1.目的
当法人が税理士法2条に規定する業務、すなわち、(1)税務代理(2)税務書類の作成(3)税務相談及び付随業務を行うにあたってお預かりする情報資産(マイナンバーを含む)は、極めて機密性が高い。したがって、それらを厳格に保護することは、お客様に対する当法人の責任であることはもとより、社会に対する責務でもある。
また、各業務に関するノウハウ、マニュアル類は当法人の更なる発展の基礎となる財産である。
よって、ここに「情報セキュリティ基本方針」を定め、当法人が保有する情報資産の適切な保護対策を実施していくことを宣言する。
2.情報セキュリティ体制
情報セキュリティマネジメントシステムを積極的に推進するため、ISMS27001責任者(本部単位)を置く。ISMS27001責任者は、情報セキュリティマネジメントシステムの確立、導入、運用、監視、見直し、維持及び改善に責任を持ち、ISO統括管理責任者はその管理監督を行う。
3.情報セキュリティの定義
情報セキュリティとは、情報の機密性・完全性及び可用性を維持することと定義する。
4.適用範囲
当法人の管理下にある、すべての業務活動に関わる情報を対象とする。
5.セキュリティ義務
当法人は事業に関連する法令、規制要求事項、並びに契約上のセキュリティ義務の重要性を認識し、これを順守する。
6.リスクアセスメント
当法人はリスク評価のための手順を定めリスクの受容基準を設定し、リスクアセスメントを行い、受容可能なリスクレベルへの低減を実施する。
7.管理策策定、実施
当法人は方針達成の為に管理目的を設定し、管理策を策定しそれを実施する。
8.全従業員の義務
代表社員は、社員、職員、パート職員を含む全従業員参加型の情報セキュリティマネジメントシステムを確立し、当基本方針への適合や情報セキュリティ目的を満たすことの重要性を周知徹底する。
全従業員は、その重要性を認識し行動する。
情報セキュリティ方針群は以下による。
なお、これらの見直しは「経営方針及び計画書」策定時に行う。
9.アクセス制御
業務活動上、必要な情報を取り扱う機器・設備の保護(災害対策を含む)及び所内外のネットワークの安全な利用を実施する上での順守事項と具体的施策は「ISOシステム管理規定」に定める。
10.暗号による管理策の利用方針
機密情報を電子ファイルにて保管する場合は、暗号化を行う。
11.クリアデスク・クリアスクリーン
クリアデスク、クリアスクリーンに関する順守事項と具体的施策は「ISO個人情報取扱い規定」「ISOシステム管理規定」に定める。
12.情報転送
通信設備のタイプに関わらず、転送した情報を保護するために、正式な転送方針、手順及び管理方法の順守事項と具体的施策は「ISO個人情報取扱い規定」「ISOシステム管理規定」に定める。
13.供給者関係のための情報セキュリティ
組織の資産に供給者がアクセスするリスクを軽減するために、情報セキュリティの要求事項について、供給者と合意し、文書化する際の順守事項と具体的施策は「ISO委託先管理規定」に定める。
2019年1月 1日(制定)
2021年4月6日(改訂)
税理士法人報徳事務所
代表社員・理事長 赤岩 茂