制
 当社の情報資産について、情報セキュリティ対策を推進する全社的な組織体制を確立する。

(2)情報資産の分類と管理
 当社の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。

(3)物理的セキュリティ
 サーバ等、情報システム室等、通信回線等及び社員等のパソコン等の管理について、物理的な対策を講じる。

(4)人的セキュリティ
 情報セキュリティに関し、社員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。

(5)技術的セキュリティ
 コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。

(6)運用
 情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応計画を策定する。

7.情報セキュリティ監査又は自己点検の実施

 情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査又は自己点検を実施する。

8.情報セキュリティポリシーの見直し

 情報セキュリティ監査又は自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。

9.情報セキュリティ対策基準の策定

 上記6、7及び8に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。

10.情報セキュリティ実施手順の策定

 情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。

 なお、情報セキュリティ実施手順は、公にすることにより当社の業務に重大な支障を及ぼすおそれがあることから非公開とする。

倫理規程

第1条 目的

 この規程は、株式会社九州建設計画エンジニアリング(以下「当会社」という。)の役員及び社員等の倫理に関する基本となるべき事項を定めることにより、会社の目的、事業執行の公正さに対する国民の疑惑や不信を招くような行為の防止を図り、もって会社に対する社会的な信頼を確保することを目的とする。

第2条 適用範囲

 役員及び社員、非常勤社員、出向社員、派遣社員(以下「社員等」という。)など当会社と雇用関係を持つ者。

第3条 役員及び社員等の基本的責務

 役員及び社員等は、当会社の役員及び社員等であることを常に自覚し、清廉潔白な態度で業務を遂行しなければならない。信用を害する行為、不名誉となるような行為をしてはならない。

第4条 役員及び社員等の遵守事項

1 役員及び社員等は、暴力、セクシャルハラスメント、飲酒運転などの行為を絶対に行ってはならない。

2 役員及び社員等は、個人の名誉を重んじ、プライバシーに配慮しなければならない。

3 役員及び社員等は、日常の行動について公私の別を明らかにし、職務やその地位を利用して自己の利益を図ることや斡旋・強要をしてはならない。外部からの不正な働きかけについては、拒否するとともにその旨を上司に報告しなければならない。

4 役員及び社員等は、自らの社会的立場を認識して、常に自らを厳しく律し、当会社の信頼を確保するよう責任ある行動を取らなければならない。

5 役員及び社員等は、職務に関し不正があると思料するときは、社長等に通報しなければならない。役員及び社員等は、通報したことによって不利益を受けることはない。また、社長等通報を受けた者は、通報者の秘密を守らなければならない。

第5条 技術者倫理

 当会社におけるあらゆる技術者は、以下に挙げる規定の実践に努めなければならない。

1 注意義務
 当会社の技術者は、社会生活の安心と人々の生活価値を高めるためその技術を活用し、品位と名誉を重んじ、専門技術者としての自負を持って行動する。

2 環境配慮義務
 現在及び将来の人々の安全と福祉、健康に対する責任を最優先し、自然及び地球環境の保全と活用を図る。

3 継続学習義務
 常に幅広い知識の吸収と技術の向上に努め、専門家としての研鑽・努力を欠かさない。

4 情報開示義務
 自己の業務についてその意義と役割を積極的に説明し、社会に対して不当な損害を招き得るいかなる可能性をも公にし、排除する努力をする。

5 忠実義務
 技術的業務に関して雇用者、もしくは依頼者の誠実な代理人、あるいは受注者として行動する。

6 共同義務
 自らが共同社会の一員であることを自覚し、専門家として広く地域に貢献するため、地域活動や技術者団体の活動に積極的に参加する。

第6条 倫理委員会の設置

1 この規程の実効性を確保するため、当会社に倫理委員会を設置する。

2 倫理委員会の組織及び運営に関する事項については役員会の議決により別に定める。

第7条 役員及び社員等がこの規程に違反した場合の対処等

 役員が、この規程に違反する行為を行ったおそれがあると認められる場合は、常務取締役は直ちに調査を開始し、調査の結果、当該役員がこの規程に違反する行為があったと認められる場合においては、社長は倫理委員会の意見を聴取したうえで、厳正に必要な措置をとるものとする。

 また、社員等に対する対処は倫理委員会の意見を聴取したうえで、当会社の就業規則の定めに基づき厳正に取り扱うものとする。

第8条 その他

 この規程の実施に関し必要な事項は、役員会の承認を得て別に定める。

附 則

1 この規程は、平成26年11月1日から施行する。

2 この規程は、平成30年7月2日から施行する。