電子情報セキュリティ基本方針

公益財団法人浜松地域イノベーション推進機構（以下、「機構」という。）は、業務上取り扱う電子情報を、各種脅威から守り、支援企業及び取引企業等はもとより、社会全体の信頼に応えるべく、「電子情報セキュリティ基本方針」（以下、「方針」という。）を定めた。
本方針に基づき、組織全体で電子情報セキュリティ対策に取り組むことで、公的な支援機関としての社会的責務を果たす。

1. 用語の定義
   

   （1）電子情報
   有形、無形を問わず、機構が保有する一切の電子情報をいう。

   （2）電子情報セキュリティ
   電子情報の機密性、完全性及び可用性を維持することをいう。

   （3）機密性
   電子情報にアクセスすることを認められた者だけが、アクセスできる状態を確保することをいう。

   （4）完全性
   電子情報が不正に破壊、改ざん又は消去されていない状態を確保することをいう。

   （5）可用性
   電子情報にアクセスすることを認められた者が、必要なときに中断されることなく、アクセスできる状態を確保することをいう。

   （6）情報セキュリティインシデント
   マルウェアの感染や不正アクセス、機密情報の流出などセキュリティ上の脅威となる事象をいう。

2. 電子情報の保護
   機構は、電子情報の機密性、完全性及び可用性を確実に保護するために、組織的、技術的に適切な対策を講じる。
3. 想定する脅威
   電子情報に対する脅威として、次に掲げる脅威を想定する。
   

   （1）外的要因
   部外者の侵入、不正アクセス・コンピュータウイルス・攻撃等の意図的な要因による電子情報の漏えい、破壊・改ざん・消去・重要情報の詐欺 等

   （2）内的要因
   電子情報の無断持ち出し・内部不正・無許可ソフトウェアの使用等の規定違反、操作ミス・設定ミス・メンテナンス不備・故障等の非意図的な要因による電子情報の漏えい・破壊・消去 等

4. 脅威に対する具体的な取組み
   前項に掲げる脅威等に対し、必要に応じて行うセキュリティ対策の具体的な取組みは、次のとおりとする。
   

   （1）機構としての取組み
   ①外的要因に対するもの
   　ア）外部からの不正侵入への対策
   ＵＴＭ(ファイアーウォール等)の導入 　イ）不正アクセスやコンピュータウイルスへの対策
   ウイルス対策ソフトの導入、ＯＳ・ソフトウェアの自動更新の設定、「長く」「複雑」なパスワードの設定、同じパスワードの使い回しの禁止の徹底 等 　ウ）攻撃等の意図的な要因による電子情報の漏えい・破壊・改ざん・消去・重要情報の詐欺への対策
   メールの添付ファイルのＷｅｂダウンロード方式の導入 ②内的要因に対するもの
   　ア）内部不正への対策
   重要な情報に対するサーバーへのアクセス制限の設定 　イ）故障等の非意図的な要因による電子情報の漏えい・破壊・消去等への対策
   サーバーの定期的なバックアップの実行 ③情報セキュリティに対する意識改革に対するもの
   　ア）訓練メールの実施
   不定期での標的型攻撃メールの実施 　イ）リスク軽減の情報共有
   最新の脅威や攻撃手口等を情報収集し共有 　ウ）情報セキュリティ教育の実施
   情報管理の重要性等を学ぶ定期的な研修会等の実施、職員への電子情報セキュリティ基本方針、情報管理規程等の周知徹底 ④外部記録媒体に対するもの
   　ア）外部記録媒体の使用
   外部記録媒体の使用については、機構が所有する外部記録媒体（セキュリティ付きUSB等）に限り使用を可能とする。 　イ）外部記録媒体の持ち出し
   上記ア）の機構外部への持ち出しについては、秘密情報管理要綱に定める秘密情報管理基準【内規】による。 　ウ）外部記録媒体の処分
   外部記録媒体の廃棄等の処分については、秘密情報管理要綱に定める秘密情報管理基準【内規】による。 ⑤その他必要な事項
   

   （2）職員としての取組み
   　ア）不審メールに対する注意の徹底
   不審な電子メールの添付ファイルを、容易に開かないことや、URLリンクにアクセスしないことを徹底 　イ）電子メールやファックスにおける誤送信の防止
   電子メールやファックスの送信前に送信先を再確認することを徹底 　ウ）インターネットを介したトラブルの防止
   事務所外での、貸与及び貸出パソコンの無料(フリー)Wi-Fiへの接続の禁止、貸出用モバイルWi-Fiを活用 　エ）離席時におけるパソコン画面の放置の禁止
   離席時におけるパソコンのロックや、画面を消すなどの徹底 　オ）業務上データの、貸与パソコン本体への保存の禁止
   機密情報や個人情報のほか、業務で使用しているデータについては、パソコン本体への保存の禁止とサーバー内へ保存することを徹底 　カ）その他必要な事項

5. 法令等の遵守
   機構は、関連法令等を遵守し、適正な電子情報の保護・管理を行う。また、電子情報セキュリティの取組みにあたっては、機構の情報管理規程の他、個人情報保護要綱、秘密情報管理要綱、個人情報保護方針、特定個人情報取扱要綱の各規定を遵守するものとする。
6. 情報の管理体制及び維持改善
   機構は、電子情報セキュリティ対策を適切かつ確実に実施するため、情報管理規程第３条で定める情報管理責任者のもと、法令や業務の変化、情報技術の進展などに応じて、適宜、方針や対策の見直しを行い、継続的な改善を行う。
7. 情報セキュリティインシデントの管理
   機構は、情報セキュリティ事故が発生した場合、またはその予兆が認められた場合には、関連機関と連携して速やかに原因究明と適切な対策を実施し、影響を最小限にとどめる措置を講じる。
8. 電子情報セキュリティに関する点検の実施
   機構は、電子情報セキュリティに関する各種運用状況等について定期的に点検を実施し、必要に応じた適切な是正措置を講じることにより、電子情報セキュリティの確保に努める。
9. 違反への対応
   機構は、本方針に違反した職員については、その重大性または発生した事案の状況等に応じ、就業規則他関係規程等に基づき厳正な処分等を行う。

2023年2月15日：制定

公益財団法人浜松地域イノベーション推進機構
理事長 古橋 利広