コンテンツにスキップ

情報セキュリティポリシー(AUP)

正式文書

  • PDF または正式 URL へのリンク: 英語版「Authoritative document」を参照

所管

項目
所管 Takayuki KIKUCHI
最終確認日 2026-04-13

概要

本情報セキュリティポリシーは、故意または過失を問わず、個人による違法または損害を与える行為から、Rendering Consulting Inc.(以下「当社」)の従業員、パートナー、および会社を保護することを目的とする。

インターネット/イントラネット/エクストラネット関連システム(コンピュータ機器、ソフトウェア、オペレーティングシステム、記憶媒体、電子メール、ウェブ閲覧、ファイル転送を提供するネットワークアカウントなどに限定されない)は、当社の財産である。これらのシステムは、通常の業務の過程で、会社、およびクライアントと顧客の利益に資する業務目的で使用されるものとする。

効果的なセキュリティは、情報および/または情報システムに関与する当社のすべての従業員または請負業者の参加と支援を伴うチーム努力である。すべてのチームメンバーが本ポリシーを読み理解し、それに従って活動を行う責任を負う。

目的

本ポリシーの目的は、当社の情報セキュリティポリシーを周知し、当社の情報および資産の許容される利用と保護の枠組みを示すことにある。これらのルールは、顧客、従業員、および当社を保護するために定められている。不適切な利用は、ウイルス攻撃、ネットワークシステムおよびサービスの侵害、法的およびコンプライアンス上の問題などのリスクを当社にもたらす。

当社の「情報セキュリティポリシー」は、本ポリシーおよび本文書内で参照および/またはリンクされるすべての当社ポリシーによって構成される。

適用範囲

本ポリシーは、当社の業務の遂行または社内ネットワークおよび業務システムとの相互作用のために、情報、電子およびコンピューティングデバイス、およびネットワークリソースの利用に適用される。対象には、当社、従業員、または第三者が所有またはリースする資産が含まれる。当社およびその子会社におけるすべての人員、請負業者、コンサルタント、臨時雇用者、その他の労働者は、当社のポリシーおよび標準、ならびに地域の法律および規制に従い、情報、電子デバイス、およびネットワークリソースの適切な利用について合理的な判断を行使する責任を負う。

本ポリシーは、第三者に関連するすべての人員を含む、当社の従業員、請負業者、コンサルタント、臨時雇用者、その他の労働者に適用される。本ポリシーは、当社が管理する会社および顧客データ、ならびに当社が所有またはリースするすべての機器、システム、ネットワーク、およびソフトウェアに適用される。

セキュリティインシデントの報告

すべてのユーザーは、ポリシー違反および観察されたセキュリティ上の弱点を含む、既知または疑われるセキュリティ事象またはインシデントを報告しなければならない。インシデントは、直ちに、または可能な限り速やかに、GitHub にチケットを提出して報告するものとする。

報告には、インシデントまたは観察内容と、関連する詳細を記載すること。

内部通報(匿名の不正報告)

当社の内部通報方針は、従業員およびその他の関係者が重大な懸念を社内で提起できるよう奨励し、不適切な行為および行動に対処し是正することを目的とする。倫理規定の違反、または当社の運営を規律する法律または規制に対する疑われる違反に関する懸念を報告することは、すべての従業員の責任である。

誠実に倫理違反、法律違反の疑い(差別の申立て、不正の疑い、いかなる規制違反の疑いを含む)を報告した従業員またはその他の者に対して報復することは、当社の価値観に反する。誠実に違反を報告した者に対して報復した従業員は、雇用の終了を含む懲戒の対象となる場合がある。

誠実に、フォローアップが必要な場合の任意の連絡先を含む機密性のある提出を可能にする当社の公開ウェブサイト上の内部通報チャネルから、報告を行うことができる:内部通報(Whistleblower)

モバイルデバイスポリシー

すべてのエンドユーザーデバイス(例:携帯電話、タブレット、ラップトップ、デスクトップ)は、本ポリシーに従わなければならない。人員は、マルウェアを含む可能性がある、未知の送信者から受信した電子メールの添付ファイルを開く際には極めて注意を払わなければならない。

システムレベルおよびユーザーレベルのパスワードは、アクセス制御ポリシーに準拠しなければならない。故意に、またはデバイスを適切に保護しないことにより、他者にアクセスを与えることは禁止される。

当社の情報システム(例:メール)にアクセスするために使用されるすべてのエンドユーザー、個人所有(BYOD)、または会社所有のデバイスは、以下のルールおよび要件に従うものとする。

  • デバイスは、5分間非使用後にパスワード(または生体認証などの同等の制御)で保護されたスクリーンセーバーまたは画面ロックでロックされなければならない
  • デバイスは、放置時は常にロックされなければならない
  • モバイルデバイスの疑われる誤用または盗難は、直ちに CEO に報告しなければならない
  • 機密情報をモバイルデバイスまたは USB ドライブに保存してはならない(氏名、電話番号、電子メールアドレスなどの業務連絡先情報は除く)
  • 会社のリソース(ファイル共有やメールなど)にアクセスするために使用するモバイルデバイスは、いかなる他者とも共有してはならない
  • 雇用終了時、ユーザーはすべての会社所有デバイスを返却し、個人デバイスからすべての会社情報およびアカウントを削除することに同意するものとする

クリアスクリーン・クリアデスクポリシー

ユーザーは、機密資料をデスクまたは作業スペース上で無防備に放置してはならず、使用していないときは画面がロックされるようにしなければならない。

リモートワークおよびアクセスポリシー

リモートワークとは、組織の人員がオフィス外の場所で業務を行うあらゆる状況を指す。在宅勤務、テレコミューティング、柔軟な職場、仮想作業環境、およびリモート保守が含まれる。当社のネットワークにアクセスするために使用されるラップトップおよびその他のコンピュータリソースは、当社の情報セキュリティポリシーに概説されたセキュリティ要件に適合し、以下の標準に従うものとする。

  • 侵害されたデバイスを会社ネットワークに接続しないようモバイルデバイスを確保するため、クライアント側アンチウイルスソフトウェアの使用および適用をアンチウイルス方針が要求する
  • アンチウイルスソフトウェアは、悪意のあるソフトウェアを検出して防止または隔離し、定期的なシステムスキャンを実行し、自動更新を有効にするよう構成されなければならない
  • 自宅のネットワークで作業する場合は、名前、パスワード、管理者アクセスなど、デフォルトの Wi-Fi 設定を変更すること
  • モバイルコンピュータ上に安全で最新のソフトウェアファイアウォールが構成されていない限り、外部のネットワークに接続してはならない
  • 当社のリソースにアクセスするために使用するシステム上の、個人用ファイアウォール、アンチウイルスソフトウェアなどの組織のセキュリティ制御を変更または無効化することは禁止される
  • 会社が提供または承認し、多要素認証(MFA)用に構成されている限り、リモートアクセスソフトウェアおよび/またはサービスの使用は許可される。承認されたリモートアクセスツールには、MFA が適用された会社管理の Google Workspace アカウント経由でアクセスする Google Remote Desktop が含まれる
  • 承認されていないリモートアクセス技術を、当社のシステム上で使用またはインストールしてはならない
  • 公共のコンピュータ(ビジネスセンター、ホテルなど)からアクセスする場合は、セッションからログアウトし、何も保存しないこと。「ログイン状態を保持する」にチェックを入れず、印刷物をすべて回収し、当社が管理しないシステムにファイルをダウンロードしないこと

許容される利用ポリシー

当社の専有情報および顧客情報は、当社、従業員、または第三者が所有またはリースする電子およびコンピューティングデバイスに保存される場合であっても、本ポリシーの目的においては当社専有の財産である。従業員および請負業者は、法的または技術的手段を通じて、専有情報がデータ管理ポリシーに従って保護されることを確保しなければならない。ラップトップまたは会社支給デバイスのユーザーには、業務ファイルの保存に Google Drive の使用が求められる。重要な文書をファイル共有に保存することが、ラップトップを「バックアップ」する方法である。

当社の専有情報または機器の盗難、紛失、または不正な開示は、速やかに報告する責任がある。当社の専有情報へのアクセス、使用、または共有は、割り当てられた職務を遂行するために認可され必要な範囲に限られる。従業員は、会社支給デバイスの個人利用の合理性について合理的な判断を行使する責任を負う。

セキュリティおよびネットワーク保守の目的で、当社内の権限を有する者は、いつでも機器、システム、およびネットワークトラフィックを監視することがある。 当社は、本ポリシーへの遵守を確保するために、ネットワークおよびシステムを定期的に監査する権利を留保する。

禁止される利用

以下の活動は、一般的に禁止される。従業員は、適切に文書化された管理職の承認がある場合、正当な職務責任の範囲でこれらの制限から免除されることがある。いかなる状況においても、当社の従業員は、当社が所有するリソースを利用している間、またはいかなる能力においても当社を代表している間に、地域、州、連邦、または国際法において違法な活動に従事することを許可されない。以下のリストは網羅的ではないが、禁止される利用のカテゴリに該当する活動の枠組みを提供するものとする。

以下の活動は、例外なく厳格に禁止される。

  1. 著作権、営業秘密、特許、その他の知的財産または類似の法律または規制によって保護されるいかなる者または会社の権利の侵害。これには、当社による使用に適切にライセンスされていない「違法コピー」またはその他のソフトウェア製品のインストールまたは頒布が含まれるが、これに限定されない
  2. 雑誌、書籍、その他の著作権ソースからの写真のデジタル化および頒布、著作権音楽、ならびに当社またはエンドユーザーが有効なライセンスを有しない著作権ソフトウェアのインストールを含むがこれに限定されない、著作権資料の無許可複製
  3. 認可されたアクセスを有する場合であっても、当社の業務の遂行以外の目的でデータ、サーバー、またはアカウントにアクセスすることは禁止される
  4. 国際または地域の輸出管理法に違反して、ソフトウェア、技術情報、暗号化ソフトウェア、または技術を輸出することは違法である。疑問のある資料を輸出する前に、適切な管理職に相談しなければならない
  5. ネットワークまたはシステムへの悪意のあるプログラム(例:ウイルス、ワーム、トロイの木馬、メール爆弾など)の持ち込み
  6. 他者にアカウントパスワードを開示したり、他者によるアカウントの使用を許可したりすること。在宅勤務時には家族およびその他の同居人を含む
  7. セクシャルハラスメントまたは敵対的職場環境の法律に違反する資料の調達または送信に積極的に従事するために、当社のコンピューティング資産を使用すること
  8. 当社のいかなるアカウントから発信される製品、物品、またはサービスについての詐欺的な申し出
  9. 通常の職務の一部でない限り、明示または黙示による保証に関する表明
  10. ネットワーク通信のセキュリティ侵害または妨害。セキュリティ侵害には、従業員が意図された受信者でないデータへのアクセス、または従業員が明示的にアクセスを許可されていないサーバーまたはアカウントへのログインが含まれるが、これらの職務が通常の職務の範囲内にある場合を除く。本項の目的において、「妨害」には、悪意の目的でのネットワークスニッフィング、ping フラッド、パケットスプーフィング、サービス拒否、および偽造ルーティング情報が含まれるが、これに限定されない
  11. 当社エンジニアリングチームへの事前通知がない限り、ポートスキャンまたはセキュリティスキャンは明示的に禁止される
  12. 従業員の職務の通常の一部でない限り、従業員のホスト向けでないデータを傍受するあらゆる形式のネットワーク監視の実行
  13. いかなるホスト、ネットワーク、またはアカウントのユーザー認証またはセキュリティの回避
  14. 当社ネットワーク上へのハニーポット、ハニーネット、または類似技術の導入
  15. 従業員のホスト以外のユーザーに対するサービスの妨害または拒否(例:サービス拒否攻撃)
  16. ユーザーのセッションを妨害または無効にする意図で、いかなる手段によるあらゆるプログラム/スクリプト/コマンドの使用、またはあらゆる種類のメッセージの送信
  17. 許可なく当社外の当事者に対して、当社の従業員、請負業者、パートナー、または顧客に関する情報またはリストを提供すること

メールおよびコミュニケーション活動

会社のリソースを使用してインターネットにアクセスし利用する際、ユーザーは会社を代表していることを自覚し、それにふさわしく行動しなければならない。

以下の活動は、例外なく厳格に禁止される。

  1. そのような資料を明示的に要求していない個人に「ジャンクメール」またはその他の広告資料を送信することを含む、未承諾の電子メールメッセージの送信(メールスパム)
  2. 言語、頻度、またはメッセージのサイズを通じた、電子メール、電話、またはテキストによるあらゆる形式のハラスメント
  3. 電子メールヘッダ情報の無許可使用または偽造
  4. ハラスメントまたは返信の収集を意図して、投稿者のアカウント以外の電子メールアドレスに対する勧誘
  5. あらゆる種類の「チェーンレター」、「ポンジ」、またはその他の「ピラミッド」スキームの作成または転送
  6. 当社によってホストされる、または当社のネットワーク経由で接続されるいかなるサービスの代理、または広告のために、当社ネットワーク内またはその他のサービスプロバイダーから発信される未承諾の電子メールの使用

参照により組み込まれるその他のポリシーおよび手順

ポリシー 目的
アクセス制御ポリシー ビジネス目的に従い、情報および情報処理システム、ネットワーク、施設へのアクセスを許可された当事者に限定すること。
資産管理ポリシー 組織の資産を識別し、適切な保護責任を定義すること。
事業継続・災害復旧計画 当社の管理が及ばない要因(自然災害、人為的事象など)による長期のサービス停止に備え、可能な限り広範なサービスを最短の時間枠で復旧すること。
暗号化ポリシー 情報の機密性、真正性、および/または完全性を保護するために、暗号化技術を適切かつ効果的に使用することを確保すること。
データ管理ポリシー 情報が組織における重要性に応じて分類および保護されることを確保すること。
人事ポリシー 人員および請負業者がセキュリティ要件を満たし、責任を理解し、その役割に適していることを確保すること。
インシデント対応計画 疑われるまたは確認された情報セキュリティインシデントに関するポリシーおよび手順。
運用セキュリティポリシー 情報処理システムおよび施設の正確かつ安全な運用を確保すること。
物理セキュリティポリシー 組織の情報および情報処理施設に対する不正な物理的アクセスまたは損害を防止すること。
リスク管理ポリシー 会社のビジネスおよび情報セキュリティ目標を達成するために、当社の情報セキュリティリスクを評価および管理するプロセスを定義すること。
セキュア開発ポリシー アプリケーションおよび情報システムの開発ライフサイクル内で情報セキュリティが設計・実装されることを確保すること。

ポリシー遵守

組織は、継続的な監視、ならびに社内および社外の監査を含むがこれに限定されないさまざまな方法を通じて、本ポリシーへの遵守を測定し検証する。

例外

本ポリシーに対する例外の申請は、承認を得るために CEO に提出しなければならない。

違反と執行

本ポリシーに対する既知の違反は CEO に報告するものとする。本ポリシーへの違反は、会社の手続きに従い、システムおよびネットワーク権限の即時停止・剥奪、ならびに雇用の終了を含む懲戒処分の対象となる場合がある。