情報セキュリティ規程　株式会社アレステラ・インターナショナル・トレーディング

情報セキュリティ規程Regulation of Information Security

情報セキュリティ対策基準

（趣旨）

第１条　この基準は，情報セキュリティに関する規程に基づき，情報セキュリティ対策基準に定めるもののほか，必要な事項を定めるものとする。

（定義）

第２条　この基準において用いる用語の意義は，情報セキュリティに関する規程及び基準に定めるところによる。

（社内情報セキュリティ対策推進委員会）

第３条　この基準により経営者が行う職務を補佐するため，社内に社内情報セキュリティ管理者、社内ネットワーク管理者を置く。
2　社内情報セキュリティ管理者、社内ネットワーク管理者に関し必要な事項は，経営者が別に定める。
3　経営者（取締役及び取締役に準ずる者、以下経営者）は，この基準により経営者が行うこととされる職務の一部を社内情報セキュリティ管理者、社内ネットワーク管理者に委任することができる。

（社内情報セキュリティ対策基準及び情報セキュリティ担当者）

第４条　経営者は，社内における情報資産の機密性，完全性及び可用性を保持するために必要な遵守すべき行為，判断基準等を定めた社内情報セキュリティ対策基準を策定しなければならない。
２　経営者は，社内情報セキュリティ対策基準を変更した場合，遅滞なく社内へ通知しなければならない。
３　経営者は，この基準及び社内情報セキュリティ対策基準に従い，利用者（従業員、その他経営者がその情報システム又は情報資産を利用することを認めた者をいう。以下同じ。）に対する指導を行うものとする。
４　経営者は，従業員の中から社内情報セキュリティ担当者を指名し，前項の指導を情報セキュリティ担当者に行わせることができる。
なお，経営者は，社内情報セキュリティ担当者を複数指名する場合，社内情報セキュリティ担当者ごとの分掌事務を定めなければならない。
５　経営者は，社内に情報セキュリティ担当者を置くことができる。
６　経営者は，この基準によりその職務を行うに当たり，必要な調査を社内情報セキュリティ担当者に行わせることができる。

（ハードウェアの管理）

第５条　経営者は，パソコン及びサーバについて，管理上の名称，導入年月日，導入の原因，製造元，販売店，名称及び型式，製造番号，用途，賃貸　借契約期間満了年月日（賃貸借契約により導入したものに限る。），保管場所，　管理者名，保証書の有効期限及び保管場所等を台帳に記載し，これを管理しなければならない。
２　経営者は，パソコン又はサーバに異動があったときは，速やかに異動年月日及び異動内容を前項の台帳に追記しなければならない。
３　経営者は，パソコン及びサーバについて，盗難防止策を講じるとともに，適切な保守に努めなければならない。
４　利用者は，利用者が使用するパソコンについてメモリ追加，ＣＰＵ交換，ハードディスク増設，外部記録媒体装置追加等の改造を希望する場合，経営者に許可を申請することができる。
５　前項の申請があった場合において，経営者は，職務上必要があり，情報セキュリティの確保に支障がないと認めた場合に限り改造を許可することができる。
６　パソコン又はサーバを廃棄等しようとする者は，あらかじめ経営者の許可を得なければならない。

７　経営者は，廃棄等しようとするパソコン又はサーバのデータがすべて削除されていると認めた場合に限り前項の許可をすることができる。
８　経営者は，第５項及び前項の許可を行った場合，許可年月日及び許可内容を第１項の台帳に追記しなければならない。
９　経営者は，パソコン又はサーバを廃棄等した場合は，廃棄等年月日及び引渡先を第１項の台帳に追記しなければならない。
10　利用者は，利用者が使用するパソコンを社内以外の場所に持ち出してはならない。ただし，出張等職務上必要があり，経営者が特に命じた場合はこの限りでない。この場合において経営者の命を受けた者は，当該パソコンを厳重に管理しなければならない。
11　経営者は，その他ハードウェアの管理について別に定め，適切に管理しなければならない。

（社内ネットワークシステムの管理）

第６条　経営者は，社内ネットワークシステムを原則として構成図を作成してこれを管理しなければならない。
２　経営者は，前項のネットワーク構成に異動があったときは，速やかに異動後の構成図を作成しなければならない。
３　経営者は，社内ネットワークシステムを社外のインターネットに接続しようとするときは，社内ネットワーク管理者の許可を得なければならない。
４　利用者は，社内ネットワークシステムへの追加機器の接続を希望する場合，経営者に許可を申請することができる。
５　前項の申請があった場合において，経営者は，職務上必要があり，情報セキュリティの確保に支障がないと認めた場合に限り接続を許可することができる。
６　経営者は，社外からの社内ネットワークシステムへのアクセスを認めてはならない。
７　経営者は，その他社内ネットワークシステムの管理について別に定め，適切に管理しなければならない。

（ソフトウェアの管理）

第７条　経営者は，パソコン又はサーバに導入されたソフトウェアについ　て，導入年月日，導入の原因，製造元，販売店，名称及びバージョン名，認証番号，有効期限等を台帳に併記し，これを管理しなければならない。
２　経営者は，パソコン又はサーバのソフトウェアに異動があったときは，速やかに異動年月日及び異動内容を前項の台帳に追記しなければならな　い。
３　利用者は，利用者が使用するパソコンに追加ソフトウェアの導入を希望する場合，経営者に許可を申請することができる。
４　前項の申請があった場合において，経営者は，職務上必要があり，情報セキュリティの確保に支障がなく，不正利用に当たらないと認めた場合に限り導入を許可することができる。
５　経営者は，前項の許可を行った場合，許可年月日及び許可内容を第１項の台帳に追記しなければならない。
６　経営者は，ソフトウェアを著作者の使用許諾事項及び条件に応じて適正に使用するとともに，利用者に対しこれを徹底しなければならない。
７　経営者は，ソフトウェアが不正利用されることのないよう，作業用電子メディア等を適切に管理しなければならない。
８　経営者は，ソフトウェアに関し，情報セキュリティ上必要な修正プログラムが発行された場合は，速やかにこれを適用するよう努めなければならない。

（ユーザ認証）

第８条　経営者は，社内ネットワークシステムの利用をユーザ認証により制御しなければならない。

（ユーザＩＤの発行）

第９条　経営者は，原則として利用者１人につき１つずつユーザＩＤを発行しなければならない。
２　経営者は，必要に応じ，特定の従業員に対して管理用ＩＤを発行することができる。

（ユーザＩＤの管理）

第１０条　経営者は，ユーザＩＤを管理するため，次に掲げる事項について別に定めなければならない。
　（１）秘密が確保できる方法での初期パスワードの設定及び通知手段
　（２）ユーザＩＤごとのアクセス権限の設定及び変更方法
　（３）不要となったユーザＩＤを経営者に届け出る方法
２　経営者は，発行したユーザＩＤについて，ユーザＩＤ番号，利用者の身分及び氏名（第３７第５項の規定によるものを除く。），利用者，使用できるパソコン又はサーバに係る第５条　第１項の管理上の名称，アクセス権限，発行年月日等を台帳に記載し，従業員に区分してこれを管理しなければならない。
３　経営者は，前項の記載事項に異動があったときは，速やかに異動年月日及び異動内容を前項の台帳に追記しなければならない。
４　経営者は，ユーザＩＤの発行を受けていた者が，人事異動，退職その他の理由により従業員ではなくなった場合には，速やかに当該ユーザＩＤを廃止しなければならない，
　　なお，原則として，一度廃止したユーザＩＤを再使用してはならない。
５　利用者は，ユーザＩＤを他人に知られないように管理しなければならない。

（管理用ＩＤの管理）

第１１条　経営者は，管理用ＩＤを管理するため，次に掲げる事項について別に定めなければならない。
　（１）管理用ＩＤの発行要件
　（２）管理用ＩＤの使用方法
２　管理用ＩＤの発行を受けた従業員は，原則としてソフトウェアの導入，管理機器のメンテナンス，検査などの保守作業等に限り管理用ＩＤを使用をするものとする。

（パスワードの管理）

第１２条　パスワードは，次の要件を満たさなければならない。
　（１）６文字以上であること。
　（２）英字，数字及び記号のうち２種類以上を混在させること。
　（３）単純な文字列や本人の趣味趣向属性から他人に類推されやすい文字列等でないこと。
２　利用者は，初期パスワードを速やかに変更するとともに，定期的にパスワードを変更しなければならない。
３　利用者は，パスワードを他人に知られないように管理しなければならない。

（利用者への周知）

第１３条　経営者は，ユーザ認証に関し，次の各号について別に定め，利用者に対し周知徹底を図らなければならない。
　（１）ユーザＩＤ及びパスワードの利用方法
　（２）ユーザＩＤ及びパスワードの管理方法
　（３）留意事項
２　経営者は，前項の利用者に対する使用方法の周知徹底を社内情報セキュリティ担当者に行わせることができる。
３　利用者は，経営者の許可なく利用権限の貸借をしてはならない。
４　利用者は，定められた方式以外の手段を用いてユーザ認証を行ってはならない。

（不正アクセス発生時の対処）

第１４条　経営者は，社内ネットワークシステムに対する不正アクセスを未然に防止するための対策を講じるとともに，不正アクセス発生時に備え、次に掲げる事項についてあらかじめ別に定めなければならない。
　（１）不正アクセスの有無及び被害の状況を特定する方法
　（２）痕跡の確認及び不正アクセス発生原因を特定する方法
　（３）不正アクセスを発見したときの連絡経路及び連絡手段
　（４）社内ネットワークシステム停止等の際の代替手段及び被害の拡大を防止するための対応方策
　（５）社内ネットワーク管理者等関係部門への連絡
　（６）復旧手順
２　社内ネットワークシステムが不正アクセスを受けた場合又はその恐れのある場合，利用者及び経営者は，被害の拡大及び再発の防止や社内ネットワークシステムの迅速な復旧を行うため，次に掲げる対応を行わなければならない。
　（１）利用者の対応
　　　　社内ネットワークシステムの異常や不正アクセスを発見した場合は，速やかに経営者に連絡し指示に従うこと。
　（２）経営者の対応
　　　イ　社内ネットワークシステムの異常を発見した場合又は利用者から社内ネットワークシステムの異常の連絡を受けた場合は，速やかに原因を追究すること。
　　　ロ　社内ネットワークシステムの異常の原因が，不正アクセスであることが判明した場合は，関係者と協調して速やかに被害の状況を把握すること。
　　　ハ　関係者と協調して不正アクセス被害の拡大を防止するための処置を行うこと。
　　　ニ　関係者と協調して速やかに不正アクセス被害の復旧に努めること。
　　　ホ　不正アクセスの状況を速やかにネットワーク管理者に報告すること。
　　　ヘ　不正アクセス被害の原因を分析し，関係者と協調して再発防止策をたてること。

（ウィルス対策ソフトの導入）

第１５条　経営者は，パソコン及びサーバにウィルス対策ソフトを導入しなければならない。
２　経営者は，ウィルス対策ソフトの利用及びウィルス定義ファイルの更新が適正に運用されるよう配慮しなければならない。

（ウィルス確認及びウィルス発見時の対処）

第１６条　利用者は，外部からソフトウェア若しくは電子データをパソコン若しくはサーバに取り入れ，又は電子メールを受信する場合，ウィルス対策ソフトによりウィルスの有無を確認しなければならない。
２　経営者は，パソコン及びサーバについて，定期的にウィルス対策ソフトによりウィルスの有無を確認しなければならない。
３　利用者は，ウィルスを発見した場合，直ちに当該パソコン又はサーバの使用を中止するとともに，経営者に報告してその指示に従わなければならない。
４　経営者は，ウィルス発見時の対処について，別に定めておかなければならない。
５　スパイウェア（パソコン等に利用者の意図しない動作をさせるプログラムで他のパソコン等への感染性のないものを言う。以下同じ。）確認及びスパイウェア発見時の対処についても，ウィルスに準じて行うものとする。

（ウィルス感染時の対処）

第１７条　ウィルスに感染し，又は感染した可能性がある場合，利用者及び経営者は，ウィルス感染の拡大及び再発を防ぐとともに，早急なシステムの復旧を図るため，次に掲げる対応を行わなければならない。
　（１）利用者の対応
　　　イ　感染したパソコン又はサーバの使用を中止するとともに，該当するパソコン又はサーバが社内ネットワークシステムに接続されている場合は，速やかに社内ネットワークシステムから分離すること。
　　　ロ　感染したパソコン又はサーバの復旧を経営者の指示に従って行うこと。
　　　ハ　感染したプログラムを含む電子メディアを経営者に提出すること。
　（２）経営者の対応
　　　イ　利用者に対し速やかに必要な指示を行うこと。
　　　ロ　ウィルスの種類及び感染範囲の解明に努めるとともに，第三者への感染の可能性がある場合には，速やかに相手方への情報提供を行うこと。
　　　ハ　安全な復旧手順を講じ，情報システム及び情報資産の復旧作業にあたること。
　　　ニ　利用者から提出された感染したプログラムを含む電子メディアについて，廃棄，プログラムの消去等を行うこと。
　　　ホ　ウィルス感染の状況を速やかに社内情報セキュリティ管理者に報告すること。
２　スパイウェア感染時の対処についても，ウィルスに準じて行うものとする。

（電子データの重要性分類）

第１８条　経営者は，電子データについて，下記分類を基本として重要性分類を行い，電子データの重要度に応じた保護措置を講じなければならない。
　（１）個人情報及び情報セキュリティ侵害が従業員、得意先等の生命及び財産等に重大な影響を及ぼす情報
　（２）公開することを予定していない情報及びセキュリティ侵害が職務執行等に重大な影響を及ぼす情報
　（３）外部に公開する情報のうち，セキュリティ侵害が，弊社の営業活動及び職務執行等に軽微な影響を及ぼす情報
　（４）上記以外の情報

（電子データの管理）

第１９条　経営者は，別項に定義される電子データについては，重要性分類の区分ごとに，ファイル名，主な内容，作成年月日，作成者，更新年月日，更新者，複製の履歴，持ち出しの履歴，暗号化の有無，保管場所，保存期限等を台帳等に記録し，当該台帳等を厳重に保管管理しなければならない。

（電子データの取扱者）

第２０条　経営者は，別項に定義される電子データについては，電子データごとにその取扱者を定め，取扱者の身分及び氏名を台帳等に記載しなければならない。
２　前項の取扱者以外の者は，当該電子データを取り扱ってはならない。
　　なお，当該電子データの取扱いについて，委任，代理等は認められない。
３　別項に定義される電子データを取り扱う者は，当該電子データを社内以外の場所に持ち出し，又は社内以外の場所で取り扱ってはならない。ただし，出張等職務上必要があり，経営者が特に命じた場合はこの限りでない。この場合において経営者の命を受けた者は，当該電子データを厳重に管理しなければならない。
４　別項に定義される電子データを取り扱う者は，当該電子データ及び当該電子データを取り扱って知り得た情報を目的外に使用し，又は他人に漏らしてはならない。

（電子データの電子メディアへの格納）

第２１条　利用者は，電子データをフロッピーディスク、USBメモリ等の電子メディアとしてパソコン本体から取り外して保管する形態の電子メディアに格納する場合は，以下の各号に留意しなければならない。
　（１）電子メディアのラベル等に，従業員及び関係者のみが知りうる重要性分類表示をする等適切な管理を行うこと。
　（２）別項に定義される電子データを記録した電子メディアは，施錠可能な場所に保管すること。
　（３）別項に定義される電子データを記録した電子メディアを複製する場合は，あらかじめ経営者の許可を得るものとし，許可年月日，複製年月日，複製者の身分及び氏名，複製した電子メディア，複製した数量を台帳等に追記すること。
　（４）別項に定義される電子データが格納されている電子メディアを保管場所から持ち出す場合は，あらかじめ経営者の許可を得るものとし，許可年月日，持ち出し及び返却の日時及び持ち出し者の身分及び氏名を台帳等に追記すること。
　（５）別項に定義される電子データを記録した電子メディアは，すべて他の電子メディアに複製し，当該複製された電子メディアは，原本である電子メディアとは別に保管すること。
　（６）保存期限満了又は不要となった電子メディアは，完全に内容を消去してから再利用に付すこと。また，それが困難な場合にあっては，当該電子メディアを物理的に利用が不可能な状態に破壊し，経営者の確認を得た後に廃棄等すること。なお，消去又は廃棄等を行った年月日並びに作業者の身分及び氏名を台帳等に追記すること。
２　利用者は，電子データをサーバやパソコン本体に内蔵されているハードディスクのように本体と一体のものとして取り扱われる形態の電子メディア（以下「サーバ等」という。）に格納する際は，以下の事項に留意しなければならない。
　（１）別項に定義される電子データは，持ち出し可能なパソコンのハードディスクには保存しないこと。
　（２）第別項に定義される電子データをサーバ等から電子メディアに複製する際には，あらかじめ経営者の許可を得るものとし，許可年月日，複製年月日，複製者の身分及び氏名，複製した電子メディア，複製した数量を台帳等に追記すること。
　（３）保存期限満了又は不要となった別項に定義される電子データは，消去後に部分消去ソフトにより再使用可能領域を消去することとし，消去又年月日，消去作業者の身分及び氏名を台帳等に追記すること。
　（４）別項に定義される電子データは，定期的に他の電子メディアに複製し，当該複製された電子メディアは，原本である電子メディアとは別に保管すること。

（社内ネットワークシステムを用いたファイル共有）

第２２条　経営者は，次の各号の条件を満たす場合に限り，社内ネットワークシステムを介したファイルの共有を行うことができる。
　（１）電子データを社内ネットワークシステム上の共有されている領域に保存する際には，共有領域又はファイルについて，電子データの重要度に応じた適切なアクセス権限が設定されていること。
　（２）前号のアクセス権限の設定にあっては，共有領域又はファイルごとに，アクセス可能なＩＤ及びパスワードを設定でき，かつそれらへの閲覧，書込み，実行等の各種権限を設定できること。
　（３）別項に定義される電子データが，共有領域に保存されるおそれがないこと。ただし，職務上必要があり，確実な情報漏洩防止措置が講じられ，経営者の監督の下に電子データ取扱者により保存及び利用されるものにあっては，この限りでない。
　（４）ファイルサーバ及び共有ファイルへのアクセスが記録され，常に経営者により運用状況が監視され得る状態にあること。
　（５）ファイルサーバ及び共有ファイルに格納されている電子データが，定期的に適切なバックアップが行われる状態にあること。また，バックアップされた電子データ及び電子メディアが適切に取り扱われる状態にあること。
２　経営者は，社内ネットワークシステムを用いたファイル共有を行う場合，ファイルサーバ及び共有ファイルへのアクセス記録を経営者が別に定める期間保存しなければならない。
３　経営者は，社内ネットワークシステムを用いたファイル共有を行う場合，利用方法，留意事項等を別に定め，利用者に対し周知徹底を図らなければならない。
４　経営者は，前項の周知徹底を情報セキュリティ担当者に行わせることができる。

（紙媒体の取扱い）

第２３条　情報資産のうち，出力帳票及び入力原票等の紙媒体の取扱いについては，電子メディアに準じて取り扱うものとする。

（電子メディア等の管理）

第２４条　経営者は，保管対象である電子メディア等の重要性に応じ，保管方法を区分しなければならない。
２　経営者は，電子メディア等を適切に管理するため，次に掲げる事項について別に定めなければならない。
　（１）電子メディアに関する次の事項
　　　イ　重要性分類の判定方法に関すること。
　　　ロ　重要性分類及び内容の電子メディアへの表示方法並びに台帳等の記載方法に関すること。
　　　ハ　保管方法に関すること。
　　　ニ　廃棄方法に関すること。
　　　ホ　電子メディアの再利用に関すること。
　（２）紙媒体に関する次の事項
　　　イ　保管方法に関すること。
　　　ロ　廃棄方法に関すること。

（電子メディアの保管及び廃棄）

第２５条　経営者は，電子メディアの保管方法を定める場合，別項に定義される電子データを記録した電子メディアについては，原則として施錠による保管としなければならない。
２　経営者は，電子メディアの廃棄方法を定める場合，原則として次によらなければならない。
　（１）経営者の管理の下，焼却又は物理的に利用が不可能な状態に破壊すること。
　（２）廃棄したことを台帳等に追記すること。

（紙媒体の保管及び廃棄）

第２６条　経営者は，紙媒体の保管及び廃棄方法を定める場合，原則として次によらなければならない。
　（１）重要情報と一般情報を区分すること。
　（２）重要情報の記載された紙媒体を再利用しないこと。
　（３）経営者の管理の下，重要情報の記載された紙媒体をシュレッダー又は焼却により処理すること。

（監視対象）

第２７条　経営者は，次に掲げる情報資産について，必要な監視機能を装備しなければならない。
　（１）別項に定義される電子データを記録した電子メディア
　（２）ファイルサーバ及び共有ファイル
　（３）その他監視が必要と認められるもの

（監視方法）

第２８条　経営者は，前項監視に関し，次に掲げる事項について別に定めなければならない。
　（１）人，情報システム，外部の監視サービス等のいずれか又は併用による監視の実施方式　
　（２）目視，自動検知，ログ検査等のいずれか又は併用による監視手法
　（３）リアルタイム，定時，定期等のいずれか又は併用による監視タイミング
　（４）アクセス，稼動，構成，コンテンツ等の監視項目
　（５）その他監視の実施につき必要と認められる事項

（ハードウェア利用上の留意事項及び禁止事項）

第２９条　利用者は，利用者が使用するパソコンを善良な管理者の注意義務（善管注意義務）をもって管理及び使用しなければならない。
２　利用者は，ハードウェアを破損し，又はハードウェアに異常若しくは不具合を発見した場合は，速やかに経営者に報告し，その指示に従わなければならない。
３　利用者は，ハードウェアの利用に関し，次の各号の行為を行ってはならない。
　（１）許可を得ないでパソコンを改造すること。
　（２）経営者が特に認めた場合を除き，職務上必要でない目的でパソコンを使用すること。
　（３）その他ハードウェアに社内ネットワーク管理者（社内ネットワークシステムに接続したハードウェアに限る。）及び経営者から指示又は指定された設定とは異なる設定を行うこと。

（社内ネットワークシステム利用上の禁止事項）

第３０条　利用者は，社内ネットワークシステムの利用に関し，次の各号の行為を行ってはならない。
　（１）法令又は公序良俗に反すること。
　（２）他人のユーザＩＤ及びパスワードで社内ネットワークシステムにログインすること。
　（３）社内ネットワークシステムを介し，他人のユーザＩＤ及びパスワードで他のネットワークシステムにログインすること。
　（４）経営者が特に認めた場合を除き，社内ネットワークシステムを介して私的な情報を入手，記録又は送信すること。
　（５）経営者が特に認めた場合を除き，利用者又は第三者の負担を伴う登録，契約等の申込みを行うこと。
　（６）他人をひぼう中傷すること。
　（７）故意に情報を改ざん，き損若しくは滅失し，又は虚偽の情報提供を行うこと。
　（８）通信を阻害する目的で利用し，又は社内ネットワークシステム若しくは他人に損害若しくは不利益を及ぼすこと。
　（９）第６第５項の許可を得ないで機器を社内ネットワークシステムに接続すること。
　（10）社内ネットワークシステムのネットワーク構成を改変し，又は社内ネットワークシステムに接続している機器を正当な理由なしに社内ネットワークシステムから取り外すこと。
　（11）社内ネットワーク管理者及び経営者の指示に反して社内ネットワークシステムを利用すること。

（電子メール利用上の留意事項及び禁止事項）

第３１条　利用者は，電子メールの利用に関し，次の事項に留意し，適正に利用しなければならない。
（１）送信前に送信先メールアドレスを再確認すること。
２　利用者は，電子メールの利用に関し，次の各号の行為を行ってはならない。
（１）経営者が特に認めた場合を除き，私的な電子メールを送信すること。
（２）職務で使用しているパソコン以外の機器に対して利用者の使用するパソコンから自動転送を行う設定をすること。
（３）巨大なファイルを添付して電子メールを送信すること。
（４）件名又は送信元について心当たりのない不審な電子メールを受信した場合，当該電子メールの添付ファイルを開封若しくは実行すること又は当該送信元に対し電子メールを送信すること。
（５）社内ネットワーク管理者及び経営者の指示に反して電子メールを利用すること。

　（Ｗｅｂブラウザ利用上の禁止事項）

第３２条　利用者は，Ｗｅｂブラウザの利用に関し，次の各号の行為を行ってはならない。
　（１）職務上必要でないＷｅｂサイトにアクセスすること。
　（２）安全性が信頼できないＷｅｂサイト又はＵＲＬにアクセスすること。
　（３）社内ネットワーク管理者及び経営者の指示に反してＷｅｂブラウザを利用すること。

（ソフトウェア使用上の禁止事項）

第３３条　利用者は，ソフトウェア使用に関し，次の各号の行為を行ってはならない。
　（１）ソフトウェアを不正に利用又は譲渡すること。
　（２）許可を得ないで追加ソフトウェアを使用すること。
　（３）その他著作者の使用許諾事項及び条件に反してソフトウェアを使用すること。

（情報漏洩防止の徹底）

第３４条　利用者は，パソコン又はサーバの前から離れる場合，情報資産を保護するため，社内ネットワークシステムからのログオフ等により，パスワード入力が必要な画面まで戻すよう留意しなければならない。

（利用者研修）

第３５条　経営者は，次に掲げる事項に留意し，従業員を対象にそれぞれ利用者研修を実施しなければならない。
　（１）この基準及び社内情報セキュリティ対策基準並びにこれらに基づいて経営者が定めた規定
　（２）利用者の操作する情報システムの操作方法
　（３）その他利用者として知っておくべき情報セキュリティの一般的事項及び最近の動向
２　経営者は，前項の利用者研修の実施を情報セキュリティ担当者に行わせることができる。

（社内情報セキュリティ監査）

第３６条　経営者は，１年に１回，社内の情報システム及び情報資産の管理，運用及び利用状況が，この基準及び社内情報セキュリティ対策基準並びにこれらに基づいて経営者が定めた規定に適合しているかについて情報セキュリティ監　査を実施しなければならない。
２　経営者は，前項の監査の実施方法を別に定めなければならない。
３　経営者は，第１項の監査の結果，是正が必要な事項について，速やかに是正措置を講じなければならない。
４　経営者は，第１項の監査の結果及び前項の是正措置の状況を情報セキュリティに関する規程第７条第１項に規定する情報セキュリティ監査員に報告しなければならない。