情報セキュリティー方針

1. はじめに

NPO法人MIS(以下「当法人」)は、私たちが日々の活動で取り扱うあらゆる情報資産の重要性を深く認識し、それらの情報資産を適切かつ安全に管理・保護することを、組織の最重要課題の一つとして位置付けています。近年、情報技術の進展とともにサイバー攻撃や情報漏洩などのリスクがますます高度化・複雑化している状況を踏まえ、当法人は強固な情報セキュリティ体制を構築し、継続的に改善・強化することを宣言いたします。本基本方針は、当法人に関連するすべての関係者に対して適用され、情報資産の保護を徹底するための指針として位置づけられています。

2. 情報資産の定義と重要性

当法人における情報資産とは、紙媒体や電子媒体に関わらず、当法人が保有し管理する全ての情報およびそれに付随するシステム、ハードウェア、ソフトウェア、ネットワーク、さらに情報を取り扱う人的資源を含みます。これには、個人情報や会員情報、支援者情報、財務情報、活動記録、機密文書、契約書類、ウェブサイト情報、ソーシャルメディアアカウント情報などが含まれ、これらの情報資産の安全確保は、当法人の社会的信用や事業継続性に直結するため極めて重要です。

3. 情報セキュリティの三大要素の確保

当法人は、情報資産の機密性(Confidentiality)、完全性(Integrity)、および可用性(Availability)を最優先事項としています。

  • 機密性とは、情報が許可された者のみアクセス可能であることを意味します。
  • 完全性は、情報の正確さや完全性が保証され、改ざんや不正な変更がない状態を指します。
  • 可用性とは、必要な時に情報やシステムが利用可能な状態を維持することを意味します。
    これら三要素を守ることが、情報セキュリティ対策の根幹であると認識し、これらのバランスを崩すことなく強化していきます。

4. 法令・規範・契約の遵守

当法人は、情報セキュリティに関するすべての国内外の法令、規制、ガイドライン、業界基準、及び当法人が締結する契約書に記載された義務を厳守します。また、個人情報保護法、特定電子メール法、不正アクセス禁止法などの関連法令については最新の動向を常に把握し、適切に対応します。これにより、法律的なリスクを回避し、社会的責任を果たします。

5. 組織的体制の確立と運用

当法人は、関係者に対して情報セキュリティの重要性を周知し、権限と責任を明確化し、セキュリティ体制の維持強化に努めます。

6. リスクマネジメントの実施

当法人は、情報資産に対して定期的なリスク評価を行い、脆弱性や潜在的な脅威を洗い出します。リスクの大きさに応じて適切な管理策を導入し、リスクの低減・回避を図ります。具体的な対策として、技術的対策(ファイアウォール、アンチウイルスソフトの導入)、人的対策(教育研修、アクセス権管理)など多角的に展開します。

7. 人的セキュリティの徹底

全ての関係者に対し、情報セキュリティに関する意識向上のための定期的な教育・研修を実施します。情報セキュリティに関わるポリシーや手順を明確化し、守秘義務を課すとともに違反者に対しては懲戒処分を含む厳正な措置をとります。また、入会時には適切な審査を行い、退会時には情報資産の返却とアクセス権の剥奪を行います。

8. システム・ネットワークセキュリティの強化

ITシステムおよびネットワークの安全な運用を確保するために、次のような技術的対策を実施しています。

  • ファイアウォールによる外部からの不正アクセスの遮断
  • 最新のアンチウイルスソフトウェアの導入と定期的な更新
  • 不正侵入検知システム(IDS)による監視体制の構築
  • システムの脆弱性を定期的に検査し、速やかに対応
  • アクセス権限の最小化(必要最小限の権限付与)
  • パスワード管理ポリシーの厳格化と多要素認証の導入推進

9. インシデント対応体制の構築

当法人は、情報セキュリティインシデントの発生に備え、インシデント対応マニュアルを整備し、迅速かつ的確な対応を可能とします。発見時の即時報告体制、原因究明、被害拡大防止、影響評価、復旧措置、再発防止策の立案および実施を行います。定期的に模擬訓練を実施し、対応力の強化を図ります。

10. 外部委託先の管理

情報処理業務の外部委託にあたっては、委託先の情報セキュリティ管理体制を厳しく評価します。委託先に対する監査や報告義務を定め、情報漏洩リスクを最小限に抑えることを徹底します。委託先の変更時も同様の評価を実施します。

11. 情報セキュリティ教育の推進

全会員に対し、定期的かつ体系的な情報セキュリティ教育を実施し、セキュリティ意識の向上と知識の習得を促します。定期研修、eラーニングの活用など、多様な方法を用いて継続的に実施します。また、フィッシング詐欺やソーシャルエンジニアリングへの注意喚起も欠かしません。

12. 継続的改善と監査

情報セキュリティマネジメントシステム(ISMS)に基づき、定期的な内部監査や第三者監査を実施し、方針の遵守状況や対策の有効性を評価します。その結果を基に改善計画を策定し、具体的な改善活動を実施します。技術の進歩や新たな脅威にも迅速に対応できるよう、継続的な改善を図ります。

13. 社会的責任と透明性

当法人は、情報セキュリティ対策の実施状況を適宜公表し、社会や関係者に対して透明性を確保します。情報漏洩やセキュリティ事故発生時には速やかに公表し、被害の最小化と信頼回復に全力を尽くします。これにより、当法人の社会的責任を果たすとともに、信頼関係の維持・強化に努めます。

14. 本方針の見直し

本基本方針は、法令の改正、社会環境の変化、技術進歩、新たな脅威の発生等に応じて適宜見直しを行い、最新版を公表します。全職員に対しては改訂内容を速やかに周知徹底し、常に最新の情報セキュリティ体制を維持します。