データ保持・破棄ポリシー

目的

本ポリシーの目的は、SUZUVERSE/SUZUWALKの情報システム、ネットワーク、データ、データベース、およびその他の情報資産を保護するための、データ保持および破壊の計画およびプログラムの提供に関連する活動を定義することである。データ管理活動に関するその他のポリシーについては、別途定める。 

範囲

本データ保持・破棄ポリシーの適用範囲は、当社が業務を遂行するために必要なすべての情報技術システム、ソフトウェア、 データベース、アプリケーション、およびネットワークリソースです。このポリシーは、当社の全従業員、請負業者、およびその他の認定された第三者組織に適用されます。

コンプライアンスに関する声明

このポリシーは、1998年の米国データ保護法、2000年の情報自由法、2003年の公正かつ正確な信用取引法、カナダの個人情報保護および電子文書法、グラム・リーチ・ブライリー法、および欧州の一般データ保護規則に準拠するように設計されています。 

データ保持・破棄ポリシーのコンプライアンスは、SUZUVERSEの各部門のリーダーシップと専門家のサポートを受けながら、IT部門が管理します。コンプライアンスを達成するために、データ保持・破棄プログラムには適切な手順を盛り込み、コンプライアンス要件を満たすための人員と技術リソースを特定する必要があります。コンプライアンス検証（特にデータ破棄）は、IT部門、内部監査、またはその他の適切な組織によって毎月行われる。

方針

情報技術（IT）部門は、当社のすべてのデータ保持および破棄活動を管理する責任を負っ ています。財務・経理、業務、人事などの他の部門も、データの保持と破棄に関する要件を IT 部門に提供する責任を負います。IT 部門は、データ保持および破棄手順の開発、実行、および定期的なテス トに責任を負います。IT部門はまた、その活動において、データ保持と破棄に関する適切な業界標準を遵守することを認めます。

1. 会社は、確立された基準によって定義された適正なデータ管理慣行に従って、包括的なデータ保持および破棄計画を策定しなければならない。
2. データ保持と破棄の活動は、会社のデータ管理プログラムの一環として実施されるものとし、このプログラムは、以下を含む技術データ管理プログラム全体を管理・運営する：
   
   • データ保持および破棄活動の計画および設計；
   • データ保持・破棄チームを特定し、その役割と責任を定義し、適切な訓練を受け、職務を遂行する準備が整っていることを確認する；
   • データ保持・破棄計画の立案、設計、文書化
   • データ保持および破壊リスク分析の更新のスケジューリング；
   • 従業員およびデータ保持・破棄チームメンバーに対する意識向上およびトレーニング活動の企画・実施；
   • データ保持および破壊計画の計画立案および実行；
   • データ保持と破壊のメンテナンス活動を設計・実施し、計画が最新で使用可能な状態であることを保証する；
   • データ保持・破棄計画の管理レビューおよび監査の準備
   • データ保持・破棄活動および計画に関する継続的改善活動の計画・実施  
3. 正式なリスクアセスメント（RA）およびビジネス影響分析（BIA）には、データ保持および 破棄活動に関する要件を含めるものとする。RA および BIA は、少なくとも年 1 回更新し、ビジネ スおよびその技術要件と一致していることを確認するものとする。
4. データ保持および破棄計画は、CD、ハードディスクドライブ、ソリッドステートディスクドライブ、磁気テープ、その他の適切なメディアなどの電子メディアに保存された電子データに対処するものとする。
5. データ保持および破棄計画は、非電子媒体（紙ファイル、マイクロフィッシュなど）に保存されたデータに対応するものとする。
6. データ保持および破棄計画は、電子情報システム（サーバー、ルーター、スイッチなど）およびコンポー ネント（ケーブルおよびコネクター、電源装置、ストレージラックなど）、ならびに、現在稼動してい ないか、稼動環境から段階的に除外される予定のその他の資産に対処するものとする。
7. データ保持計画は、電子情報および非電子情報、ならびにITインフラストラクチャーをサポートするシステムの保管要件および関連指標（保管期間、保管メディアの種類など）を定めるものとする。
8. データ破壊計画は、電子データの破壊（例：上書き、再フォーマット、デガウス、ファームウェアベースの消去、物理的なデータ媒体の破壊）、非電子データ（例：ハードコピーのシュレッダー）、システムおよびコンポーネント（例：第三者の破壊サービス）の破壊のためのパラメータを確立しなければならない。
9. データ保持・破棄計画は、データ、データベース、メディア、システムおよびその他の関連要素が保持・破棄できることを確認し、<会社名>の経営陣および従業員が計画の実行方法および各自の役割と責任を理解していることを確認するため、適切な環境で定期的に見直し、テストしなければならない。
10. 全従業員は、データ保持・破棄プログラムおよび各自の役割と責任を認識しなければならない。

データ保持・破棄計画およびその他の文書は常に最新に保たれ、既存および変化する状況を反映する。

データ保持と破棄の仕様

以下は、具体的なデータ保持および破棄の技術的要件です：

一般

1. 実施すべきデータ／システム保持活動の頻度と種類を明記する。
2. 実施すべきデータ／システム破壊活動の頻度と種類を明記すること。
3. データ保持および破棄の責任者（社内スタッフ、外部の第三者など）を明記すること。
4. 保管および破棄活動に関する問題が確認された場合、誰に通知されるべきかを明記する。

データ／システム保存手順

1. データ（電子的および非電子的なものなど）がどのように保存され、保持されているかを明記する。
2. システムの保存と保持方法
3. データ／システムの保存場所と保持場所
4. 保管手続きが適切に機能していることを確認するための国家プロセス
5. データ／メディア保持の検証プロセス  

データ／システムの破棄手順

1. データ破棄の指標と期限
2. データ／システム破棄のための国家プロセス
3. データ／メディア破壊の検証プロセス

保存と廃棄の要請

1. データの復元および破壊の要請を処理するための国のプロセス

ポリシーリーダーシップ

Mr. Cong Hoang Tri は、当社のデータ／システム保持・破棄活動 の責任者である企業オーナーに指定されている。データ／システム保持・破棄活動のサポートにおける問題の解決は、必要に応じてIT管理者等と調整すること。

ポリシーの責任

1. ポリシーの承認 - <役員の役職名> がこのポリシーを承認する責任を負う。
2. ポリシーの実施 - <部署名または個人名を記入>は、このポリシーを満たすすべての活動を計画、組織、実施する責任を負う。
3. ポリシーの維持と更新 - <部署名または個人名を記入> は、このポリシーの維持と更新に関連するすべての活動に責任を持つ。
4. ポリシーの監視と見直し - <部署名または個人名を記入>は、本ポリシーの監視と見直しに責任を持つ。
5. ポリシーの改善 - <部署名または個人名を入力>は、このポリシーを改善する活動を定義し、実施する責任を負う。 

マネジメント・レビュー

カスタマー・サポート・チームは、本データ保持・破棄ポリシーを毎年見直し、更新します。本ポリシーへの変更が業務の過程で指摘された場合、カスタマー・サポート・チームは、本ポリシーを更新するための変更管理プロセスを開始することがあります。

コンプライアンス違反に対する罰則

データ保持および破棄活動がこのポリシーに準拠していないと判断された場合、この活 動を担当するIT部門チームは、非準拠の理由を記載した報告書を作成し、解決のためにIT管理部門 に提出します。解決のために割り当てられた時間内にこのデータ保持および破棄ポリシーに従わない場合、口頭による叱責、人事ファイルへの記載、解雇、および適切とみなされるその他の救済措置が取られる場合があります。