会社規定・規則の書き方~Wordテンプレート(ひな形)の無料ダウンロード~

  1. トップページ
  2. リスクマネジメント・機密保持・情報セキュリティ等
  3. 危機管理計画の策定細則(中小会社・全業種)

危機管理計画の策定細則(中小会社・全業種)

危機管理計画の策定細則(中小会社・全業種) のテキスト

               危機管理計画の策定細則

第1章 総  則

(目 的)
第1条 本細則は、漏えい、改ざんなど個人情報保護にかかわる各種の緊急事態発生時に、顧客および経営遂行上への影響を最小限にすべく、迅速かつ効率的に必要な対応を実施するために「危機管理計画」(以下「本計画」という。)の策定を行うものである。
(改 廃)
第2条 本計画の改廃は、個人情報保護管理者の起案により社長が決裁するものとする。

第2章 本計画の基本方針

(基本方針)
第3条 当社事業において、データの漏えい、改ざんなど個人情報保護にかかわる緊急事態発生時には、迅速に緊急対策会議を設置し、状況に応じた対応方針を速やかに決定し、対応を行うものとする。
(組織体制)
第4条 各種緊急時における情報の集中および連絡系統の一元化を図るために、情報セキュリティ管理委員会を設置し、一切の権限を情報セキュリティ管理委員長が有することとする。
(対応方針の考え方)
第5条 各種緊急時に、その発生事象に応じて対応方針の設定を行うこととする。
2 なお、システム上もしくはネットワーク上の障害の場合も一定期間手作業などの対応となることが予想されることから、個人情報保護にかかわる緊急事態発生リスクが高まるものと判断し、対象に含めるものとする。

第3章 緊急時における対応方針

(情報セキュリティ管理委員会)
第6条
 (1)構成メンバー
   ① 事業本部長に情報管理責任者を加えたメンバーとする。
   ② 本会議の議長は専務とする。なお、専務が不在の場合は専務が指名した者がこれに代わるものとする。
 (2)権  限
  情報セキュリティ管理委員長は情報セキュリティ管理委員会において協議のうえ、以下の事項を決定する。
   ① 発生事象に基づく対応方針の決定およびその変更
   ② 各部門長宛対応方針の執行指示
   ③ その他緊急事態発生時における対応に関するすべての事項についての協議および判断
(情報セキュリティ管理委員会の開催)
第7条
 (1)情報セキュリティ管理委員会の開催
  以下の「開催要件」に該当する場合には、「緊急事態発生」とみなし、速やかに情報セキュリティ管理委員会の開催を行う。そのとき、当該本部長より指示があった場合は、それに従うものとする。
 (2)開催要件
   ① 顧客を含めた第三者もしくは従業員からの指摘により個人情報が漏えい、改ざんなどが行われたと判断された場合
   ② システム上もしくはネットワーク上に重大な障害が発生したと、システム担当者が判断した場合
   ③ その他社長が開催の必要があると判断した場合
   ④ なお、上記の開催要件に該当しない場合については、(3)開催事項に該当しない場合に従う。
 (3)開催事項に該当しない場合
   ① システム上もしくはネットワーク上の障害に関して、以下の事由に該当する場合には、情報セキュリティ管理委員会開催要件に該当しないものとする。
    a.障害の原因が明確であり、かつ30分程度で平常業務への復旧が可能である場合
    b.障害の影響が、局所的である場合
   ② なお、上記事由の場合においての対応方針については以下のとおりとする。
    a.必要な範囲において広報を行う。
    b.委員長は、個人情報保護管理者および社長あて報告を行う。
(対応方針の決定、執行およびモニタリング)
第8条
 (1)対応方針の決定
  情報セキュリティ管理委員長は現状の把握を通し、状況に応じた判断を行い、対応方針の決定を行う。
 (2)対応方針の執行
   ① 情報セキュリティ管理委員長は、決定した対応方針の執行を各部門長宛指示するものとする。
   ② 各部門長は、対応方針に従い、執行を行うものとする。
 (3)対応方針の執行状況モニタリング
   ① 個人情報保護管理者は、対応方針に基づいた各部の執行状況をモニタリングし、当初決定し対応方針の変更に該当する事由が発生した場合には、情報セキュリティ管理委員長宛報告を行う。
   ② 情報セキュリティ管理委員長は、個人情報保護管理者のモニタリング結果に基づき、対応方針変更の判断を行う。
(緊急事態発生時における要員招集)
第9条 発生事象内容によって情報セキュリティ管理委員長の指示もしくは情報セキュリティ管理委員長の方針に則り各部門長の指示により必要となる要員の招集を行う。その際には発生事象に応じて社内要員だけでなく、顧問弁護士など専門家も必要に応じて招集することとする。
(緊急事態発生時における作業記録)
第10条 事後の係争および業務改善のため、緊急事態発生時における、以下に関する事項のすべてにつき記録を行い、保管するものとする。
  ① 顧客、提携企業からの問合せ、クレームなど
  ② 対外連絡/報告/協議事項
  ③ 社内における連絡/報告/協議事項
(広報活動)
第11条 当社のレピュテーションナルリスク低下を極力回避するために、状況のディスクロージャについて最善の努力を行うものとする。
  ① 事業本部長の指示に従う。
  ② マスコミ等の外部問合せ窓口の設置、ならびに従業員個人での対応禁止の徹底を行う。
  ③ 原則、ホームページを通じた、状況報告を行う。

第4章 具体的な対応方針

(具体的な対応方針)
第12条
 (1)外部流出を中心に現状以上に被害を拡大させないことを第一とし、即座に原因追求を行うものとする。
 (2)同時に顧客に対して誠意を持った対応を第一とし、顧客に対して十分なディスクロージャを実施する。
 (3)原因判明時点でその原因に従って対策をうつものとする。
 (4)マスコミ等の外部問合せ窓口の設置、ならびに従業員個人での対応禁止を徹底する。
 (5)システム障害時手作業による業務内容を記録し、部門の責任者が必ずチェックを行う体制を取る。

第5章 復旧時の対応

(復旧時の対応)
第13条
 (1)システム障害による復旧作業に際しては、具体的作業手順、作業タイミング、作業期間等をあらかじめ明確化し、システムを一時的に停止しなければならない場合など、必要に応じて従業員ならびに顧客へ事前に連絡を行うこととする。
 (2)各部門長は、手作業代替運営を行った業務のシステム反映が完了し、平常業務への復旧作業がすべて完了したことの確認をもって、情報セキュリティ管理委員会へ復旧作業完了の報告を行う。
 (3)情報セキュリティ管理委員長は、各部門長によって緊急事態発生原因の究明と少なくともその暫定対処が完全になされ「すべての業務を平常運用することができる」と判断された場合には、「情報セキュリティ管理委員会の解散」を決定し、各部門長宛指示を行い、平常業務体制に移行させるものとする。

第6章 その他の緊急事態対応

(脅 迫)
第14条
 (1)当社に対して個人情報にかかわる脅迫行為が行われた場合は、その手段を問わず従業員は速やかに個人情報保護管理者宛報告を行う。
 (2)個人情報保護管理者は、脅迫の事実確認を行うと同時に社長宛本情報の報告を行う。
 (3)社長は、本情報に基づき情報セキュリティ管理委員会の開催決定を行い、情報セキュリティ管理委員会にて対応策の協議を行う。

付  則

 本細則は、○年(平成○年)○月○日より施行する。

↑ PAGE TOP