あさがお法律事務所は、個人情報(個人を識別できる情報)および法人の機密情報の重要性を認識し、その適正な収集、利用、保護をはかるとともに、安全管理を行うため、次のとおり運用します。
1 用語
本書で用いる用語は、日本弁護士連合会の弁護士情報セキュリティ規程(会規第117号。以下「規程」という。)で定義されたも
のと同様とする。本書で保護の対象となる「取扱情報」も規程で定義されているとおり「弁護士等がその職務上取り扱う情報」を広く
含むが、公開情報等の情報セキュリティを保持する必要のない情報は含まない。
2 安全管理措置
(1) 組織的な安全管理措置
当事務所の情報セキュリティ管理者を代表弁護士とする。情報セキュリティ管理者は、補助者として情報セキュリティ管理補助者を置くことができる。
(2) 人的な安全管理措置
ア 当職は日本弁護士連合会が発信する情報セキュリティに関する脅威や脆弱性についての情報等の情報セキュリティに関する注意情報を収集する。
イ 当職は取扱情報の情報セキュリティを維持するために必要な情報セキュリティに関する脅威や脆弱性についての教育及び訓練に参加する。
ウ 取扱情報の取扱いを第三者に委託するときは、適切な情報セキュリティ対策を行っている委託先を選定する。
(3) 物理的な安全管理措置
ア 取扱情報がみだりに第三者の目に触れないようロッカー―に収納する。
イ 第三者が許可なく執務スペース等の取扱情報にアクセス可能な場所に立ち入らないようにするため、出入り口の施錠又は何らかの入退室確認を行う。
ウ 来訪した第三者を取扱情報にアクセス可能な場所に単独では入室させない。
(4) 技術的な安全管理措置
ア アカウント管理及びアクセス制御
① 当事務所で用いるソフトウェア、サービス又はハードウェアの利用に際して、必要かつ可能な場合は、ID、パスワード等を用いた認証及びアクセス権限・範囲の設定等によるアクセス制御を行う。
② アカウント情報は、当該アカウント利用者以外の者の目に触れるところに書き記さない。
③ アカウントのパスワードについては、適切な長さと複雑さを持たせ、第三者から推測されないようにする。
イ ソフトウェア及びサービス(以下「ソフトウェア等」という。)
① 事務職員等に対し、別途当職が定めたもの以外のソフトウェア等の使用を禁じ、それ以外のソフトウェア等を使用する必要がある場合は、事前に報告させ、当職の承諾の上で使用させる。
② OSを含むソフトウェア等のアップデートを適切に設定し、必要な更新を行う。
③ ウェブサイトを閲覧する際には、マルウェアに感染しないために、業務上必要な範囲を超えての不必要なサイトの閲覧又はファイルのダウンロードは行わない。
ウ ハードウェア
ウ ハードウェア
① ファイアウォールの設定、セキュリティ対策ソフトのインストール等の適切な防御措置を施して、それを最新の状態に保ち、定期的にチェックを行う。
② ネットワーク機器、複合機等のファームウェア等のアップデートを適切に設定し、必要な更新を行う。
③ ハードウェアでもパスワードの設定等アクセス制御の機能がある場合は、必要に応じて第三者から容易に推測されない適切な強度のパスワード等を設定する等の措置を講ずる。
④ 取扱情報にアクセスできるルータ、ノートパソコン、スマートフォン等のハードウェアを、当事務所の所属者以外の第三者に使用させない。
⑤ ハードウェアに対し外部からインターネットを経由したアクセスを許さない。
⑥ 事務職員等が業務用に貸与されたハードウェア以外の自己所有のスマートフォン等を業務で使用する場合は、あらかじめ当職の許可を得るものとし、使用に際しては本書に規定された安全管理措置と同等の対策を施すものとする。
3 情報のライフサイクル管理
(1) 情報の受領・取得
ア 受領・取得(総論)
取扱情報の受領又は取得に関し、その方法又は利用する情報機器の特性に応じ、次のイからオまでに掲げる対策を取り、情報セキュリティの維持に注意を払う。
イ 受領(FAX)
① 受信がいつでも確実に行われるように機器の整備を行う。
② 受信したFAX文書について適切な受信管理を行う。
ウ 受領(郵便、宅配便)
① 郵便及び宅配便(以下「郵便等」という。)を受領するときは、みだりに配達人を執務室内に立ち入らせないようにする等、情報漏えいを防止する措置を講ずる。
② 郵便受その他これに相当するものには、錠を付ける等、郵便等の破損又は持ち去りを可及的に防ぐための措置を講ずる。
エ 受領(電子メール)
① 電子メールを受信するコンピュータ又はソフトウェア(OSを含む。)に対し、あらかじめマルウェア等による攻撃を防ぐためのソフトウェア等の適用を行う。
② 電子メールを受信した場合において、送信者(氏名、メールアドレス等)の表示、文面、文面に記載されたリンク、添付ファイルの名称及びファイル形式、メールソフトウェアの警告表示等を注意深く確認する等して、不審であると判断したときは、電子メール又は添付ファイルを安易に開かず、リンクを安易にクリックせずに、発信者に電話、ショートメッセージ等電子メールとは異なる方法で発信の有無、内容等を確認する等サイバー攻撃を回避する措置を講ずる。
オ 取得(撮影、録音又は録画)
① スマートフォン、デジタルカメラ等の撮影、録音又は録画の機能を有する機器(以下「スマートフォン等」という。)により取扱情報を撮影、録音又は録画する方法により記録する場合、情報の漏えい及び拡散の防止を図るため、使用するスマートフォン等を紛失しないように注意し、スマートフォン等のパスワード等を設定する等の措置を講ずる。
② スマートフォン等をネットワークに接続させるときは、ネットワーク上の第三者からもアクセスできる領域に、写真、動画等の取扱情報がアップロードされないよう適切に設定する等、記録した取扱情報の漏えいを防止する措置を講ずる。
(2) 情報の保管
ア 保管(紙媒体記録等)
① 紙媒体記録等(取扱情報が記載された紙その他の有体物。以下同じ。)を第三者からのアクセスを適切に制御できる場所に保管し、容易に第三者が紙媒体記録等の内容を認識できる場所に放置しない等、紙媒体記録等の漏えい、改ざん及び紛失を防止するための措置を講ずる。
② 紙媒体記録等の紛失又は漏えいを防止するため、紙媒体記録等に含まれる情報の秘匿の必要性に応じて、適切な保管場所及び保管方法を選択する。
イ 保管(データ)
データの性質等に応じて必要な場合は、当該データ又はフォルダにアクセスできる者をID、パスワード等により制限する等、データの漏えい、改ざん及び紛失を防止するための適切な措置を講ずる。
ウ 保管(モバイル機器)
モバイル機器(持ち運びが容易なUSBメモリ、スマートフォン、タブレット、ノートパソコン等の情報機器)に格納して取扱情報を取り扱うときは、イのデータの保管に関する措置を講ずるほか、取扱情報及び使用するモバイル機器の特性に応じて、特に以下で定める措置を講ずる。
① モバイル機器に保存する目的を超えてデータをモバイル機器に格納しない。また、その格納する必要がなくなったときは、速やかにモバイル機器から当該データを消去する。
② データをモバイル機器に格納して外部に持ち出すときは、事前に代表弁護士の承諾を得たうえで、持ちだした情報内容とその返還を記録する。
③ モバイル機器の所在を常に把握する等モバイル機器について適切な管理を行い、遠隔操作によるデータの消去が可能な場合はその設定を行っておく等の相当な措置を講ずる。
エ 保管(外部サービス)
① 外部サービス(ファイル転送、クラウドストレージ、メッセージ交換等)を用いてデータを取り扱うときは、当該外部サービスの信頼性を十分に吟味し、外部サービスの利用により守秘義務違反を招かないように注意する。
② 外部サービスの利用を停止するときは、当該外部サービスで保管しているデータを確実に消去する。
(3) 情報の発信・交付等
ア 発信・交付(総論)
取扱情報を発信する際には、宛先違い及び内容違いがないか確認する。
イ 発信(FAX)
① 繰り返し送信することが予定される送信先については、当該送信先のFAX番号をあらかじめ登録する。
② 取扱情報をFAXで送信したときは、送信記録を作成して保管する。
ウ 発信(電子メール等)
① 電子メール、携帯電話又はスマートフォンのショートメッセージ、SNSのメッセージツール等インターネット経由の送信方法(以下「電子メール等」という。)により、その性質上漏えいにより深刻な結果を招くおそれのある取扱情報を発信する場合は、宛先違い、内容違いがないか十分に確認し、できるだけ安全な方法を選択する。
② 複数の宛先に電子メールを送信するために同報送信機能を利用する場合は、電子メールアドレスが個人情報に該当する場合があることに留意しつつ、cc(カーボン・コピー)機能とbcc(ブラインド・カーボン・コピー)機能を適切に使い分ける。
エ 発信(SNS)
情報主体の承諾なく、公衆に向けて送信するSNSにおいて取扱情報及びこれを推知させる情報を書き込まない。
オ 交付
取扱情報が記載又は記録された文書又は物品を交付(直接対面で渡すこと)する場合は、受領者の権限を確認した上で交付するものとし、受領証を取り付ける等当該文書又は物品の交付の事実及び受領者を確認できる措置を講ずる。
カ マスキング
取扱情報の一部にマスキングを施して相手方当事者や第三者に提示する場合は、開示すべきでない情報を確実にマスキングするように注意する。特に、画像、PDF又は文書ファイル等のデータを加工してマスキングするときは、提出先においてマスキングを除去することができないように注意する。
(4) 情報の持ち出し・複製
ア 持ち出し
紙媒体記録等及び取扱情報を格納したモバイル機器を必要な範囲を超えて外部に持ち出さない。
イ 複製(紙媒体記録等のデータ化を含む。)
① 取扱情報を必要な範囲を超えて複製しない。
② 情報漏えい及び目的外利用の危険を考慮し、複製の可否及び範囲を慎重に判断する。
③ 複製物を適切に管理し、紛失の防止に必要な措置を講ずる。
(5) 情報の廃棄・返還
ア 廃棄(総論)
① 保有する必要のない取扱情報は、速やかに廃棄する。
② 取扱情報を廃棄する場合は、代表弁護士の承諾を得るものとし、廃棄の可否を慎重に判断し、誤って必要なデータを廃棄しないように注意する。
③ 取扱情報の廃棄を専門業者等に委託する際には、委託先が守秘義務を負っていること及び廃棄方法の適切さ等を確認する等して、委託先から取扱情報が漏えいすることを防ぐ措置を講ずる。
④ 外部業者に委託して廃棄したとき(例えば、業者に委託して紙媒体記録等を溶解したとき、業者に委託してパソコン、モバイル機器等のデータを消去したとき等)は、廃棄した取扱情報の概要、廃棄の時期、廃棄に際して講じた措置等を記録し、適切な期間保管する。
イ 廃棄(紙媒体記録等)
① 取扱情報が記載された紙媒体記録等を廃棄するときは、漏えいを防止するためシュレッダによる裁断、溶解処理等の措置を講ずる。溶解処理を委託する場合には、受託業者に守秘義務を負わせる。
② 取扱情報が記載された紙媒体記録等の裏面を流用しない
ウ 廃棄(データ)
取扱情報に該当するデータが格納されている電子媒体を廃棄するときは、消去ソフトウェアを利用する、破壊処理を行う等データを読み取ることを不可能とする等の措置を講ずる。
エ 返還
情報主体から預かった書類又は物品を返還するときは、必要に応じて、返還する書類又は物品の内容を確認して記録し、その返還記録を適切に保管する。
4 点検及び改善
(1) 基本的な取扱方法の実施状況を、常時点検し、報告を受ける。
(2) 前号の点検の結果、基本的な取扱方法が有効に実施されていないことが分かった場合は、その原因を特定し、改善計画を立案し、必要がある場合は基本的な取扱方法を改訂する。
5 漏えい等事故が発生した場合の対応
(1) 取扱情報の漏えい、滅失、毀損等の事故(以下「漏えい等事故」という。)が発生した場合には、当職がその対応を指揮し、事務職員等の役割分担を決定する。
(2) 漏えい等事故が発生した場合、発見者は、当職に対し、速やかに報告し、指示を仰ぐ。
(3) 原因を調査し、情報主体への連絡、マルウェアに感染した情報機器の停止若しくはネットワークからの遮断又はセキュリティ対策ソフトウェアによる検査若しくは駆除等の応急措置を実行する。
(4) 必要に応じ、外部の情報セキュリティの専門家等の助言又は補助を得る。
(5) 調査の結果判明した原因についての対策を実行する。
以上
