ナナイロの顧客情報管理規定

顧客情報管理規定(セキュリティポリシー)について

税理士法人ナナイロ 顧客情報管理規定

1 目的(第1条)
第1条     (目的)
 この規定は、当法人がクライアントの情報を適切に管理するために定めるものであり、当法人の業務に従事する者(以下、「業務従事者」という)は、すべて従わなくてはならない。

2 内容(第2条~11条)
第2条      (責任者)
  1. 情報取扱に関する情報管理責任者は、当法人の代表社員COOである、青木幹雄とする。
  2. 情報取扱責任者は業務従事者に対し定期的に本規定の内容、意義について周知するものとする。
 
第3条      (情報取扱の原則)
  1. クライアント情報は当法人業務の目的のみに使用し、他に転用してはならない。
  2. クライアントから預かった電子情報は、当法人が管理する社内サーバーに保管するものとする。電子情報のうち、特に秘匿性が高いものについてはクライアント毎に異なるパスワードを設定する。ただし、明らかに重要度の低いもの、仮に漏洩してもクライアントの特定ができず、また、問題がないことが明らかな情報についてはこの限りではない。
  3. 電子情報に変換するのが困難な紙媒体情報については、第8条の取扱に従う。
 
第4条      (秘密保持誓約書)
  1. 当法人において新規業務を行う際には、原則として、クライアントの秘密情報の取扱いについて秘密保持誓約書を差し入れることとする。ただし、業務契約書を適時に締結し、当該契約の中に秘密保持に係る規定を盛りこむ場合には、その限りではない。
  2. 当法人の業務を外部に委託する場合には、原則として、当法人の情報取扱いについて秘密保持誓約書の差し入れを求めることとする。また、外部委託者において、本規定と同様の水準の情報取扱体制があることを確認するものとする。
 
第5条      (物理セキュリティ)
 業務従事者に対してセキュリティカードを貸与し、当法人への入退室を管理するもとする。情報取扱責任者は、セキュリティカードの貸与状況を常に把握し、必要最低限の貸与を行う。
 
 
第6条      (業務用パソコン等)
  1. 当法人の業務に利用するパソコン(個人持ち込みパソコンも含む、以下「業務用パソコン」という)については、BIOS及びOSの複層的パスワードを設定し、ウィルス対策ソフトを常に最新の状態にして使用するものとする。パスワードは推測されにくいものとし、定期的に変更するものとする。ただし、法人内部の業務用デスクトップパソコンについては、BIOSパスワードの設定を省略しても構わないこととする。
  2. 業務用パソコンを私用に供してはならない。
  3. 業務用パソコンでファイル交換ソフトを含む情報を拡散するソフトウエアをインストールしてはならない。
  4. 当法人から割り当てられた電子メールを私用に用いてはならない。
  5. 業務用デスクトップパソコンの利用は、法人内部の利用に限るものとし、外部に持ち運びが出来ない様にチェーンロック等で施錠管理するものとする。
  6. 業務従事者の業務用ノートパソコンには、クライアント情報は、原則として保管してはならない。ただし、特に必要がある場合には、情報取扱責任者の許可を得て、プロジェクト進行期間中のデータ及びメールデータについてのみ、ノートパソコンのローカルに保管することができる。この場合、業務用パソコンが交通機関、店舗などの外部に放置されないよう特に厳重に管理するものとする。また、当該データが記録されているローカルデータの保存領域について暗号化を行うことを条件とする。
  7. 業務従事者が業務用パソコン以外に、スマートフォン又はタブレットで電子メールの受信を行う事を希望する場合には、OSはiOSに限るものとする。また、利用にあたっては、パスコードを設定した上で、規定回数以上のパスコード入力誤りがあった際にはデータが完全に消去されるように初期設定しなければならない。
 
第7条      (情報保管及びアクセス権限)
  1. 当法人が契約するサーバーは、案件ごとにフォルダ管理を実施するものとし、当法人の業務従事者は、各案件の電子情報について適切に管理することとする。
  2. サーバーのクライアント情報は、契約が継続している案件を除き、業務終了後、原則として10年で消去する。ただし法令で保管年限が定められているもの、または特別に保管年限を決めた場合はそれに従う。
 
第8条      (紙媒体情報の取扱)
 紙媒体のクライアント情報については当面の業務に必要なもの以外は電子情報としてサーバーに保管するか溶解処理(シュレッダー処理も含む、以下同じ)するものとする。その他、紙媒体のクライアント情報を保管する場合には、所定の保管場所で適切に管理するものとする。
 
第9条      (紙媒体情報の外部持ちだし)
 クライアントの情報を紙媒体にて外部に持ち出す際には、情報管理責任者に事前確認を行うものとする。事前確認が困難な場合には、すみやかに報告し、確認を受けるものとする。外部に持ち出した紙媒体を当法人に持ち帰った場合には、すみやかに情報管理責任者の確認を受け、業務終了後、溶解処理するものとする。
 
第10条      (USBメモリ等の外部記録媒体)
 USBメモリ等の外部記録媒体による情報の交換は原則として禁止する。
ただし、情報管理責任者の許可を得た場合において、暗号化機能のあるUSBメモリ等の外部記録媒体を使用できるものとする。この場合であっても、外部記録媒体にデータを残さずに、データの受け渡しが終わり次第、外部記録媒体からはデータを消去するものとする。
 
第11条      (情報漏洩時の対応)
情報漏洩が起こった場合には、業務従事者は速やかに情報管理責任者に、その状況を電話またはメールにて報告しなければならない。