社会保険労務士法人ブレインズ(以下「当法人」)は、社会保険労務士業務を通じてクライアントからお預かりする重要な個人情報および業務情報を多数取り扱う専門事業者として、情報資産の機密性・完全性・可用性を確保することが極めて重要な責務であると認識します。当法人は、以下の方針のもと、情報セキュリティの維持・向上に取り組みます。
1. 情報資産の保護
当法人は、業務において取り扱うすべての情報資産(文書、電子データ、システム、ネットワーク、通信回線、設備、記録媒体およびこれらに付随する物理的環境を含む)について、機密性・完全性・可用性を確保することを基本原則とし、不正アクセス、情報漏えい、紛失、盗難、改ざん、破壊、マルウェア感染、サービス妨害(DoS等)、災害、事故、人的過誤その他あらゆる脅威から保護します。そのため、アクセス制御や多要素認証、データ暗号化、ファイアウォールや侵入検知・防御システム、マルウェア対策ソフトの導入などの技術的対策、入退室管理や重要書類の施錠保管、情報機器の持ち出し管理や廃棄時の完全データ消去などの物理的対策、情報セキュリティ責任者の設置や明確な権限付与、情報セキュリティ規程の策定と周知、定期的なリスクアセスメントなどの組織的対策、さらに従業者に対する採用時および定期的な教育訓練や機密保持契約の徹底、内部不正防止のための権限管理と監査などの人的対策を講じます。また、年1回以上のセキュリティ監査と改善措置を行い、法令改正、技術動向、事故事例等に基づき対策を継続的に見直すことで、情報資産の適正な保護と情報セキュリティ水準の向上を図ります。
2. セキュリティ体制の構築と運用
情報セキュリティ管理責任者を任命し、情報セキュリティ管理体制を整備します。
情報セキュリティに関する規程・手順を定め、運用を定着させるとともに、
定期的に評価・見直しを行い、継続的な改善を図ります。
3. 教育・訓練の実施
当法人は、情報セキュリティ体制の確立と適正な運用を確保するため、代表者の権限により情報セキュリティ管理責任者を任命し、その権限と責務を明確にします。管理責任者のもと、情報セキュリティ委員会等の組織を設置し、全社的な情報セキュリティ管理体制を整備します。さらに、情報セキュリティに関する規程・手順書・マニュアルを策定し、全従業者に周知・教育を行い、日常業務における運用を徹底させます。加えて、年1回以上の内部監査や自己点検を実施し、管理体制や規程・手順の有効性を評価・検証するとともに、法令改正、技術動向、事故事例、リスク評価結果等を踏まえて随時見直しを行い、継続的な改善を図ります。
4. 法令・契約等の遵守
当法人は、情報セキュリティに関するすべての法令(個人情報の保護に関する法律、行政手続における特定の個人を識別するための番号の利用等に関する法律〔マイナンバー法〕、不正アクセス禁止法、著作権法、社会保険労務士法等)、ならびに所管官庁や業界団体が定めるガイドライン、指針、規範を遵守します。併せて、クライアントとの契約において合意した守秘義務、情報管理義務、再委託制限、利用目的制限その他の条件を誠実に履行し、違反が疑われる場合には速やかに調査・是正措置を講じます。これらの遵守により、クライアントおよび社会から信頼される組織としての責任を果たし、情報資産の適正な取扱いを確保します。
5. インシデント対応体制の整備
当法人は、情報セキュリティ上の事故(インシデント)が発生、または発生の疑いがある場合に備え、迅速かつ的確に対応するためのインシデント対応体制を整備します。これには、インシデント発生時の報告・連絡・記録・指揮命令系統を明確に定めた手順書の策定、情報セキュリティ管理責任者を中心とする緊急対応チーム(CSIRT等)の編成、必要に応じた外部専門機関や関係当局への通報体制の確立を含みます。発生時には、被害の拡大防止措置を直ちに講じるとともに、原因を迅速かつ正確に究明し、是正措置および再発防止策を策定・実施します。また、インシデント対応の有効性を維持・向上させるため、定期的に訓練・検証を行い、手順書や体制を継続的に改善します。
6. 外部委託先の管理
当法人は、情報処理その他情報資産の取扱いに関する業務を外部に委託する場合、委託先の選定段階において情報セキュリティ体制、法令遵守状況、実績等を評価し、必要かつ適切なセキュリティ対策を実施できる事業者を選定します。委託契約においては、守秘義務、利用目的の限定、第三者提供の禁止、再委託の制限、情報漏えい等のインシデント発生時の報告義務および責任分担、監査権限等を明確に定めます。委託後は、定期的な報告徴収、監査、現地確認等を通じて委託先のセキュリティ管理状況を監督し、必要に応じて是正措置を求めます。また、委託契約終了時には、情報資産の返却または完全消去を確実に実施させます。
本方針は、当法人に所属するすべての役員、従業員(正社員、契約社員、派遣社員、パートタイマー、アルバイトを含む)、業務委託者、実習生および当法人の業務に従事するすべての関係者に対して周知徹底し、その遵守を義務付けます。また、必要に応じて当法人のウェブサイトその他適切な手段により社外にも公開し、クライアントおよび社会に対して当法人の情報セキュリティに関する取組姿勢を明示します。