情報セキュリティ基本方針

(制定)平成30年1月18日
公益財団法人 日本英語検定協会
理事長 松川 孝一

情報セキュリティ基本方針

1.

理念および目的

公益財団法人日本英語検定協会(以下「協会」という。)は、日常の社会生活に必要な実用英語の習得及び普及向上に資するため、英語の能力を判定し、また様々な機会を通じてその能力を養成することにより、生涯学習の振興に寄与することを目的としています。このため、協会は個人情報を含む多くの情報資産を保有し、これを日々活用しています。また、情報技術を経営に積極的に取り入れ、業務の効率化と受験者様等に対するサービスの向上を目指しています。
 協会が取り扱う情報には、受験者等の個人情報のみならず、業務運営上の重要な情報など、協会外への漏えい等が発生した場合には、極めて重大な結果を招く情報を保有しています。したがって、情報およびそれらを取り扱う情報システムを様々な脅威から防御することは、協会の事業を守るのみならず、受験者等の個人情報を守るためにも必要不可欠です。そのために、情報を扱うすべての役職員等が遵守すべき情報セキュリティ対策の包括的な基準として、情報セキュリティ基本方針を策定し、これを実践し、継続的に改善、向上に努めることをここに宣言します。

2.

情報セキュリティの定義

情報セキュリティとは協会が保有する全ての情報資産(個人情報を含む)の機密性・完全性・可用性を確保し、維持することを指します。

(1)

機密性:許可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可、又は非公開にする特性。(情報漏洩や、不正アクセスからの保護)

(2)

完全性:資産の正確さ及び完全さを保護する特性。(情報の改ざんや誤謬等からの保護)

(3)

可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用可能である特性。(情報の紛失・破損やシステムの停止などからの保護)

3.

適用範囲

本方針の適用範囲は、次に掲げるものとします。

(1)

協会の役員及び職員、派遣契約に基づき協会に派遣されている労働者、業務委託契約に基づき協会内に常駐する労働者、協会が雇用するパート、アルバイトの全ての者を対象とする。

(2)

協会の管理下にある、全ての業務活動に関わる情報及び情報システムを対象とする。

(3)

対象となる情報には、文書および電子化されたデータを含み、協会が作成した法人文書のほか、作成途中の法人文書、協会外から入手した情報および個人情報を含む。

(4)

対象となる情報システムには、情報を電子的に処理するためのハードウェア、ソフトウェア、協会のすべてのネットワークのほか、運用管理および保守に必要な文書も含む。

(5)

協会以外に保管される情報資産であっても、協会保有の情報資産として認められるものは対象とする。

4.

実施事項

(1)

適用範囲の全ての情報資産(個人情報含む)を脅威(情報漏洩・不正アクセス・改ざん・紛失・破損等)から保護するための情報セキュリティマネジメントシステムを確立、導入、運用、監視、見直し、維持及び改善するものとします。

(2)

情報資産の取扱いは、関係法令及び契約上の要求事項を遵守するものとします。

(3)

重大な障害または災害から事業活動が中断しないように予防及び回復手順を策定し、事業活動と重要な業務プロセスの再開を確実にします。また、これらを定期的に見直すこととします。

(4)

情報セキュリティの教育・訓練・啓蒙活動を適用範囲すべての職員及び関係者に対して定期的に実施するものとします。

5.

責任と義務及び罰則

(1)

情報セキュリティの責任は、理事長が負う。そのために理事長は、適用範囲の者が必要とする資源を提供するものとします。

(2)

適用範囲の者は、協会保有の情報資産(個人情報含む)を守る義務があるものとします。

(3)

適用範囲の者は、本方針を維持する為に策定された手順に従わなければならないものとします。

(4)

適用範囲の者は、情報セキュリティに対する事故及び弱点を発見した場合、即時に報告しなければならないものとします。

(5)

適用範囲の者は、協会内外を問わず、あらゆる組織、団体、個人等の情報資産を侵害してはならないものとします。

(6)

適用範囲の者は、アクセス権限のない情報にアクセスしたり、許可されていない情報を利用してはならないものとします。

(7)

適用範囲の者は、協会の情報資産に対しそれが果たすべき役割と影響を十分に認識し、常にその機密性、完全性、可用性に配慮して適切に分類し、管理しなければならないものとします。

(8)

適用範囲の者は、情報資産の取扱いに対し法令及び規制、協会内規定等についても遵守する必要があるものとします。また、本方針やセキュリティに関する諸法規、条約、協会が定める規定等に対する違反があった場合、協会の定める規則等に従い罰則を適用します。

6.

情報セキュリティおよび基本方針の定期的な見直しと承認

情報資産を守るために、定期的に情報セキュリティ対策を評価し、改善が必要と認められた場合は、速やかに見直します。また、本方針の実効性を定期的に評価し、改善が必要と認められた場合には、本方針を見直します。また、当方針は情報セキュリティ管理委員会により定期的(年1回以上)に見直し、理事長が承認するものとします。

7.

本基本方針は、当協会のインターネット・ホームページ等に掲載することにより、いつでも閲覧可能な状態にします。

8.

個人情報の取扱い

当協会では基本的に個人情報を含めた情報資産全般に情報セキュリティマネジメントシステムを適用しますが、個人情報の保護・取得・利用・提供や開示、個人情報の取扱い等については、別掲の「個人情報保護方針」に従うものとします。