情報セキュリティ方針

2014年6月1日
芝税理士法人
代表社員 林 耕作


1.目的
この情報セキュリティ方針(以下、方針)は、芝税理士法人(以下当法人)における情報セキュリティマネジメントシステム(ISO/IEC 27001:2013、以下ISMS)構築にあたっての基本的な方針を明らかにしたものである。今後はこの方針をISMS の拠り所として位置付ける。
 

2.基本声明
方針の趣旨は、内部的であるか外部的であるか、また、故意であるか偶発的であるかを問わずすべての脅威から、当法人が保有する若しくは利害関係者や外部関係機関から受領した重要な情報資産を適切に保護し、当法人における業務上の目的を達成することにある。

当法人においては、情報資産の適切な保護を経営上の重要項目として認識し、必要な経営資源を適切に割り当てる。したがって、当法人のスタッフ及び外部関係機関はその意図を十分に理解し実践しなければならない。


3.情報セキュリティの定義
情報セキュリティとは、機密性・完全性・可用性を保護し維持することをいう。

ここにいう機密性・完全性・可用性とは次のような意味を持つ。
 機密性:アクセスを認可された者だけが、情報にアクセスできることを確実にすること。
 完全性:情報および処理方法が正確であること及び完全であることを保護すること。
 可用性:認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること。
 

4.情報セキュリティの目的
当法人の業務は、法人顧問、相続税申告業務、資産税業務、合併・買収・営業譲渡・清算・会社分割等に関する税務・会計業務、税務調査立会、会社設立コンサルティング、相続・事業承継コンサルティング、法人税・所得税業務などである。
当該業務において、お客様から収集若しくは提供された情報及び当法人において作業を行いお客様若しくは外部関係機関に提供される情報は、当法人の業務目的を達成していく上で最大限の注意を払うべき重要な情報である。
情報セキュリティの最大の目的は、かかる重要情報及びこれを支える情報を保護することである。我々はこの情報に対して法律・規制上若しくは外部関係機関やお客様からどのような条件を示されているかを認識し遵守するとともに、その内容がお互いの業務の目的にとって不十分である場合には適切な提言を行ない、お互いの信頼関係を確固たるものとし、お互いの繁栄を達成するよう努めなければならない。


5.コンプライアンス
当法人の業務に関わる法的、契約上の事項を遵守することは情報セキュリティの第一歩である。
また、お客様との契約に関わる知的所有権についての理解を深めその重要性を認識することがお客様からの信頼を勝ち得るために非常に重要である。

これらを踏まえ、我々は法令及びお客様との契約について遵守するよう努めなければならない。
 

6.スタッフの責任と義務
方針に基づくISMS の確立、運用、維持、改善に関する実行主体はISO 委員会が担う。代表社員は、
ISO 委員会の活動に対し定期的なチェックを行う。
代表社員より任命された管理責任者は、適切な基準及び実施手順に基づき基本方針の実施を促進する。
すべてのスタッフ及び関係部門は、本情報セキュリティ方針を維持するために策定された手順に従わなければならない。

また、すべてのスタッフ及び関係部門は、事故及び特定された弱点を経営者に報告する責任を要する。
 

7.リスク評価方針
方針に基づき、当法人の状況に適したリスクアセスメントの方法を決定し、これを首尾一貫して適用することにより、リスクの実態や変化が明らかになる。

リスクアセスメントの方法は資産価値、脅威及び脆弱性についてその相対的な重みを明らかにし、管理策の内容及び程度を決定することに通じるものであるべきである。
 

8.運用方法
方針の運用は運用手順に従い、定期的に内部監査を行い基本方針が遵守されているか確認する。


9.継続的改善
方針に基づくISMS の運用における遵守・監視・是正のプロセスから改善点が導き出されたときには、継続的に改善を行っていくものとする。


10.罰則
当法人、お客様、関係部門の情報資産の保護を危うくする故意の行為を行った場合は、就業規則に定めるところによる懲戒処分、法的処分の対象となる。

特定個人情報等の適正な取扱いに関する基本方針

2015年11月1日
芝税理士法人
代表社員 林 耕作
 

芝税理士法人(以下、「当法人」という。)は、個人番号及び特定個人情報(以下、「特定個人情報等」という。)の適正な取扱いの確保について組織として取り組むために、お客様、取引先及び従業員等の特定個人情報等の保護を重要事項として位置づけ、「特定個人情報等の適正な取扱いに関する基本方針」を以下の通り定め、代表社員、従業員、その他の従業者に周知し、徹底を図る。


1.特定個人情報等の適切な取扱い
当法人のお客様、取引先及び従業員等の特定個人情報等を取得、保管、利用、提供又は廃棄するにあたって、当法人が定めた取扱規程に従い適切に取り扱う。


2.利用目的
当法人は、特定個人情報等を以下の利用目的の範囲内で取り扱う。
(1)従業員等に係る源泉徴収事務、社会保険関係事務及び労働保険関係事務
(2)業務委嘱契約等に基づく年末調整事務及び法定調書作成事務
(3)業務委嘱契約等に基づく税務代理
(4)業務委嘱契約等に基づく税務書類の作成
(5)上記(3)及び(4)に付随して行う業務


3.安全管理措置に関する事項
(1)当法人は、特定個人情報等の漏えい、滅失又は毀損の防止等、特定個人情報等の管理のために取扱規程を定め、

   必要かつ適切な安全管理措置を講じる。また、従業者に特定個人情報等を取り扱わせるにあたっては、

   特定個人情報等の安全管理措置が適切に講じられるよう、当該従業者に対する必要かつ適切な監督を行う。
(2)特定個人情報等の取扱いについて、お客様、取引先及び従業員等の許諾を得て第三者に委託する場合には、

   十分な特定個人情報保護の水準を備える者を選定するとともに、契約等により安全管理措置を講じるように

   定めたうえで、委託先に対する必要かつ適切な監督を行う。
 

4.関係法令、ガイドライン等の遵守
当法人は、個人情報及び特定個人情報等に関する法令、特定個人情報保護委員会が策定したガイドライン及び

日本税理士会連合会が策定したガイドブックその他の規範を遵守し、全従業者が特定個人情報等の保護の重要性を

理解し、適正な取扱い方法を実施する。
 

5.継続的改善
当法人は、特定個人情報等の保護が適正に実施されるよう、本基本方針及び社内規程類を継続して改善する。
 

6.お問い合わせ
当法人は、特定個人情報等の取扱いに関するお問い合わせに対し、適切に対応する。