当法人では、情報セキュリティ基本方針を定め、情報セキュリティアクション(二つ星)を宣言しました。
情報セキュリティ基本方針
特定非営利活動法人アクト川崎(以下、当法人)は、個人および法人関係者等からお預かりした情報資産を事故・災害・犯罪などの脅威から守り、個人および法人関係者ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。
1.情報セキュリティ委員会の責任
当法人は、情報セキュリティ委員会主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。
2. 当法人内体制の整備
当法人は、情報セキュリティの維持及び改善のために情報セキュリティ委員会を設置し、情報セキュリティ対策を当法人内の正式な規則として定めます。
3.職員の取組み
当法人の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。
4.法令及び契約上の要求事項の遵守
当法人は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、個人および法人関係者等の期待に応えます。
5.違反及び事故への対応
当法人は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。
制定日:2024年6月8日
特定非営利活動法人アクト川崎
理事長 廣瀬 健二
情報セキュリティ管理規程
第1章 総則
(目 的)
第1条 この規程は、法人の保有情報の運用・保全に関する管理基準ならびに管理手続を定め、法人の理事・監事、ならびに職員(以下「法人関係者」という。)が、遵守すべき全体的な情報セキュリティ管理を推進するとともに、法人経営の質的向上を図ることを目的とする。
(適用範囲)
第2条 この規程は、法人のすべての保有情報の運用および保全に係るセキュリティ管理業務について適用される。
2.個人および法人関係者等に関する個人情報の管理については、別に定める個人情報管理規程によるものとする。
(法人保有情報)
第3条 この規程における法人保有情報とは、電子化または非電子化にかかわらず、当法人が保有するすべての情報をいう。
2.法人保有情報は、法令に別段の定めのない限り、法人関係者の職務執行および業務遂行によって、新たに生成または拡充された情報が含まれるものとする。
3.前項の法人保有情報には、法人の所有する情報だけでなく、外部から正当に入手して所有する法人保有情報も含むものとする。
(用語の定義)
第4条 前条に規定するほか、この規程における用語の定義は次のとおりとする。
(1)職員とは、当法人と雇用関係(契約社員および臨時職員を含む。)を有するすべての者をいう。
(2)他者とは、法人ならびに法人関係者以外の他の個人をいう。
(3)他組織とは、法人以外の他の法人および団体等をいう。
(4)電子化情報とは、情報技術によって電磁的に処理可能な状態にある情報をいう。
(5)非電子化情報とは、電子化情報以外の情報をいう。
(6)開示とは、手段・方法、法人内外を問わず、特定の相手方または不特定多数の相手方に対し、電磁的または非電磁的な方法により、送信・伝達・送付もしくは表明し、または提示することをいう。
(7)公表とは、不特定多数の他者に開示することをいう。
(8)アクセスとは情報を閲覧し、情報を使用することのほか、情報の利用手段を使用することをいう。
(9)アクセス権限とは、アクセスできる権限をいう。
(10)アクセス権限者とは、アクセス権限を有する者をいう。
(11)情報セキュリティ管理責任者(以下「管理責任者」という。)とは、情報の変更および情報の開示等に関する意思決定権ならびに情報管理権限を有する者をいう。
(12)情報セキュリティとは、情報を必要とするアクセス権限者が正規の情報を適正に利用できるよう、法人保有情報を安全に保護することをいう。
(13)情報セキュリティ管理とは、情報セキュリティを維持・運用・保全し、向上させるため、法人保有情報ならびに情報セキュリティ環境を管理することをいう。
(管理責任者)
第5条 情報セキュリティ管理の責任者は、副理事長とする。
(改 廃)
第6条 この規程の改廃は、副理事長が立案し、理事会で協議のうえ、理事長が決裁する。
第2章 情報セキュリティの保全管理
(法人関係者の注意義務)
第7条 法人関係者は、法人保有情報のセキュリティを保全管理するとともに、これに対する注意義務を負う。
(不正入手の禁止)
第8条 法人関係者は,他者または他法人に帰属する情報を非合法もしくは社会的批判を招く手段により入手してはならない。
2.前項のほか、法人関係者は自ら相手方に情報提供を強要し、または相手方からの情報提供の依頼を受諾してはならないものとする。
(不正利用等の禁止)
第9条 方針関係者は、法人保有情報を法人業務以外の目的に使用してはならない。
2.前項の場合のほか、法人関係者は法人保有情報の使用目的が限定されているときは、その目的以外に使用してはならないものとする。
3.法人関係者は、法人保有情報を許可なく持ち出し、他者または他組織に開示してはならない。
(外注委託の条件)
第10条 職員は、管理責任者と検討し、理事会の協議を経て、法人保有情報に係る業務の一部または全部を外部へ外注委託することができる。ただし、委託する業務内容は、職務遂行上の必要な範囲に限定しなければならない。
2.前項の場合、職員は業務委託先の守秘義務および複製物の取扱方法など法人保有情報について、情報セキュリティ管理を規定した秘密保持契約を業務委託先と締結した後、これを履行しなければならない。
3.職員は、委託業務の終了後において、当法人保有情報および複製物の返却または廃棄等について、業務委託先の処理結果に係る文書により、当該事実を確認しなければならない。
第3章 情報セキュリティの管理体制
(管理責任者の職務)
第11条 管理責任者は、法人の情報セキュリティ管理を統轄するとともに、その運用責任を負う。
2.前項の場合、管理責任者は情報セキュリティ管理が法人の事業活動の基盤であることを認識するとともに、常に善良なる管理者の注意をもってこれに当たらなければならない。
(管理方針)
第12条 法人保有情報は、アクセス権限者が必要な時に、必要な場で、必要な量だけ常に利用できる状態に維持管理のうえ、安全に運用するとともに、完全に保護しなければならない。
(管理方法)
第13条 情報セキュリティの管理方法は、別に定める個人情報の取り扱い方法、その他によるものとする。
2.職員は、管理責任者の承認を得た後、具体的な情報セキュリティ管理の実施方法を規定することができる。
3.前項の場合、情報セキュリティの管理方法は、別に定める関連諸規程に準拠するほか、関係諸法令に示された基準を満たすものでなければならない。
(情報セキュリティ委員会の設置)
第14条 情報セキュリティ管理規定やその他の関連規程の策定・改定・廃止、情報セキュリティ対策の方針や計画の策定・実施・評価、情報セキュリティ事故の対応や予防などを行うことを目的に、情報セキュリティ委員会を組織する。管理責任者が委員長となり、必要な人数の委員を管理責任者が指名する。これにより全般にわたる情報セキュリティ並びに個人情報保護の状況を正確に把握し、必要な対策を迅速に実施できるようにする。
(アクセス権限の付与)
第15条 管理責任者は、アクセス権限を職務遂行上において必要な者に対してのみ付与し、使用を当該職務の必要な範囲に限定しなければならない。
(法人保有情報へのアクセス)
第16条 法人保有情報ヘのアクセスは、アクセス権限者のみ行うことができる。
2.前項の規定にかかわらず、法人保有情報ヘのアクセスは、管理責任者の指定した条件のもとで行わなければならない。
(契約書の締結)
第17条 他者または他組織と業務提携もしくは業務委託を行う場合、法人は相手先と秘密保持に関する覚書など、必要に応じて継続的な取引基本契約を締結する。
(他者情報へのアクセス管理)
第18条 他者から開示を受けた情報ヘのアクセス管理は、所有権が法人にないことに鑑み、開示に係る契約書等に基づき、管理責任者のもとで厳重に管理のうえ、行わなければならない。
(他法人情報へのアクセス管理)
第19条 他法組織から開示を受けた情報ヘのアクセスの管理は、前条の規定と同様とする。
(法人保有情報の他者開示)
第20条 法人保有情報の他者ヘの開示は、管理責任者の許可がなければ行ってはならない。ただし、公知である情報については、この限りでない。
2.前項の場合のほか、職員は情報の他者ヘの開示に際して管理責任者に対し、自らの許可を必要とする情報を指定することができる。
3.法人関係者は、退任または雇用の関係がなくなった後においても、在職中に知り得た秘密情報を他者に開示し、不正に使用してはならないものとする。
(不測事態への対処)
第21条 情報セキュリティ管理に際し、不測の事態が発生する恐れのある場合、または発生したときには、職員は直ちに管理責任者、関係者と協議を行い、迅速に対処するものとする。
(情報セキュリティ教育)
第22条 管理責任者は、法人保有情報の管理の一環として全職員に対し、情報セキュリティ管理の必要性および重要性への意識を啓発するとともに、具体的管理を現場で実践させるため、情報セキュリティ管理に必要な情報セキュリティ教育を実施しなければならない。
2.管理責任者は、関連する法人外の協力業者に対しても、必要に応じて前項の教育を実施するものとする。
(懲戒処分)
第23条 職員が故意または重大な過失により、この規程に違反し、かつ、従業員職員就業規則に定める懲戒事由に該当する場合は、同規則により懲戒する。
2.前項のほか、他の職員の懲戒事由に該当する行為について、幇助・共謀・教唆等の行為を行ったことが明白なときは、本人に準じて懲戒するものとする。
(付 則)
この規程は、2011年4月1日から施行する。
この改訂は、2023年11月3日から施行する。