補遺編2 本来、セキュリティ対策はどうあるべきだったか：にわか管理者奮闘記（8）（3/4 ページ）

「セキュリティポリシー」

（1）目的

• お客さまの情報の安全確保
• 社員の情報の安全確保
• 会社の情報の安全確保

（2）情報の種類

• 公開情報＝誰にでも公開しても構わない情報
• 社外秘＝社員、および関係会社社員以外には公開しない情報
• 取扱注意（マル秘）情報＝限定されたメンバー以外には公開しない情報

（3）当社が扱う情報

• お客さま情報（すべて）＝社外秘
• 社員の個人情報＝取扱注意
• 会社の経理関係情報＝取扱注意
• 各社員の人事査定情報＝取扱注意
• サービス体系と価格表＝公開
• 駐車場の設置場所＝公開
• 料金回収手順＝取扱注意
• そのほか＝社外

（4）取り扱い方

• 公開情報＝特に注意点なし
  
  
• 社外秘＝原則社屋から外に持ち出さないこと。ただし、会社から貸与するノートパソコンを用いる場合は持ち出し可とする。ファイルをCD-ROMそのほかの媒体やノートパソコンなどにコピーして持ち出す場合、上長の書面による許可（「情報複写・持ち出し許可証兼破壊確認書」）を取ったうえで行う。また、持ち出したファイルは不要になり次第削除し、上長に確認してもらったうえで前述の確認書に破壊確認印をもらうこと。印刷する場合は印刷物に社外秘印を押印する。また、不要になり次第シュレッダーで処理・廃棄すること。持ち出しについては、前述のファイルの手順、書類の手続きを経ること
  
  
• 取扱注意＝限定メンバー以外閲覧など不可。サーバに置き、自分のパソコンやCD-ROMそのほかの媒体にはコピー不可。限定メンバーであってもいかなる形での社外への持ち出しは不可。印刷物、メール、ファイル交換、VPNなどによるやりとりも不可（一部であっても）。印刷した場合はマル秘印を押印し、施錠した場所に保管すること。また、不要になり次第シュレッダーで処理・廃棄すること

（5）私用パソコンなどの利用禁止

社内のネットワークに個人の所有するパソコン、機器などを接続してはならない。また、パソコンは「利用の手引き」に従って使用すること

（6）報告の義務

すべての社員は、このセキュリティポリシーに違反する行為を見つけた場合には自分の上長に報告すること。報告を受けた上長は、セキュリティ管理者に連絡すること

（7）協力会社、派遣社員との契約

上記と同等のセキュリティ管理を求め、秘密保持契約を結ぶこと

（8）体制

社長直属のセキュリティ管理者を2名設置する。全社員はセキュリティ管理者からのセキュリティ上の要請には無条件に従うこと

（9）罰則

このセキュリティポリシーに違反した場合、3日間の情報システム利用停止、1週間の停職、または懲戒免職とする。また該当社員の上長は戒告、1カ月または6カ月、15％の減給とする