リモートワークエンジニア案件Remogu(リモグ)情報セキュリティ対策ルール

情報セキュリティ対策ルール

【1】目的

本ルールは、サービス提供者がサービス業務に関連してクライアントより提供を受ける情報等を取り扱うにあたり、サービス提供者が当該サービス業務を「Remoguユーザー」に再委託した場合において、「Remoguユーザー」が遵守すべき事項を定め、もって適切な情報管理を行うことを目的とする。

【2】定義

  1. サービス提供者:「Remogu」の運営会社である当社をいう。
    • サービス業務:サービス提供者がクライアントに対して提供する、ソフトウェア開発、コンサルティングその他クライアントがサービス提供者に対して委託する業務をいう。(なお、サー ビス提供者が再委託した業務を含む)
    • Remoguユーザー:「Remogu」の登録者のうち、当社と業務委託契約を締結した者をいう。
    • クライアント:サービス提供者の顧客、サービス業務の提供先となる者をいう。
  2. 対象システム:対象システムとはサービス業務で利用するシステムのうち、クライアントが利用を許可したシステム(PC、スマートフォン、タブレット、サーバ、DB、ミドルウェア、アプリなど)をいう。

【3】資産管理

  1. サービス業務で利用するすべてのPCやスマートフォンなどのハードウェアは台帳を作成し、サービス提供者の事前承認を得ること。また変更がある場合は速やかに届出を行うこと。
  2. 対象システムに関する情報資産(ハードウェア、ソフトウェア等)が不要になった場合、保存データを削除し、その内容をサービス提供者に通知して承認を得ること。

【4】アクセス権管理

  1. 「Remoguユーザー」は、対象システムへのアクセス権限の付与について、業務上必要な範囲でサービス提供者へ要請する。また、当該権限の内容について、サービス業務の内容と照らし、必要最小限の内容に留まっていることを確認する。「Remoguユーザー」は、業務上必要ではないアクセス権限が付与された場合であっても、業務上必要ではない情報にアクセスしてはならない。また、不正に情報を取得し、濫用してはならない。
  2. 対象システムのアカウントは、原則としてユーザーに固有なものとして発行、利用し、他者との共有をしない。共有が必要な場合はサービス提供者の承認を得る。
  3. パスワードは、以下に定義するパスワードポリシーに全て準拠する。
    1. 8文字数以上で設定する。
    2. 英字・数字・記号、大文字小文字を3パターン以上混在させること。
    3. 名前・生年月日などの個人情報から推測できない内容にすること。
    4. 英単語などをそのまま使用しないこと。
    5. 類推しやすい並び方やその安易な組合せにしないこと。
      ただし、クライアントのパスワードポリシーに抵触しないものとする。

【5】セキュリティ運用

  1. サービス業務で利用するすべてのPCおよびサーバは、ふるまい検知型のマルウェア対策ツールを実装し、リアルタイムスキャンの有効化、ベンダーからリリースされたパターンファイルを適切に更新する。
  2. サービス業務で利用するすべてのPCやスマートフォンなどのハードウェアでは、マルウェア感染などのリスクがあるウェブサイトへのアクセスは行わない。
  3. サービス提供者からバージョンの指定がある場合を除き、サービス業務で使用するすべてのソフトウェア(OS、ファームウェア、ミドルウェアを含む)のセキュリティパッチは、常に最新の状態に保つこと。
  4. サービス業務で利用するすべてのPCやスマートフォンなどのハードウェアは公共の場で放置してはならない。また、ハードウェアの保管管理についても、盗難や紛失に留意した安全対策を講じること。
  5. サービス業務で利用するすべてのPCやスマートフォンなどのハードウェアは自動で画面ロックされるよう、パスワード付きのスクリーンセーバーなどを設定する。また、PCから離れる場合も画面ロックを行う。

【6】ネットワークセキュリティ

  1. サービス業務で利用するWi-Fiルーターの暗号化方式はWPA2-AES以上とする。
  2. 不特定多数の人が利用するパブリックWi-Fiは利用しない。

【7】データ管理

  1. 対象システムでは、サービス提供者の事前承諾がある場合を除き、以下のデータを一切記録、保存、収集、または監視してはならない。
    1. アカウント、パスワードなどの認証情報
    2. 機密情報(サービス提供者及びクライアントの営業機密、知的財産、未公開の財務データなど)
    3. 個人情報(氏名、住所、電話番号、メールアドレス、社会保障番号、クレジットカード情報など)
    4. サービス業務の提供に関連のないクライアントの情報
  2. 機密情報(サービス提供者及びクライアントの営業機密、知的財産、未公開の財務データなど)や個人情報(氏名、住所、電話番号、メールアドレス、社会保障番号、クレジットカード情報など)を生成AIに入力しないこと。

【8】情報セキュリティコンプライアンス

  1. 情報セキュリティに関する法律および契約上の要求事項を特定・認識する。
  2. 対象システムに対するサービス提供者およびクライアントの情報セキュリティポリシーや情報セキュリティに関するルールの遵守状況を定期的に確認する。

【9】データ保護およびインシデント対応

  1. サービス提供者およびクライアントから提供されたデータは複製、印刷、ローカルファイルとしてのダウンロードを行ってはならない。但し、事前の承諾がある場合を除くものとする。
  2. 前項但書の定めにより、サービス提供者およびクライアントから提供されたデータを複製、印刷、ローカルファイルとしてのダウンロードした場合、それらがサービス業務の遂行上必要でなくなった時点で速やかに削除を行う。
  3. サービス提供者およびクライアントから提供されたデータを転送・保存する手段としてUSBメモリ等の外部記憶媒体及びクラウドストレージは使用しない。但し、サービス提供者の事前の承諾がある場合を除くものとする。
  4. 対象システムに関するソフトウェア(SaaSサービスを含む)は、ライセンスを取得し、サポートが受けられる状態とする。
  5. 情報セキュリティ上の問題の兆候を発見した場合、直ちにサービス提供者へ報告する。なお、必要な場合、クライアントにも報告するものとする。
    (以下例)
    1. ハードウェアの紛失、盗難、故障
    2. ソフトウェア(SaaSサービスを含む)の不具合、ライセンス違反
    3. 不適切なアクセス権限設定の発見
    4. アカウント及びパスワード等の認証情報の漏えい
    5. 認証キーの不正利用や紛失
    6. メール、チャットツールでの誤送信(宛先や宛名誤り、添付ファイル誤りなど)
    7. USBメモリ等の外部記憶媒体の紛失、盗難
    8. マルウェア感染
    9. 情報システムの脆弱性の発見
    10. その他、情報システムに関連する情報セキュリティ上の問題の兆候あるいは発生

【10】人的資源

  1. サービス業務に関わる従業員および外部委託先との間で、事前に情報セキュリティや非開示・守秘義務に関する条項を含む契約を締結しなければならない。
  2. 前項に関わる従業員および外部委託先が増える場合、事前に本ルールを遵守できることを確認し、従業員らがサービス業務の従事を開始した後も定期的に確認しなければならない。

【11】物理的セキュリティ

  1. サービス業務時に使用されるクライアントの所有物(建物等)を保護するために、適切な物理的セキュリティ管理策(鍵、アクセス管理システム等)を採用し、これを実施しなければならない。

【12】義務と賠償責任

  1. 「Remoguユーザー」はサービス業務を行う上で、本情報セキュリティ対策ルールを遵守し、サービス業務に関するクライアントのセキュリティ対策ルールを遵守するものとする。
  2. 本ルールに違反した結果、サービス提供者に損害が発生した場合、違反した者(Remoguユーザーに限らず、従業員及び外部委託先等を含む)は、サービス提供者に生じた一切の損害を賠償するものとする。

【13】情報管理責任者の設置とルールの確認

  1. 情報管理責任者を設置し、情報管理責任者は本ルールを遵守することを確認する。

【14】監査

  1. 対象システムに対して、クライアントからサービス提供者に対し定期的、あるいは臨時に監査の申し入れがあった場合、Remoguユーザーもこれに協力しなければならない。
  2. 1.の監査においてクライアントから問題点等の指摘を受けた場合、サービス提供者からの改善等指示に直ちに従うものとする。

2024年09月30日 制定