山下自治体法務クリニック法律事務所

　本規程は、当職が弁護士としての職務を遂行する際に、情報セキュリティを確保するための基本的な取扱方法を定めるものである。当職は、本規程に従い取扱情報を取り扱うとともに、当事務所で勤務する事務職員その他取扱情報に接する者（以下「事務職員等」という。）にも基本的な取扱方法を遵守させる。

１　用語
　本規程で用いる用語は、日本弁護士連合会の弁護士情報セキュリティ規程（会規第１１７号。以下「規程」という。）で定義されたものと同様とする。本規程で保護の対象となる「取扱情報」も規程で定義されているとおり「弁護士等がその職務上取り扱う情報」を広く含む。ただし、公開情報等の情報セキュリティを保持する必要のない情報は除く。

２　安全管理措置
(1) 組織的な安全管理措置

ア　事務職員等に対し、本規程をいつでも参照できるようにして、これを遵守することを求め、情報セキュリティの確保に関する指揮と監督を行う。

イ　共同受任又は弁護団等で他の弁護士と共同で取扱情報を取り扱う場合には、当該他の弁護士と協議して、取扱情報の授受方法、共有方法等、当該案件の遂行に必要な場合に必要な範囲で、共同の基本的な取扱方法を定める。

(2) 人的な安全管理措置

ア　当職は、日本弁護士連合会が発信する情報セキュリティに関する脅威や脆弱性についての情報等の情報セキュリティに関する注意情報を収集する。

イ　事務職員等による取扱情報の漏えい等を防止するため、当職の許可なく取扱情報を外部に持ち出すことを禁止する。

ウ　事務職員等が退職する際には、保有している取扱情報を返還させ、事務職員等に対し業務用に貸与したもの以外の機器の利用を許可した場合は、当該機器に保存された取扱情報を消去させる。

エ　取扱情報の取扱いを第三者に委託するときは、以下に定めるとおり行う。

1. 適切な情報セキュリティ対策を行っている委託先を選定する。
2. 委託先との間で、提供する取扱情報に関し、(a)内容、利用目的及び保管方式の定め、(b)第三者提供及び目的外利用の禁止、(c)委託終了時の返還又は消去に関する取り決めを行うか、これらの事項について適切に設定されていることを確認する。

(3) 物理的な安全管理措置

ア　取扱情報がみだりに第三者の目に触れないよう、事務室等には第三者を単独では入室させない。

イ　第三者が許可なく執務スペース等の取扱情報にアクセス可能な場所に立ち入らないようにする措置を講ずる。

(4) 技術的な安全管理措置

ア　アカウント管理及びアクセス制御

1. 当事務所で用いるソフトウェア、サービス又はハードウェアの利用に際して、必要かつ可能な場合は、ＩＤ、パスワード等を用いた認証及びアクセス権限・範囲の設定等によるアクセス制御を行う。
2. 取扱情報にアクセスするためのアカウントは、当職において管理する。
3. アカウント情報は、当該アカウント利用者以外の者の目に触れるところに書き記さない、使い回しをしない等の適切な管理を行う。
4. アカウントのパスワードについては、適切な長さと複雑さを持たせ、第三者から推測されないようにする。

イ　ソフトウェア及びサービス（以下「ソフトウェア等」という。）

1. ＯＳを含むソフトウェア等のアップデートを適切に設定し、必要な更新を行う。
2. ウェブサイトを閲覧する際には、マルウェアに感染しないために、業務上必要な範囲を超えての不必要なサイトの閲覧又はファイルのダウンロードは行わない。

ウ　ハードウェア

1. ファイアウォールの設定、セキュリティ対策ソフトのインストール等の適切な防御措置を施して、それを最新の状態に保ち、定期的にチェックを行う。
2. ネットワーク機器、複合機等のファームウェア等のアップデートを適切に設定し、必要な更新を行う。

３　情報のライフサイクル管理

(1) 情報の受領・取得
　取扱情報の受領又は取得に関し、その方法又は利用する情報機器の特性に応じ、情報セキュリティの維持に注意を払う。

(2) 情報の保管
　紙媒体記録等（取扱情報が記載された紙その他の有体物。以下同じ。）を安全な場所に保管するとともに紙媒体記録等の漏えい、改ざん及び紛失を防止するための措置を講ずる。データの性質等に応じて必要な場合は、当該データ又はフォルダにアクセスできる者をＩＤ、パスワード等により制限する等、データの漏えい、改ざん及び紛失を防止するための適切な措置を講ずる。外部サービス（ファイル転送、クラウドストレージ、メッセージ交換等）を用いてデータを取り扱うときは、当該外部サービスの信頼性を十分に吟味し、外部サービスの利用により守秘義務違反を招かないように注意する。

(3) 情報の発信・交付等
　取扱情報を発信する際には、ＦＡＸ、Ｅメール等発信手段の特性に応じ、宛先違い及び内容違いがないか確認する。

(4) 情報の持ち出し・複製
　紙媒体記録等及び取扱情報を格納したモバイル機器を必要な範囲を超えて外部に持ち出さない。取扱情報を必要な範囲を超えて複製しない。

(5) 情報の廃棄
　保有する必要のない取扱情報は、速やかに廃棄する。取扱情報の廃棄を専門業者等に委託する際には、委託先が守秘義務を負っていること及び廃棄方法の適切さ等を確認する等して、委託先から取扱情報が漏えいすることを防ぐ措置を講ずる。

(6) 会議・期日出席
　会議、ウェブ会議又は期日等に際して、取扱情報が漏えいしないよう、盗み見、盗み聞きができない環境・設備で会議を実施し、必要な措置を講ずる。

４　点検及び改善
　毎年少なくとも1回、基本的な取扱方法の実施状況を点検し、必要な見直しを行う。

５　漏えい等事故が発生した場合の対応

1. 取扱情報の漏えい、滅失、毀損等の事故（以下「漏えい等事故」という。）が発生した場合には、原因を調査し、また、必要に応じ、外部の情報セキュリティの専門家等の助言又は補助を得つつ、マルウェアに感染した情報機器の停止若しくはネットワークからの遮断又はセキュリティ対策ソフトウェアによる検査若しくは駆除等の対策を実施する。
2. 漏えい等事故が発生した場合、個人情報保護法の規定に基づき、当該事故の内容等を情報主体に通知するとともに、個人情報保護委員会に報告する。