フジケン株式会社
電子情報処理組織の管理に関する基本規程
第1章 総 則
(目 的)
第1条 本規程は、当社が定める「電子情報処理組織の管理に関する基本方針」に基づき、当社が行う電子取引業務に用いる電子情報処理組織(以下「電子情報処理組織」という。)の具体的な管理方法を定める。
(定 義)
第2条 本規程における以下の用語は、各号に定める意味を有する。
1.「個人情報」とは、「個人情報保護規程」第2条(1)に定めるものをいう。
2.「個人データ」とは、「個人情報保護規程」第2条(6)に定めるものをいう。
3.「システムリスク」とは、電子情報処理組織のダウン又は誤動作等、電子情報処理組織の不備等に伴い顧客や当社が損失を被るリスクや電子情報処理組織が不正に使用されることにより顧客や当社が損失を被るリスクをいう。
4.「システム障害」とは、電子情報処理組織を構成する機材やソフトウェア等に問題が発生し、正常な稼働状態を維持できなくなる事象又は状況をいう。
(電子情報処理組織の管理に関する基本方針)
第3条 当社は、電子情報処理組織の管理を十分に行うための基本方針として「電子情報処理組織の管理に関する基本方針」を策定し、当社のホームページにて公表する。
1.当社は、「電子情報処理組織の管理に関する基本方針」に次の事項を定めるものとする。
(1)当社の名称
(2)電子情報処理組織の安全管理に関する宣言
(3)関係法令等の遵守の宣言
(4)電子情報処理組織の管理に関する基本方針の継続的改善の宣言
(5)電子情報処理組織の管理に関する質問及び苦情処理の窓口
2.当社は、必要に応じて「電子情報処理組織の管理に関する基本方針」の見直しを行うものとする。
(組織体制の整備)
第4条 当社は、電子情報処理組織の管理を行う部門として情報システム部を設置し、情報システム部責任者を電子情報処理組織の管理を統括する責任者(以下「システム管理責任者」という。)に任命する。
1.情報システム部は、本規程に従った電子情報処理組織の管理及び運用を行うとともに、本規程に規定する事項の記録及び確認を行うものとする。
(台帳等の整備)
第5条 情報システム部は、電子情報処理組織の運営状況を確認するための手段として、次に掲げる事項を含む電子取引業務の遂行により取得する情報に関する台帳(電磁的な記録として作成及び保管するものを含む。以下「電子情報処理組織管理台帳」という。)を整備する。
(1)情報の項目
(2)利用目的
(3)保管場所、保管方法、保管期限
(4)管理部署
(5)アクセス制御の状況
1.情報システム部は、電子情報処理組織管理台帳を活用し、システムリスクの所在や種類の特定を行うものとする。
(人的体制の整備)
第6条 当社は、電子情報処理組織を取り扱う者(当社の役職員の他、電子情報処理組織を取扱う外部委託先、その再委託先等を含む。以下同じ。)と非開示契約を締結するものとする。
1.情報システム部は、電子取引業務に用いる電子情報処理組織を取り扱う者に対して、セキュリティ意識の向上を図るため、電子情報処理組織の管理に関する教育及び訓練を行うものとする。
2.当社は、電子情報処理組織の管理を十分に行うための予算確保及び人材の育成を継続的に行うものとする。
(物理的・技術的な管理体制の整備)
第7条 情報システム部は、電子情報処理組織を取り扱う者に対し、電子情報処理組織へのアクセス権を付与し、アクセス権を付与された者以外が電子情報処理組織にアクセスできないよう、電子情報処理組織に技術的なアクセス制御を講じるとともに、アクセス権を有する者の棚卸しを年1回以上行うこととする。
1.情報システム部は、次に掲げる手法により電子情報処理組織に対する不正アクセス等の検知及び分析を行うものとする。
(1)アクセス者のログの監視
(2)システムに対する24時間365日の自動監視等
(3)システム異常検知時における通報・対応体制の整備
(4)ファイアウォール、ログの定期的な分析による不正アクセスの検知等
2.情報システム部は、外部からの不正アクセス又は不正ソフトウェアから電子情報処理組織を保護するため次に掲げる仕組を導入することとする。
(1)交信情報の暗号化
(2)ネットワーク不正侵入(ハッキング)に対する防止策
(3)コンピューターウイルスに対する防止策
(4)ホームページ又は電子メールにて顧客等とやり取りを行う際の誤操作の防止策
3.情報システム部は、電子情報処理組織の取扱いに関して、次に掲げる物理的な措置を講じるものとする。
(1)管理区域及び取扱区域の管理
(2)機器及び電子媒体等の盗難の防止
(3)個人データを持ち運ぶ場合の漏えい等の防止
(4)個人データの削除及び保管されている機器や電子媒体等の廃棄
(システム障害時への対応)
第8条 当社は、電子情報処理組織にシステム障害が発生した場合は、「システム障害等対応マニュアル」に基づき、システム障害時への対応を行うものとする。
(外部委託先管理)
第9条 情報システム部は、電子情報処理組織の管理を外部委託する場合には、次に掲げる基準をすべて満たす外部委託先(システム子会社を含む。以下同じ。)を選定することとする。
(1)外部委託先における電子情報処理組織の管理体制が不動産特定共同事業法第31条の2第2項及び本規程において当社に求められるものと同等であると認められること
(2)当社と外部委託先との間で委託契約が締結され、当該委託契約において、外部委託先との役割分担・責任分担、監査権限、再委託手続き、提供されるサービス水準、委託先におけるデータの漏えい、盗用、改ざん及び目的外利用の禁止が定められていること
(3)前号に規定する委託契約又は覚書等において、外部委託先の役職員が遵守すべきルールやセキュリティ要件が明記されていること
(4)外部委託先において情報漏えい事故等が発生した場合には、外部委託先において適切な対応がなされ、かつ、速やかに当社に報告される体制となっていること
(5)当社と外部委託先との間で締結する委託契約において、外部委託先が再委託する場合には当社の事前の承諾を必要とする旨、及び外部委託先と再委託先との間で締結する契約書等において再委託する業務の内容、条件、監督方法等が定められていることについて当社の事前の確認を必要とする旨が定められていること
1.情報システム部は、電子情報処理組織の管理に係るシステムの構築、保守、運用等に係る外部委託業務(二段階以上の委託を含む。)についても、当社が自らこれらの業務を行う場合と同様に、本規程に基づきリスク管理を行うこととする。システム関連事務を外部委託する場合についても同様とする。
2.情報システム部は、外部委託先との委託契約に含まれる監査権限に基づき、外部委託した業務(二段階以上の委託を含む。)が適切に行われていることを年1回以上モニタリングし、外部委託先における当社の顧客等のデータの運用状況を監視、追跡するものとする。
3.情報システム部は、外部委託先による当社の顧客等に関する情報へのアクセス権限にについて、委託業務の内容に応じて、次に掲げる方法により、アクセス制限を必要な範囲内に制限するものとする。
(1)取扱情報システムの限定
(2)アクセスできるデータベース等の限定
(3)アクセスできる従業者の限定
4.情報システム部は、外部委託先が再委託する場合には、次に掲げる条件をすべて満たす場合に限り、再委託を承諾できるものとする。(1)二段階以上の委託が行われた場合には、外部委託先が再委託先等の事業者に対して十分な監督を行っていることを当社が確認できること
(2)必要に応じ、当社から再委託先に対して直接の監督を行うことが可能であること
(3)再委託先等における顧客等のデータの運用状況を、当社が監視、追跡できる体制の整備が可能であること
(4)再委託先が当社の顧客等の個人情報を取り扱う場合には、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のため、再委託先から当社への定期報告の実施、当社による再委託先等の条件設定の実施について再委託先が承諾すること
(顧客財産への被害防止に関する対策)
第10条 当社は、顧客財産への被害の防止のために、顧客の出金先口座の指定・変更手続きにおいて、顧客と名義が異なる出金先口座への指定・変更を認めないこととする。
(顧客による誤操作など操作ミスに対する対策)
第11条 当社は、顧客がインターネットの誤操作等の操作ミスを防止するため、電子情報処理組織において、入力した注文内容を顧客が再度確認する画面を作成するものとし、確認画面は顧客が意識的に操作しない限り発注されない仕組みにするものとする。
(電子情報処理組織の管理状況に係る内部監査)
第12条 内部監査部は、電子情報処理組織の管理状況について年1回以上内部監査を行うものとする。
(定期的な見直し)
第13条 情報システム部は、電子情報処理組織の管理状況を勘案し、必要に応じ、本規程の見直しを行うものとする。
(規程の改廃)
第14条 本規程の改廃は、代表取締役の承認による。
付 則
1.本規程は、2023年12月1日より施行する。