Information Security Policy

株式会社リンドバーグ(以下「当社」)は、 HRコンサルティングカンパニーとしての事業活動の要である情報資産について、これを適切に守るため、以下の取り組みを実施します。

情報セキュリティ基本方針

  1. 情報資産の重要性の認識とリスク対策


    当社は、情報資産の重要性を認識し、情報の漏えい、紛失、改ざん等のリスク対策に取り組みます。

  2. 情報資産の取り扱いについての教育


    当社は、情報資産の取り扱いについて、全社員を対象に教育、訓練、啓発活動を定期的に行い、知識の向上と啓発に努めます。

  3. 法令等の順守


    当社は、情報セキュリティに関連する法令等を遵守し、リスクの軽減、排除に努めます。

  4. 情報セキュリティガイドラインの制定と実行


    当社は、情報セキュリティ基本方針に沿った情報セキュリティガイドラインを定め、これを不断に実行します。

情報セキュリティガイドライン

  1. (目的)

    株式会社リンドバーグ(以下「当社」という。)は、HRコンサルティングカンパニーとしての事業活動の要である情報資産について、これを漏洩、改ざん、消失の脅威から守らなければならない。当ガイドラインは、上記の目的を果たすため、情報セキュリティに関する運用ルールを定めるものである。

  2. (定義)

    1. 「情報」とは、電子媒体・紙媒体を問わず、事業活動に関わる全ての情報をいう。
    2. 「機密情報」とは、個人情報、顧客から預かった非公開情報、自社の経営に関する情報をいう。
    3. 「業務情報」とは、機密情報に該当しないが、公開を前提としない情報(社内打合せ資料、勤務管理簿、研修教材等)をいう。
    4. 「公開情報」とは、機密情報にも業務情報にも該当せず、仮に漏洩しても何ら問題の生じない情報をいう。
    5. 「情報システム」とは、情報漏洩を防ぎつつ、日々蓄積される情報資産を管理、保全、廃棄又は活用するための技術的体系をいう。
    6. 「情報セキュリティ」とは、情報システムのうち、情報漏洩等の予防対策及び事後対策に資する仕組みをいう。
    7. 「情報セキュリティ事故」とは、事業活動で蓄積した情報が、漏洩、改ざん、消失等すること、もしくはしそうになることをいう。
    8. 「情報セキュリティ基本方針」とは、当社の情報漏洩等に関するリスクを分析した上で定められる業務効率性とセキュリティ確保の両立を実現するための情報セキュリティに関する方針をいう。
    9. 「マルウェア」とは、コンピュータウイルスなど不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードをいう。
    10. 「ランサムウェア」とは、データを暗号化し、データを使用できなくするマルウェアをいう。
    11. 「勤務者」とは、雇用区分にかかわらず全ての従業員をいう。

  3. (情報セキュリティ保全対策の大枠)

    1. 経営者は、情報セキュリティ基本方針を定め定期的に監査し、その内容に応じて見直しを行う。
    2. 情報システム管理者(以下「管理者」という。)は、全体を管理する重要な立場であることを自覚し、情報セキュリティ基本方針に従ってセキュリティ維持に関する対策を講じると共に、定期的に実施状況を監査する。
    3. 勤務者は、利用する情報資産の管理責任を自らが負うことを自覚し、情報セキュリティ基本方針が定める技術的・物理的及び人的対策基準に沿った業務を行い、定期的に実施状況を自己点検する。

  4. (情報のレベル分け)

    1. 経営者・管理者は、社内の情報資産を「機密情報」「業務情報」「公開情報」の 3 つのレベルに分け、それぞれの取扱い方法を定める。
    2. 管理者は、情報のレベル分けに応じて、情報に対するアクセス制御、暗号化の要否や印刷可否などの設定を行う。
    3. 勤務者は、業務で扱う情報について、定められた情報のレベル分けとレベルに応じたルールに従って取り扱う。

  5. (教育・啓発活動)

    1. 管理者は、勤務者が情報セキュリティ対策の重要性を理解した上で業務を行えるようにするため、定期的に教育・啓発活動を実施する。
    2. 勤務者は、ルールを遵守するメリットを理解し、情報セキュリティに関する教育・啓発活動に積極的に参加し、情報セキュリティに対する認識を高めることに努める。

  6. (事故対策としての連絡体制)

    1. 管理者は、情報セキュリティ事故の発生に備えて、迅速な対応がとれるように連絡体制を整えるとともに、事故時の対応についての訓練を実施する。
    2. 勤務者は、情報セキュリティ事故の発生に備えて、迅速な対応が取れるように連絡体制を確認するとともに、事故時に備えた訓練に参加する。

  7. (事故対策としての投資)

    経営者は、自社のリスクを分析し、必要な機器・設備の購入、その運用・管理を行う人的資源の確保など、情報セキュリティ対策に必要な予算を割り当てる。

  8. (マルウェアへの対策)


    1. 管理者は、貸与する端末にウイルス対策ソフトをインストールし、最新の定義ファイルが適用されているようにする。
    2. 勤務者は、端末を操作する前に、ウイルス対策ソフトがインストールされ、最新の定義ファイルが適用されていることを確認する。
    3. 管理者は、フィルタリング等を用いて、勤務者が危険なサイトにアクセスしないように設定する。
    4. 勤務者は、マルウェア感染を防ぐため、ウェブサイトにアクセスするにあたっては、OS やブラウザ等が常に最新のセキュリティ状態にアップデートされた上でアクセスする。
    5. 勤務者は、端末にアプリケーションをインストールする際は、管理者にその旨を申請し、許可を受けたアプリケーションのみをインストールする。
    6. 管理者は、勤務者よりアプリケーションをインストールする申請を受けた際は、その安全性を評価すると共に、許可したアプリケーションについて社内に通知する。
    7. 勤務者は、貸与された端末を業務以外の目的に利用してはいけない。
    8. 管理者は、ランサムウェアの感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存する。
    9. 管理者は、公的機関や民間業者からの事務連絡を装うなどの不審なメールが迷惑メールとして分類されるよう設定する。
    10. 勤務者はマルウェアに感染した場合、その報告漏れや遅れが被害拡大につながる恐れがあることを自覚し、電子メールの添付ファイルの開封やリンク先のクリックに一層の注意を払う。

  9. (端末の紛失への対策)

    1. 管理者は、台帳等を整備し、貸与する情報端末の所在や利用者等を管理する。
    2. 勤務者は、カフェなど第三者と共有する環境でテレワークする場合、盗難による紛失を防止するため、トイレの使用などで離席する際は端末、書類を持ち運ぶ。

  10. (重要情報の漏洩への対策)

    1. 勤務者は、テレワークする場合、悪意の第三者が通信内容を傍受している可能性があるため、公共Wi-Fi にアクセスしない。
    2. 勤務者は、カフェなど第三者と共有する環境でテレワークする場合、覗き見による情報の漏洩を防止するため、会社から貸与された覗き見防止フィルターを端末に装着する。
    3. 勤務者は、カフェなど第三者と共有する環境でオンライン面談等を行うときは、情報漏洩を防ぐため、取り扱う内容や音量等に配慮しなければならない。
    4. 勤務者は、貸与された端末を他の者に利用させたり、情報を閲覧させたりしてはいけない。
    5. 管理者は、契約書など機密情報に該当する紙の種類については、施錠して保管する。また、保管、廃棄、オフィス外への持出しに関するルールを定める。

  11. (不正アクセスへの対策)

    管理者は、社外から社内システムへアクセスするための利用者認証について、技術的基準を明確に定め、適正に管理・運用する。

  12. (パスワードの管理)

    管理者が、情報端末のパスワード、アカウント等を一元管理する。

  13. (SNS 利用に関するトラブル防止)

    1. 勤務者は、貸与された端末を用いて Facebook、Twitter、Instagram などの SNS に私的なアカウントでアクセスしない。
    2. 勤務者は、SNS 上に業務上の守秘義務が課せられている内容を投稿しない。
    3. 管理者は、SNS に投稿された内容に自社に関するものがないか、定期的に監視する。

(附則)
この規則は令和2年10月1日に制定し、同日から実施する。
この規則は令和4年7月1日に改定し、同日から実施する。