情報セキュリティ基本方針
第1条 (目的)
この情報セキュリティ基本方針(以下「本基本方針」という。)は、東京弁護士会(以下「本会」という。)が保有する情報資産の機密性、完全性及び可用性を維持するため、本会が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。
第2条 (定義)
本基本方針において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
- ① ネットワーク コンピュータを相互に接続するための通信網及びその構成要素をいう。
- ② 情報システム コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。
- ③ 情報セキュリティ 情報資産の機密性、完全性及び可用性が維持された状態をいう。
- ④ 情報セキュリティポリシー 本基本方針及び情報セキュリティ対策基準をいう。
- ⑤ 機密性 情報に関して、アクセスを認められた者だけが、情報にアクセスできる特性をいう。
- ⑥ 完全性 情報が破壊、改ざん又は消去されていない特性をいう。
- ⑦ 可用性 情報へのアクセスを認められた者が、必要時に中断されることなく、情報にアクセスできる特性をいう。
- ⑧ 役職員等 本会の役員、職員、図書館職員、嘱託職員、無期転換嘱託職員、パートタイム職員、無期転換パートタイム職員、派遣労働者その他本会の委嘱を受けて本会が保有する情報資産を取り扱う本会の弁護士会員、弁護士法人会員、外国法事務弁護士特別会員、外国法事務弁護士法人特別会員及び共同法人会員をいう。
第3条 (対象とする脅威)
本会は、情報資産に対する脅威として、次に掲げる事象を想定し、情報セキュリティ対策を講ずる。
- ① 不正アクセス、ウイルス攻撃、サービス不能攻撃その他のサイバー攻撃、部外者の侵入、内部不正その他の意図的要因による情報資産の漏えい、破壊、改ざん又は消去
- ② 情報資産の無断持出し、無許可ソフトウェアの使用その他の規定違反、情報システムの設計又は開発の不備、プログラム上の欠陥、操作又は設定ミス、メンテナンス不備、内部又は外部監査機能の不備、委託管理の不備、マネジメントの欠陥、機器故障その他の非意図的要因による情報資産の漏えい、破壊、改ざん又は消去
- ③ 地震、落雷、火災その他の自然災害による情報システム障害
- ④ 大規模及び広範囲にわたる疾病による要員不足に伴う情報システム運用の機能不全
- ⑤ 前各号に定めるもののほか、情報セキュリティの確保に重大な支障を及ぼし、又は及ぼすおそれがある事象
第4条 (適用範囲)
情報セキュリティポリシーが対象とする情報資産は、次に掲げるものであって、本会が管理するもの(事業者に委託しているものを含む。)とする。
- ① 情報システム及びネットワーク並びにこれらに関する設備及び電磁的記録媒体
- ② 情報システム及びネットワークで取り扱う情報(これらを印刷した文書を含む。)
- ③ 情報システムの仕様書及びネットワーク図その他のシステム関連文書
第5条 (役職員等の遵守義務)
役職員等は、情報セキュリティの重要性について共通の認識を持ち、本会の業務の遂行に当たって、情報セキュリティポリシーその他の情報セキュリティに関する規程を遵守しなければならない。
第6条 (情報セキュリティ対策)
本会は、第3条に規定する脅威から情報資産を保護するために、次に掲げる情報セキュリティ対策を講ずる。
- ① 情報セキュリティ対策を推進する組織体制の確立
- ② 情報資産の分類及びこれに基づく管理方法の確立
- ③ 物理的セキュリティ対策
- ④ 人的セキュリティ対策
- ⑤ 技術的セキュリティ対策
- ⑥ 情報セキュリティ対策の運用の確立
- ⑦ 業務委託及び外部サービス利用に係る情報セキュリティ対策
- ⑧ 情報セキュリティ対策の定期的又は必要に応じた評価及び見直し
第7条 (情報セキュリティ対策基準の策定)
本会は、前条各号に掲げる情報セキュリティ対策を実施するために、具体的な遵守事項、判断基準その他必要な事項を定める情報セキュリティ対策基準を策定する。ただし、情報セキュリティ対策基準は、公にすることにより本会の運営に重大な支障を及ぼすおそれがあることから、非公開とする。
