情報セキュリティに関する基本的な取扱方法
情報セキュリティに関する基本的な取扱方法
本書は、当事務所の弁護士が職務を遂行する際に、情報セキュリティを確保するための基本的な取扱方法を定めるものである。当事務所は、本書に従い取扱情報を取り扱うとともに、当事務所で勤務する事務職員その他取扱情報に接する者(以下「事務職員等」という。)にも基本的な取扱方法を遵守させる。
なお、当事務所に所属する弁護士が、当該弁護士のみが取り扱う取扱情報を、当事務所の機器を利用せずに取り扱う場合は、必ずしも本書に従う必要はなく、当該弁護士が独自の基本的な取扱方法を定め遵守することもできる。
- 1 用語
- 2 安全管理措置
- (1) 組織的な安全管理措置
- (2) 人的な安全管理措置
- (3) 物理的な安全管理措置
- (4) 技術的な安全管理措置
- 3 情報のライフサイクル管理
- (1) 情報の受領・取得
- (2) 情報の保管
- (3) 情報の発信・交付等
- (4) 情報の持ち出し・複製
- (5) 情報の廃棄・返還
- (6) 会議・期日出席
- 4 点検及び改善
- 5 漏えい等事故が発生した場合の対応
本書で用いる用語は、日本弁護士連合会の弁護士情報セキュリティ規程(会規第117号。以下「規程」という。)で定義されたものと同様とする。本書で保護の対象となる「取扱情報」も規程で定義されているとおり「弁護士等がその職務上取り扱う情報」を広く含むが、公開情報等の情報セキュリティを保持する必要のない情報は含まない。
ア当事務所には、情報セキュリティ管理者を置く。情報セキュリティ管理者は、補助者として情報セキュリティ管理補助者を置くことができる。
イ事務職員等に対し、本書をいつでも参照できるようにして、これを遵守することを求め、情報セキュリティを確保するために必要に応じて役割分担を与え、情報セキュリティの確保に関する指揮と監督を行う。
ウ共同受任又は弁護団等で他の法律事務所の弁護士と共同で取扱情報を取り扱う場合には、当該他の弁護士と協議して、取扱情報の授受方法、共有方法等、当該案件の遂行に必要な場合に必要な範囲で、共同の基本的な取扱方法を定める。
ア日本弁護士連合会が発信する情報セキュリティに関する脅威や脆弱性についての情報等の情報セキュリティに関する注意情報を収集する。
イ取扱情報の情報セキュリティを維持するために必要な情報セキュリティに関する脅威や脆弱性についての情報収集を行い、教育及び訓練に参加するとともに、事務職員等に対しても、その機会を確保する。
ウ事務職員等による取扱情報の漏えい等を防止するため、当事務所の許可なく取扱情報を外部に持ち出すことを禁止する。
エ弁護士が当事務所を退所する際には、保有している取扱情報のうち、当該弁護士が関与していない事件等の情報については、返還又は消去をするものとする。
オ事務職員等が退職する際には、保有している取扱情報を返還させ、事務職員等に対し業務用に貸与したもの以外の機器の利用を許可した場合は、当該機器に保存された取扱情報を消去させる。
カ取扱情報の取扱いを第三者に委託するときは、以下に定めるとおり行う。
①適切な情報セキュリティ対策を行っている委託先を選定する。
②委託先との間で、提供する取扱情報に関し、(a)内容、利用目的及び保管方式の定め、(b)第三者提供及び目的外利用の禁止、(c)委託終了時の返還又は消去に関する取り決めを行うか、これらの事項について適切に設定されていることを確認する。
ア取扱情報がみだりに第三者の目に触れないよう、取扱情報が存在する部屋には第三者を単独では入室させない。
イ第三者が許可なく執務スペース等の取扱情報にアクセス可能な場所に立ち入らないようにするため、出入り口の施錠又は何らかの入退室確認ができる措置を講ずる。
ウ来訪した第三者を取扱情報にアクセス可能な場所に入室させる場合には、来訪者の氏名又は属性の確認を行う。
アアカウント管理及びアクセス制御
①当事務所で用いるソフトウェア、サービス又はハードウェアの利用に際して、必要かつ可能な場合は、ID、パスワード等を用いた認証及びアクセス権限・範囲の設定等によるアクセス制御を行う。
②取扱情報にアクセスするためのアカウントは、当事務所が特に定める場合を除き、技術的に可能な範囲で、それを使用する人ごとに発行し、そのID及びパスワード等を共用しない。
③アカウント情報は、当該アカウント利用者以外の者の目に触れるところに書き記さない、使い回しをしない等の適切な管理を行う。
④アカウントのパスワードについては、適切な長さと複雑さを持たせ、第三者から推測されないようにする。
⑤携帯電話へのコード送信、ワンタイムパスワード等の多要素認証又は生体認証を利用できる場合は、当該アカウントで取り扱う取扱情報の重要度に応じて利用する。
イソフトウェア及びサービス(以下「ソフトウェア等」という。)
①事務職員等に対し、別途当事務所が定めた一定のソフトウェア等の使用を禁ずる。ただし、業務上使用の必要がある場合は、事前に報告させ、当事務所の承諾の上で使用させる。
・事務職員等に対し利用を禁止するソフトウェア等
・無償で提供されるLANサービス(弁護士会が提供するものを除く。)
②OSを含むソフトウェア等のアップデートを適切に設定し、必要な更新を行う。
③ウェブサイトを閲覧する際には、マルウェアに感染しないために、業務上必要な範囲を超えての不必要なサイトの閲覧又はファイルのダウンロードは行わない。
ウハードウェア
①ファイアウォールの設定、セキュリティ対策ソフトのインストール等の適切な防御措置を施して、それを最新の状態に保ち、定期的にチェックを行う。
②ネットワーク機器、複合機等のファームウェア等のアップデートを適切に設定し、必要な更新を行う。
③ハードウェアでもパスワードの設定等アクセス制御の機能がある場合は、必要に応じて第三者から容易に推測されない適切な強度のパスワード等を設定する等の措置を講ずる。
④取扱情報にアクセスできるルータ、ノートパソコン、スマートフォン等のハードウェアを、アクセス制御がなされていない状態で取扱情報へのアクセスが許容されない第三者に使用させない。
⑤ハードウェアに対し外部からインターネットを経由したアクセスを許す場合に、通信の暗号化及び秘匿化、IDとパスワードの設定等によるアクセス制御を行い、第三者に情報が漏えいしないようにする。
⑥事務職員等が業務用に貸与されたハードウェア以外の自己所有のスマートフォン等を業務で使用する場合は、あらかじめ当事務所の許可を得るものとし、使用に際しては本書に規定された安全管理措置と同等の対策を施すものとする。
ア受領・取得(総論)
取扱情報の受領又は取得に関し、その方法又は利用する情報機器の特性に応じ、次のイからオまでに掲げる対策を取り、情報セキュリティの維持に注意を払う。
イ受領(FAX)
①受信がいつでも確実に行われるように機器の整備を行う。
②受信したFAX文書について適切な受信管理を行う。
ウ受領(郵便、宅配便)
①郵便及び宅配便(以下「郵便等」という。)を受領するときは、みだりに配達人を執務室内に立ち入らせないようにする等、情報漏えいを防止する措置を講ずる。
②郵便受その他これに相当するものには、錠を付ける等、郵便等の破損又は持ち去りを可及的に防ぐための措置を講ずる。
エ受領(電子メール)
①電子メールを受信するコンピュータ又はソフトウェア(OSを含む。)に対し、あらかじめマルウェア等による攻撃を防ぐためのソフトウェア等の適用を行う。
②電子メールを受信した場合において、送信者(氏名、メールアドレス等)の表示、文面、文面に記載されたリンク、添付ファイルの名称及びファイル形式、メールソフトウェアの警告表示等を注意深く確認する等して、不審であると判断したときは、電子メール又は添付ファイルを安易に開かず、リンクを安易にクリックせずに、発信者に電話、ショートメッセージ等電子メールとは異なる方法で発信の有無、内容等を確認する等サイバー攻撃を回避する措置を講ずる。
オ取得(撮影、録音又は録画)
①スマートフォン、デジタルカメラ等の撮影、録音又は録画の機能を有する機器(以下「スマートフォン等」という。)により取扱情報を撮影、録音又は録画する方法により記録する場合、情報の漏えい及び拡散の防止を図るため、使用するスマートフォン等を紛失しないようにする、スマートフォン等のパスワード等を設定する等の措置を講ずる。
②スマートフォン等をネットワークに接続させるときは、ネットワーク上の第三者からもアクセスできる領域に、写真、動画等の取扱情報がアップロードされないよう適切に設定する等、記録した取扱情報の漏えいを防止する措置を講ずる。
③スマートフォン等に格納された写真、動画等の取扱情報を、当該取扱情報の性質及び重要度に応じて、適時に、サーバ等の安全な格納場所に移して保管する。
ア保管(紙媒体記録等)
①紙媒体記録等(取扱情報が記載された紙その他の有体物。以下同じ。)を第三者からのアクセスを適切に制御できる場所に保管し、容易に第三者が紙媒体記録等の内容を認識できる場所に放置しない等、紙媒体記録等の漏えい、改ざん及び紛失を防止するための措置を講ずる。
②紙媒体記録等の紛失又は漏えいを防止するため、紙媒体記録等に含まれる情報の秘匿の必要性に応じて、適切な保管場所及び保管方法を選択する。
イ保管(データ)
データの性質等に応じて必要な場合は、当該データ又はフォルダにアクセスできる者をID、パスワード等により制限する等、データの漏えい、改ざん及び紛失を防止するための適切な措置を講ずる。
ウ保管(モバイル機器)
モバイル機器(持ち運びが容易なUSBメモリ、スマートフォン、タブレット、ノートパソコン等の情報機器)に格納して取扱情報を取り扱うときは、イのデータの保管に関する措置を講ずるほか、取扱情報及び使用するモバイル機器の特性に応じて、特に以下で定める措置を講ずる。
①モバイル機器に保存する目的を超えてデータをモバイル機器に格納しない。また、その格納する必要がなくなったときは、速やかにモバイル機器から当該データを消去する。
②データをモバイル機器に格納して外部に持ち出すときは、個別のデータ又はモバイル機器全体にパスワードの設定、暗号化その他データの漏えいを防止する措置を講ずる。
③モバイル機器の所在を常に把握する等モバイル機器について適切な管理を行い、遠隔操作によるデータの消去が可能な場合はその設定を行っておく等の相当な措置を講ずる。
エ保管(外部サービス)
①外部サービス(ファイル転送、クラウドストレージ、メッセージ交換等)を用いてデータを取り扱うときは、当該外部サービスの信頼性を十分に吟味し、外部サービスの利用により守秘義務違反を招かないように注意する。
②外部サービスの利用を停止するときは、当該外部サービスで保管しているデータを確実に消去する。
ア発信・交付(総論)
取扱情報を発信する際には、宛先違い及び内容違いがないか確認する。
イ発信(FAX)
①繰り返し送信することが予定される送信先については、当該送信先のFAX番号をあらかじめ登録する。
②取扱情報をFAXで送信したときは、送信記録を作成して保管する。
ウ発信(電子メール等)
①電子メール、携帯電話又はスマートフォンのショートメッセージ、SNSのメッセージツール等インターネット経由の送信方法(以下「電子メール等」という。)により、その性質上漏えいにより深刻な結果を招くおそれのある取扱情報を発信する場合は、宛先違い、内容違いがないか十分に確認し、できるだけ安全な方法を選択する。
②複数の宛先に電子メールを送信するために同報送信機能を利用する場合は、電子メールアドレスが個人情報に該当する場合があることに留意しつつ、cc(カーボン・コピー)機能とbcc(ブラインド・カーボン・コピー)機能を適切に使い分ける。
エ発信(SNS)
情報主体の承諾なく、公衆に向けて送信するSNSにおいて取扱情報及びこれを推知させる情報を書き込まない。
オ交付
取扱情報が記載又は記録された文書又は物品を交付(直接対面で渡すこと)する場合は、受領者の権限を確認した上で交付するものとし、受領証を取り付ける等当該文書又は物品の交付の事実及び受領者を確認できる措置を講ずる。
カマスキング
取扱情報の一部にマスキングを施して相手方当事者や第三者に提示する場合は、開示すべきでない情報を確実にマスキングするように注意する。特に、画像、PDF又は文書ファイル等のデータを加工してマスキングするときは、提出先においてマスキングを除去することができないように注意する。
ア持ち出し
紙媒体記録等及び取扱情報を格納したモバイル機器を必要な範囲を超えて外部に持ち出さない。
イ複製(紙媒体記録等のデータ化を含む。)
①取扱情報を必要な範囲を超えて複製しない。
②情報漏えい及び目的外利用の危険を考慮し、複製の可否及び範囲を慎重に判断する。
③複製物を適切に管理し、紛失の防止に必要な措置を講ずる。
ア廃棄(総論)
①保有する必要のない取扱情報は、速やかに廃棄する。
②取扱情報を廃棄する場合は、廃棄の可否を慎重に判断し、誤って必要なデータを廃棄しないように注意する。
③取扱情報の廃棄を専門業者等に委託する際には、委託先が守秘義務を負っていること及び廃棄方法の適切さ等を確認する等して、委託先から取扱情報が漏えいすることを防ぐ措置を講ずる。
④外部業者に委託して廃棄したとき(例えば、業者に委託して紙媒体記録等を溶解したとき、業者に委託してパソコン、モバイル機器等のデータを消去したとき等)は、廃棄した取扱情報の概要、廃棄の時期、廃棄に際して講じた措置等を記録し、適切な期間保管する。
イ廃棄(紙媒体記録等)
①取扱情報が記載された紙媒体記録等を廃棄するときは、漏えいを防止するためシュレッダによる裁断、溶解処理等の措置を講ずる。溶解処理を委託する場合には、受託業者に守秘義務を負わせる。
②取扱情報が記載された紙媒体記録等の裏面に印刷をして、他事件の記録への編綴、FAX送信等をしない。
ウ廃棄(データ)
取扱情報に該当するデータが格納されている電子媒体を廃棄するときは、消去ソフトウェアを利用する、破壊処理を行う等データを読み取ることを不可能とする等の措置を講ずる。
エ返還
情報主体から預かった書類又は物品を返還するときは、必要に応じて、返還する書類又は物品の内容を確認して記録し、その返還記録を適切に保管する。
ア総論
会議又は期日等(以下「会議等」という。)に際して、取扱情報が漏えいしないよう、盗み見、盗み聞きができない環境・設備で会議を実施し、以下で定める措置その他の相当な措置を講ずる。
①会議等から離席するときは、取扱情報が記載され又は記録された物品を、施錠又は監視等の情報セキュリティを保持する措置が講じられていない会議室内に放置しない。
②会議等に際して、ホワイトボード等に取扱情報を記載したときは、当該取扱情報の保存の要否を確認し、保存を要するときは撮影その他の適宜の方法により保存した上で、ホワイトボード等の記載を確実に消去する。
③会議等に際して、ディスプレイ等で取扱情報を表示するときは、表示するべきでない取扱情報が表示されないようにする。
イ期日
①期日への出席に際して、その性質上漏えいにより深刻な結果を招くおそれのある取扱情報が第三者の目に触れないように適切な措置を講ずる。
②期日への出席に際して、持参した証拠の原本を紛失しないよう適切な措置を講ずる。
ウウェブ会議
①取扱情報にアクセスさせることが適切でない第三者との関係で、盗み見、盗み聞き、背景の映り込み、周囲での会話等により取扱情報の漏えいが発生しない環境及び設備でウェブ会議に出席する。
②ウェブ会議の参加者の中に出席が予定されていない者が紛れ込んでいないかを、可能な範囲で確認する。
③ウェブ会議が許された者以外によって録音又は録画されないような措置(ウェブ会議ソフトウェアの録音・録画機能の停止等)を可能な範囲で講ずる。
④ウェブ会議において画面共有により取扱情報を共有するときは、表示するべきでない取扱情報が表示されないようにする。
(1)情報セキュリティ管理者は、毎年3月に、基本的な取扱方法の実施状況に関する点検の計画を立案し、各弁護士及び事務職員等に点検を行わせる。
(2)前号の点検の結果、基本的な取扱方法が有効に実施されていないことが分かった場合は、その原因を特定し、改善計画を立案し、必要がある場合は基本的な取扱方法を改訂する。
(1)取扱情報の漏えい、滅失、毀損等の事故(以下「漏えい等事故」という。)が発生した場合には、情報セキュリティ管理者がその対応を指揮し、弁護士及び事務職員等の役割分担を決定する。
(2)漏えい等事故が発生した場合、発見者は、情報セキュリティ管理者に対し、速やかに報告し、指示を仰ぐ。
(3)原因を調査し、情報主体への連絡、マルウェアに感染した情報機器の停止若しくはネットワークからの遮断又はセキュリティ対策ソフトウェアによる検査若しくは駆除等の応急措置を実行する。
(4)必要に応じ、外部の情報セキュリティの専門家等の助言又は補助を得る。
(5)調査の結果判明した原因についての対策を実行する。
(6)情報セキュリティ管理補助者は、前各号の措置を講ずるに際し、情報セキュリティ管理者を補助し、情報セキュリティ管理者が不在の場合は、情報セキュリティ管理者に代わって、そのなすべき措置を講ずる。