認証取得日 2006年2月23日
認証範囲
上下水道料金徴収業務に係わる労務管理、営業、受託業務管理、システム開発及びネットワークサービス業務
適用範囲
CS本部企画部、東京業務課、関東支店、中部支店、北陸支店、関西支店、九州支店、システム開発部
ヴェオリア・ジェネッツ株式会社(以下「当社」という)は、自治体(以下「顧客」という)が運営する水道事業の民間受託を主とする企業であり、顧客との業務委託契約に基づく、役務(水道メータ検針、料金徴収事務等)並びに情報システムの提供、また顧客の情報資産を維持・管理する会社として、顧客の情報資産並びに当社の情報資産を保全しなければならない。本社、及び各支店は当社の事業戦略上の中枢であり、重要な任務を担っており、強固な情報セキュリティマネジメントシステム(ISMS)を構築することは、企業経営上の重要な基本方針のひとつである。
「顧客の情報資産を保全する」、「当社の情報資産を保全する」、「顧客へのベストサービス及び最適なシステムソリューションを提供する」という方針に基づき、これら情報資産の機密性、完全性、可用性を確保するための情報セキュリティ基本方針を定める。当社の役員及び従業員は、情報セキュリティ基本方針を遵守し、情報セキュリティマネジメントシステム(ISMS)の維持および継続的改善に努めなければならない。
1. 適用範囲
本社のCS本部企画部、東京業務課、関東支店、中部支店、北陸支店、関西支店、九州支店、システム開発部の事業活動に係わるすべての情報資産に適用する。
2. 目的
① 顧客から預かる個人情報、並びに社内の経営情報等の情報資産を安全に且つ正確に維持してゆくことが事業継続のための重要なポイントであるとの認識に基づき、ISMSを通じてこれを実践してゆく。
②ISMSの導入に際しては、当社に適したISMSを構築し、ISMS構築技術、運用管理ノウハウを蓄積する。
③リスク評価基準、リスクアセスメントの構築を確立し、これに基づくリスクアセスメントの体系的なアプロー チを定義する。当社の事業の特徴を踏まえ、機密性を最重要視しつつ、完全性、可用性もあわせ確保しなければならない。従って資産の重要度は、それぞれを同一基準であるとしてリスクアセスメントを行い、情報資産毎に脅威と脆弱性を識別し、セキュリティ要求事項を識別し、リスク対応計画を策定し、実装し、監査し、改善する。
④リスクの顕在化とその対策を行うことで、事業継続の安定化と顧客満足を確実なものとする。
⑤個人情報保護法、不正アクセス禁止法、不正競争防止法、著作権法等の法令、就業規則などの事業上の要求事項及びISMS関連規則・手順ならびに顧客との契約を遵守する。
⑥情報セキュリティの教育・訓練を従業員に対して定期的に実施し、セキュリティに対する意識を高める。
具体的な行動指針
- 顧客のデータや当社の情報資産が不正アクセス、不注意または故意によって、許可されていない者に開示されないように個別に定めた方針を順守すること
- マルウェアやコンピュータウイルスへの継続的な対策の実施
- 情報セキュリティインシデントの報告
- 災害や重大な事故などの緊急時に備えた事業継続計画の策定と訓練の実施
3. 推進体制と責任
情報セキュリティ基本方針に基づく、セキュリティ基準、セキュリティ要求事項の審議および対策の実施・評価を行うために推進体制を確立する。ISMSの円滑な推進を図るために、情報セキュリティ管理責任者を、さらに各グループに部門管理者を置く。部門管理者は、自部門の情報資産に対するリスクアセスメント、管理策の策定、リスク対応計画書作成と実施評価を行い、ISMSの継続的改善に努める。
4. 監査
内部監査責任者は、当社の各種法令、情報セキュリティ基本方針、情報セキュリティマネジメントマニュアル、各種規定・手順書、法令の遵守状況、リスク対応計画の実施状況を毎年定期的に監査する。
5. 従業員の義務
情報セキュリティ基本方針、情報セキュリティマネジメントマニュアルおよび関連する規定・手順書に違反する行為を行った従業員は、就業規則に従い処分の対象とする。
6. 継続的な改善
当社は、上記の1項~5項の取り組みについて定期的に見直しを行い、その結果に応じて適切な対策を講じることでISMSの継続的な改善に努める。
制定日 2005年12月1日
最終改訂日 2022年4月1日
ヴェオリア・ジェネッツ株式会社 統括責任者 竹内 健