情報セキュリティ – 合同会社エス・シー・エヌ

情報セキュリティ基本方針

◆情報セキュリティを支持する経営者の基本方針
１．基本方針

当社はIT・情報システム業務を生業とする企業として、お客様や関係者の皆様から高い信頼をいただけることを基本として、情報セキュリティを大切にしています。
よって、当社の事業に対する要求事項、法令、規制、契約上の要求事項、また、組織の情報セキュリティ上の要求事項を社員等ひとりひとりが十分に認識し行動いたします。
＊記載する「社員等」とは、当社内、直接間接を問わず業務に従事している者、並びに当社の情報資産にアクセスできるものです。
（役員、従業員、契約社員、パート、アルバイト、協力会社社員など）

２．適用範囲

本基本方針は、役員を含めた全ての社員等に適用します。

３．活動体制

当社の情報セキュリティ活動を推進・運営する役割として、情報セキュリティ統括責任者（役員）を任命し、情報セキュリティ上のリスクの把握、管理策の適用、及び、組織への普及と断　続的改善の推進、情報セキュリティ活動の効果を把握して、改善に結びつけます。

４．情報セキュリティ監視及び監査

情報セキュリティを確保するため、社内情報セキュリティ対策の実施状況を定常的に確認監視し、計画された内部監査に対応して情報セキュリティの改善に努めます。

５．情報セキュリティ教育の受講

当社の全ての社員等は情報セキュリティに関する教育を受講します。

６．機密情報の保護

当社の業務に関わる全ての関係者は、別途定める情報セキュリティルール規程に基づいて機密`情報の取扱いに厳重な注意を払います。

７．法令・規制・契約事項等の遵守

業務推進上で適用される法令・規制・契約事項を、その都度、把握して遵守します。

制定：2011年1月11日
合同会社エス・シー・エヌ
代表執行役社長　柴本勉宏

個人情報保護基本方針

お客様および取り扱う個人情報の保護は、IT活用ビジネスを行う事業者の社会的責務であると認識し、以下の取り組みを実施します

１．個人情報の取得

個人情報の取得に際しては、当社の事業に必要な範囲内で利用目的を明確に定め、適法かつ公正な手段によって行います。

２．個人情報の利用

取得した個人情報は、特定した利用目的の達成に必要な範囲内で利用し目的外利用は行わず、そのために必要な措置を講じます。また、個人情報を第三者との間で共同利用し、または個人情報の取扱いを第三者に委託する場合には、その取扱いが委託された個人情報の安全管理が図られるよう、共同利用の相手方および委託先に対する必要かつ、適切な監督を行います。

３．個人の提供

個人情報は、予めご本人の同意を得た場合または法令に定める場合を除き、第三者には提供しません。

４．法令規範の遵守

個人情報保護に関する法令、国が定める指針及びその他の規範を遵守します。

５．安全管理措置の実施

個人情報の漏えい、滅失またはき損を防止するために必要かつ適切な安全管理措置を実施し、万一事故などが発生した時には速やかに是正処置を実施します。

６．個人情報に関する苦情・相談

個人情報の取扱いおよび個人情報マネジメントシステムに関するご本人からの苦情および相談について、適切、かつ、迅速に対応します。また、そのために必要な体制の整備を行います。

７．個人情報保護マネジメントシステムの継続的改善

この個人情報保護方針を実行するため、個人情報保護マネジメントシステムを策定し、適切に維持運用し、定期的に見直して継続的な改善を実施します。

制定：2011 年 1月 11 日
合同会社エス・シー・エヌ
代表執行役社長　柴本勉宏

■個人情報に関する問い合わせ窓口
〒171-0014
東京都豊島区池袋2-72-8 北村ビル2階
個人情報担当窓口：勝浦
電話：03-5957-2640

個人情報保護規定

◆総則
目的

第１条　この規程は、会社の保有する個人情報の適正な保護を目的として、その取り扱いについて定めたものである。

２．　個人情報の保護に関して、この規程に定めのない事項は「個人情報の保護に関する法律」の定めるところによる。

定義

第２条　この規程で用いる用語の定義は、次のとおりとする。

①個人情報」とは、生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報との容易な照合により識別できるものを含む）をいう。

②「本人」とは、個人情報によって識別される特定の個人をいう。

③「個人データ」とは、個人情報のうち、特定の個人情報をパソコンを用いて検索することができるよう体系的にまとめたもの、および特定の個人情報を容易に検索することができるよう体系的にまとめたものをいう。

④「保有個人データ」とは、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を、会社が有する個人データをいう。ただし、６ヵ月以内に消去することとなるものを除く。

適用範囲

第３条　この規程は、会社の全ての従業員（以下社員という）に適用する。

基本理念

第４条　会社および社員は、人格尊重の理念に基づき、個人情報を慎重かつ適切に取り扱うよう努めるものとする。

◆個人情報保護マネジメントシステム運用管理体制
個人情報保護管理責任者

第５条　会社は、個人情報保護管理責任者を選任し、次の事項を含む総括管理を行わせる。

① 個人情報保護マネジメントシステムを運用するための組織体制の整備

② 個人情報保護マネジメントシステムを運用する上での内部規程の整備と運用

③ 個人情報を特定するための手順の確立

④ 個人情報の取扱いにおけるリスクの認識と分析およびリスク対策

⑤ 事故または違反の緊急事態への準備と対処

個人情報保護監査責任者

第６条　会社は、個人情報保護監査責任者を選任し、個人情報の管理に関する監査を行わせる。なお、社内に個人情報保護監査責任者として適当な者がいないときは、外部に委嘱することができる。

個人情報取扱者

第７条　会社は、個人情報取扱者を任命し、個人情報に関する社内システムの保守、管理、その他資料の保管等を行わせる。また、個人情報の取得から廃棄までの作業を行わせる。

作業責任者

第８条　会社は、個人情報の取得から廃棄までの各作業において、個人情報取扱者が必要と認められる場合は、作業責任者を任命し、作業の安全を確保するものとする。

苦情の処理

第９条　個人情報の取り扱いに関する苦情窓口を経営管理部門に設置し、個人情報保護管理責任者の責任に基づき、適切かつ迅速に対応するものとする。

教育訓練

第10条　会社は、個人情報保護教育責任者を任命し、全社員に対し、個人情報保護マネジメントシステムに関する教育訓練を計画的に実施するものとする。

◆個人情報の取得・利用・保管
個人情報の利用の原則

第11条　個人情報は、その利用目的をできる限り特定するものとし、業務上必要な範囲で取り扱うことができる。

２．　個人情報を取り扱う際は、定められた管理方法に従って、紛失、漏えい、盗難などのないよう注意しなければならない。

目的外の利用制限

第12条　個人情報は業務以外の目的で取り扱ってはならないことはもちろん、利用目的の変更に必要な第16条の手続きを実施したとき、または本人の同意を得た場合を除き、利用目的の範囲を超えて取り扱ってはならない。

個人情報の取得

第13条　個人情報は、業務上必要な範囲で取得するものとし、偽りその他不正な手段により行ってはならない。

個人情報の利用目的の通知等

第14条　個人情報の利用目的については、個人情報保護管理責任者の承認した公表または通知の方法により、本人に知らせなければならない。

新たな利用目的

第15条　業務上の新たな目的で個人情報の取得が必要となった場合は、その利用目的および取り扱いに関する事項を、あらかじめ個人情報保護管理責任者に届け出て、承認を受けなければならない。

利用目的の変更

第16条　個人情報の利用目的を変更する場合は、あらかじめ個人情報保護管理責任者に報告し、その決定により、変更された利用目的について、本人に通知または公表しなければならない。

◆個人データの安全管理措置
安全管理措置

第17条　会社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう必要な措置を実施する。

２．　会社は、個人データの紛失、漏えい、盗難などの防止その他の安全管理のために必要な措置を実施する。

取り扱いの注意事項

第18条　個人データの保管や整理などは、安全な施錠等のできる室内で行うものとする。なお、個人情報保護管理責任者の許可なく、次の事項を行ってはならない。

① 個人データとして指定された資料（パソコン上のデータを含む）を閲覧、持ち出し、複写、廃棄、改ざんすること

② 個人データの保管場所として入室制限された部屋へ立ち入ること

２．　個人データについて許可を受けて閲覧や持ち出しをする際は、次の事項を怠ってはならない。

① 個人データの記載された書類、ノートパソコン等を机上等に放置すること

② 個人データの記載された書類等をそれ以外の書類等と区別なく保管または持ち運ぶこと

③ 個人データの閲覧に必要なパスワードを他に知らせ、またはメモ書きなどを他人が分かるような状態で放置すること

④ 個人データの管理に関する技術的なマニュアル等を机上等に放置すること

⑤ ファクシミリ、電子メール、郵便等により誤って第三者が受け取る恐れがある方法により個人データを送る場合、着信の確認、配達の確認などを行うこと

廃　棄

第19条　個人データの廃棄（パソコン上のデータの消去を含む）は、個人情報保護管理者の指示の下、個人情報取扱者が行うものとする。

委託・第三者提供

第20条　個人データを外部に委託または第三者に提供するときは、あらかじめ個人情報保護管理責任者に届け出て、承認を受けなければならない。

委託先の監督

第21条　個人データの取り扱いを外部に委託する場合、個人情報保護管理責任者は、委託先が会社に準ずる管理体制を実施するよう監督しなければならない。

◆保有個人データの公表・開示
保有個人データに関する事項の公表等

第22条　保有個人データに関する次の事項について、本人が知ることができるよう公表（本人の求めに応じて遅滞なく回答する場合を含む）する。

① 会社の名称

② 全ての保有個人データの利用目的（法律の定める例外事項に該当する場合を除く）

③ 本人が次項に定める「保有個人データの通知」、次条に定める「開示」、第25条に定める「訂正等」を求めるための手続き

④ 保有個人データの取り扱いに関する苦情の窓口

２．　本人から、その本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し遅滞なく通知するものとする。ただし、前項の定めによりその本人が識別される保有個人データの利用目的が明らかな場合、その他法律の定める例外事項に該当する場合はこの限りではない。

開　示

第23条　保有個人データについて、本人から開示を求められたときは、書面の交付（開示の求めを行った者が同意した方法があるときは、その方法）により、遅滞なく、その保有個人データを開示する。

訂正等

第24条　本人から、保有個人データの内容の訂正、追加、削除、利用停止を求められた場合には、原則として、遅滞なく保有個人データの内容の訂正等を実施する。

２．　本人から、保有個人データの第三者への提供を拒否されたときは、法令等に基づく場合を除き原則として提供しないものとする。

付　則

１．　この規程は、平成２３年６月１日から実施する。