• ホーム
  • システムリスク管理の基本方針

システムリスク管理の基本方針

第1章 総則

  1. (目 的)
    幕別町商工会(以下、「本会」という。)は、システムに係る外部委託先が提供するサービスを利用して提供する「まくPay」を継続的・安定的に行ううえで、本会の情報資産に対し、適切な安全対策を実施することは重要な要件である。システムに障害が発生した場合には、発行額、回収額、未使用残高の把握ができなくなるおそれや、前払式支払手段式の発行の業務が継続不可能となるなど利用者に多大な損害を及ぼすおそれがあることから、特にシステムリスク管理を適切に行う必要がある。
    本会は、コンピュータシステムのダウンや誤作動、システムの不備、サイバーセキュリティ事案、又は、コンピュータが不正に使用されること等により利用者や前払式支払手段発行者が損失を被るリスク(以下「システムリスク」という。)が存在することを認識し、システム障害が発生することにより支障を来すおそれがある場合の措置を定め、必要に応じた態勢整備を行うことにより、適切にシステムリスク管理を行うために、本方針を策定する。
    本方針が有効に機能するよう、役職員がこれに関与し、これを支持しなければならない。

第2章 情報資産管理

  1. (情報資産とは)
    情報資産とは、情報と情報システム、並びにそれらが正当に保護され使用され機能するために必要な要件の総称であり、ハードウェア・ソフトウェア、ネットワーク、各種電子データのみならず、システム開発・運用のために必要な要員やドキュメント、職員が業務上知り得た個人情報等を含むものである。
    これらは本会の重要な資産であり、これらの機密性・完全性・可用性が失われると本会は損害を被る可能性が大きく、また利用者へ損害を与える場合もある。このため、本会はこれらに対する管理者を設置し、さまざまな脅威(故障、災害、誤処理、不正使用、破壊、盗難、漏洩、サイバーセキュリティ事案等)による被害を最小限にするために必要な対策を行う。
  2. (情報資産の分類)
    情報資産は、機密性・完全性・可用性の視点から重要度を「最重要」、「重要」、「一般」の3段階に分類のうえ、適切に管理しなければならない。
  3. (情報資産へのアクセス)
    本会は、情報資産がその目的に沿って適切に使用されるよう、正当な必要性に基づくアクセスのみを許可する。
  4. (情報資産の私的利用の禁止)
    職員は、本会の情報資産を私的に利用してはならない。
  5. (役員による確認)
    役員は、情報資産が適切に管理・保護されていることを確認する必要がある。このため、本会は定期的にこれらの調査を行い、報告を求める。
  6. (本会の意思決定)
    本会の意思決定は、情報資産の適切な利用と保護に背反するものであってはならない。
    職員に対して、本方針に違反する行為を命じてはならない。

第3章 情報システム

  1. (情報資産の管理に関する基準の準拠)
    情報システムは、本方針に準拠し、システムリスク管理のために必要な要件を満足しなければならない。本会は「個人情報保護に係る基準」を策定し、準拠する。
  2. (情報資産の管理に関する基準の遵守)
    情報システムの構築、運用において、前項の基準を遵守しなければならない。
  3. (情報資産管理責任者の設置)
    情報システムを適正に管理する責任者を設置する。

第4章 システムリスク管理体制

  1. (システムリスク管理体制)
    本会は、情報資産の保護のための統括責任者として事務局長を選任する。また、情報資産の保護を本会統一的な視点で行うために事務局がシステム管理部門として、必要なシステム管理体制を整備する。
  2. (システムリスク評価)
    事務局は、システムの制限値その他の事項につき、システムリスクを評価する職務を担う。
  3. (システムの企画・開発・運用管理)
    事務局は、システムに関する企画・開発・移行の計画に関し、システムに係る外部委託先に確認し、その内容を承認する手続を実施する職務を担う。
  4. (監査体制)
    監事は、各部門がシステム管理に関する内部規程、本方針やシステムの安全対策に関する各種の規定を遵守していることを検証する職務を担う。

第5章 全職員の参加と義務

  1. (職員の義務)
    すべての職員(臨時職員を含む)は、本方針並びにセキュリティに関する各種の規程を遵守しなければならない。
  2. (セキュリティ教育)
    本会は、情報資産の保護に関する職員の義務を周知徹底し、情報資産を保護するためのセキュリティ水準を維持・向上させるため、すべての職員に対してセキュリティに関する教育を継続的に実施する。
  3. (本方針に対する違反の検知と対応)
    本会は、本方針に対する違反を検知した場合、内部管理担当者と協力して問題解決にあたり、その原因追究、その再発防止の措置を講じる。

  1. (委託先の選定)
    外部委託に関しては、システムに係る外部委託先が委託対象業務を適性かつ確実に遂行することができる能力を有する者と確認するため、委託先の選定基準、委託契約における考慮事項や外部委託リスクが顕在化したときの対応について明確にする。
  2. (契約の締結)
    システムに係る外部委託先の役職員が遵守すべきルールや必要なセキュリティ要件を記載した契約を締結する。
    委託先が当該業務を適切に行うことができない事態が生じた場合には、当該業務の委託に係る契約の変更又は解除、他の適切な第三者に当該業務を速やかに委託する等、本会サービスの利用者保護に支障が生じること等を防止するための措置を含む。
  3. (安全対策の確認及びモニタリング)
    事務局長は、システムに係る外部委託先において必要な安全対策が確保されていることを確認し、かつ定期的にモニタリングしなければならない。
  4. (情報資産に関する法令の遵守)
    本会及び職員は、職務の遂行において使用する情報資産に関連する法令を遵守し、これに従う。関連する法令の周知は事務局長がこれを支援する。
ページトップに戻る