情報セキュリティ方針
情報セキュリティ方針
IT企業のM&Aで扱う技術情報、顧客情報、契約情報、財務情報を保護するための基本方針です。
セキュリティ
段階的な情報共有で、機密情報を必要な範囲に限定します。
情報分類
会社名、サービス名、顧客名、ソースコード、アカウント権限、インフラ構成、財務・人事情報など、M&A検討上の機密性に応じて共有段階を分けて管理します。
アクセス管理
相談情報と候補先情報は、業務上必要な担当者・関係者に限定して取り扱います。不要な共有、目的外利用、同意のない転送を避け、必要に応じて権限の見直し、記録確認、端末・アカウント管理を行います。
候補先資料運用
初期打診では、社名・所在地の詳細・顧客名・個人名など直接識別される情報を整理し、事業概要、規模、地域、強みなどの範囲で候補先の関心を確認します。
条件整理と共有範囲
詳細資料の共有、トップ面談、デューデリジェンスへ進む際は、情報管理契約、共有先、共有資料、利用目的を確認しながら段階的に進めます。
委託先・専門家管理
外部専門家またはシステム運用委託先に情報を取り扱わせる場合は、必要な範囲に限定し、情報管理・安全管理を求めます。
事故対応
漏えい、紛失、不正アクセス等が疑われる場合は、事実確認、影響範囲の特定、関係者への連絡、原因調査、再発防止策を速やかに検討します。個人の権利利益を害するおそれがある漏えい等については、法令に基づき個人情報保護委員会への報告および本人への通知等を行います。
初回相談で入力しないでよい情報
- ソースコード、認証情報、秘密鍵、管理画面ID・パスワード
- 顧客個人名、従業員個人の詳細情報、マイナンバー、健康情報
- 情報管理契約前に共有すべきでない契約書・顧客台帳の原本情報