セキュリティーポリシー

HOME > セキュリティーポリシー

  1. 目的
    本セキュリティーポリシーは、当社および当社が経営管理するグループ会社(以下、「当社グループ」という)の情報資産の適切な保護と利用についての基本的な取り組み方針を定めるものである。
  2. 定義
    本ポリシーにおける定義は、以下のとおりとする。
    • 情報
      本ポリシーにおいて「情報」とは、当社が保有または作成する全ての情報をいい、公開・非公開の別や形態(紙文書や電子データ上の情報、映像・音声情報等)を問わない。
    • 情報資産
      本ポリシーにおいて「情報資産」とは、「情報」、「情報」の取扱いに係る当社のシステム・機器類・記録媒体等、およびシステム・機器類・記録媒体等を保護し正常に稼動させるために必要な施設・設備等の全てをいう。 上述の「システム」とは、コンピューター関連のハードウェア、ソフトウェアおよびネットワーク等をいい、「機器類」とは、情報の記録・保存・伝送等を行うために使用する機器類(システムを除く)をいい、「記録媒体」とは、紙媒体(情報を記録・保存している帳票等の紙)および記録媒体(情報を記録・保存する媒体で、紙媒体以外のもの)をいう。
      本ポリシーにおいて「システム等」とは、システムおよび機器類をいう。
    • 情報セキュリティー
      本ポリシーにおいて「情報セキュリティー」とは、当社の「情報資産」を様々な脅威(災害、故障、誤処理、漏洩、不正使用、破壊、改ざん等)から保護することをいう。
    • 情報管理
      本ポリシーにおいて「情報管理」とは、「情報セキュリティー」対策の実施等を通じた「情報資産」の機密性・完全性・可用性の確保、個人情報に係る情報主体からの開示等の請求等への対応など、当社の「情報資産」の適切な保護と利用に係る全ての行為をいう。 上述の「機密性」とは、アクセスを認可された者だけが情報資産にアクセスできることを確実にすることをいい、「完全性」とは、情報および処理方法が正確であることおよび完全であることを保護することをいい、「可用性」とは、認可された利用者が、必要なときに、情報資産にアクセスできることを確実にすることをいう。
    • 情報セキュリティーに係るリスク
      本ポリシーにおいて「情報セキュリティーに係るリスク」とは、当社グループの「情報資産」に対する様々な脅威により、お客様へのサービスに混乱をきたす等、お客様に損失が発生するリスクおよび当社グループが有形無形の損失を被るリスクのことをいい、システムリスク、事務リスク等から構成される。
    • 情報セキュリティーに係るリスク管理
      本ポリシーにおいて「情報セキュリティーに係るリスク管理」とは、情報セキュリティーに係るリスクの所在・規模・性質を適時かつ正確に把握し、適切な対応を行うことをいう。
  3. 適用範囲
    本ポリシーの適用対象は、当社内の全組織および全ての役員、職員、嘱託、契約社員、 アルバイト(以下、「役員および職員等」という)とする。 当社は、外部委託先社員や派遣社員等、当社と直接雇用契約がない者に対しても、外部委託契約や守秘義務契約等の締結や誓約書の徴求等により、本ポリシーに準拠した行動を求めることとする。
  4. 情報資産の分類等
    当社は、当社の情報資産について、その重要性や利用状況等に応じた適切な管理を行うことを通じて機密性・完全性・可用性を確保するため、以下のとおり重要度の分類を設定する。
    • 情報の分類
      (1)重要
      漏洩等が生じた場合、顧客等の情報主体、あるいは当社グループの経営や業務に対して重大な影響を及ぼす惧れがあるため、厳格な管理を要する情報
      (2)一般
      漏洩等が生じた場合、顧客等の情報主体、あるいは当社グループの経営や業務に対して影響を及ぼす惧れがあるため、管理を要する情報
      (3)公開
      当社グループが作成し、当社グループの外部に公開している情報
      上述の「漏洩等」とは、漏洩(情報資産が外部に流出すること)、滅失(情報資産内容が失われること)、毀損(情報資産の内容が意図しない形で変更されること、あるいは内容を保ちつつも利用不能な状態となること)をいう。
      記録媒体等は、その中に記録・保存されている情報の分類に応じて分類することを原則とするが、下記2のシステム等と一体のものとして分類することも可とする。
    • 情報以外の情報資産(システム等)の分類
      (1)重要
      システム等が使用不能、またはシステム等の処理内容・出力結果に誤り等が発生した場合に、影響等が当社外部・内部の広範囲にわたり、かつ、代替手段・修復手段により、当面は主要業務を継続することが可能であるが、短期間のうちに当該システム等の復旧が必要になるシステム等
      (2)一般
      上記以外のシステム等
      (3)その他の情報の区分
      当社は、上記1、2の分類とは別に、情報主体の区別や法令等の要請等に応じて、 個別の管理方法を定める。
  5. 情報管理の原則
    情報管理の原則について、以下のとおり定める。
    • コンプライアンス(法令等遵守)
      当社は、業務遂行において使用する情報管理に係る関係法令等を遵守する。
      役員および職員等は、情報管理に係る関係法令等および本ポリシー等の社内規定に従わなければならない。また、役員および職員等は、他の者に対して関係法令等および本ポリシー等の社内規定に違反する行為を誘導、命令してはならない。
      役員および職員等は、違反行為や漏洩等の事実またはその発生の兆候、情報セキュリティーに係る問題点等を発見した場合には、速やかに情報管理責任者等の適切な権限者に報告し、その指示に従わなければならない。
    • 情報資産の外部持ち出し等・漏洩等の禁止
      当社の情報資産(公開情報を除く)については、本ポリシー等の社内規程に基づき定められた承認手続き等を経た場合を除き、当社の外部への持出しを禁止する。
      役員および職員等は、転勤・移動等に際しては、本ポリシー等の社内規程に基づき定められた承認手続き等を経た場合を除き、元の所属部署から情報資産を持出してはならない。
      役員および職員等は、在任・在職中、退任・退職後、職務上・職務外を問わず、当社の情報について漏洩等を行ってはならない。
    • 情報資産の管理方法
      当社は、当社の情報資産の分類や記録媒体等の性質等に応じた適切な安全管理措置(組織的・人的・物理的・技術的)を講じる。
      管理の具体的方法については、本ポリシー等に基づいて別途定めることとする。
  6. 組織的安全管理措置
    当社は、当社グループの情報管理を適切に実施・推進するため、組織体制・規程等の整備等、適切な組織的安全管理措置を講じる。
    • 情報管理統括責任者の設置
      当社は、当社グループの情報管理全般に係る企画、立案および推進を統括する役員として、情報管理統括責任者を設置する。
      情報管理統括責任者は、情報管理に係る諸施策の実施について、関係部署の担当役員等と協議のうえ必要な措置を講ずる。
      情報管理統括責任者は、情報セキュリティーに係るリスク管理等の提言を行う。
    • 情報管理取扱部署
      当社グループの情報管理全般に係る企画、立案および推進を統括する機能は管理本部とする。
      管理本部は、情報管理に係る諸施策実施について、関係部署と協議のうえ必要な措置を講ずる。
      管理本部は、情報セキュリティーに係るリスク管理等の提言を行う。
    • 常務会の役割
      常務会は、当社グループの情報管理全般に関する事項について、組織横断的な審議を行う。
      常務会は、当社グループの情報管理に関する各種施策の推進状況、情報セキュリティーに係るリスクの管理、個人情報保護法等への関係法令等への対応、情報管理に関する各種規程類等について審議を行う。
    • 組織の体制と役割
      当社は、当社グループの情報管理を適切に実施・推進するため、以下の組織体制を構築する。
      管理本部は、情報管理全般に関する企画、立案および推進を行い、コンプライアナスプログラム等の策定・実施等を通じた適切な情報管理の実施を図る。また、情報管理に係る事項について、必要に応じて都度、情報管理統括責任者や常務会に報告を行う。
      管理本部は、IT・システムの情報セキュリティー対策に関する企画、立案および推進を行う。
      内部監査室は、情報管理に係る本ポリシー等の社内規程の遵守状況等の監査を行う。
    • 情報セキュリティーに係るリスク管理の運営と管理方法
      当社は「リスク管理の基本方針」に則り複合的なリスクとして情報セキュリティーに係るリスクを適時かつ正確に把握・モニタリングすることにより適切に管理する。
      システムリスク・事務リスク面については、各リスクが当社グループの情報セキュリティーに与える影響等について、各リスク管理の基本方針に従って適切な管理を行う。
      内部監査室は、情報セキュリティーに係るリスク管理の企画運営に関する基本的事項を所管し、情報セキュリティーに係るリスクを一元的に把握する。その管理の状況等について必要に応じ取締役会、常務会および社長に報告を行うとともに、必要に応じ情報セキュリティーに係るリスク管理の観点から提言を行い、関係部署と協議のうえ、情報セキュリティーに係るリスク管理に関する基本的施策の立案・推進を行う。
      管理本部は、情報セキュリティーに係るリスク管理について、システムリスク管理の観点からの企画、立案および推進を行う。
    • 部支店における情報管理責任者の設置
      部支店長は情報管理責任者として、各部・支店における情報管理について責任を負うとともに、職員等に対して、本ポリシーの周知徹底を図る。
      部支店長は、情報管理責任者の職務を行うにあたり、その職務を補佐する者を別途任命することができる。
      情報管理責任者は、各部支店における従業者の役割等の明確化、情報の取扱状況の把握、本ポリシー等の社内規程の遵守状況に関する点検体制の整備等を行う。
      情報管理責任者は、個人情報保護法に定義される個人データの安全管理に係る業務を遂行する個人データ管理者としての役割を合わせ担うものとする。
      本ポリシーにおいて「従業者」とは、「役員および職員、嘱託、契約社員、アルバイト」、および外部委託先社員や派遣社員など、当社の組織内にあって直接または間接に当社の指揮監督を受けて当社の業務に従事している者全てをいう。
    • 漏洩等への対処
      当社は、当社グループにおいて情報資産の漏洩等の事案が生じた場合、迅速かつ適切な対応を講じることができるよう、対応部室の確定、監督当局をはじめ関係各所への連絡・報告、本人への通知、調査・再発防止策等の検討体制および対外公表等について体制を整備するとともに、具体的な対処方法等を定めたマニュアル等をあらかじめ策定し、従業者に周知徹底する。
    • 業務継続対策
      当社は、災害や事故・障害等の発生等に際して、当社グループの重要な情報資産に対する損害の範囲および業務への影響を極小化するとともに、迅速かつ効率的な業務の復旧を行うため、適切な対策を講ずるとともに、その対策を定期的に確認し、必要な見直しを行う。
    • 監査体制
      当社は、各部支店において情報管理に係る関係法令等や本ポリシー等の社内規程が遵守されていることを検証するため、内部監査室において必要な体制の整備や監査計画の立案等を行い、定期的および必要に応じて都度、監査を実施する。
      内部監査室は、監査結果について情報管理統括責任者に通知する。
  7. 人的安全管理措置
    当社は、従業者による当社の情報資産の漏洩等や不適切な利用等を未然に防止するため、従業者に対して適切な監督を実施する。
    • 非開示契約等の締結等
      当社は、個々の従業者との間で、採用・異動・退職時等において、業務上知り得た秘密に関する守秘義務を含む非開示契約の締結または誓約書の取得等を行う。
      当社は、業務上知り得た秘密に関する守秘義務や、情報管理に係る関連法令等や本ポリシー等の社内規程に違反した場合に適用され得る処分を就業規則等に定める。
    • 従業者の役割・責任等の明確化
      当社は、情報管理に関し、従業者の職務に応じた適切な権限・責任を定めて明確化する。
    • 教育・研修
      当社は、従業者に対して、情報管理に係る関係法令等や本ポリシー等の社内規程の周知徹底と情報セキュリティー意識の向上を図る内容の教育・研修を実施する。
      当社は、教育・研修の担当部門の明確化等、従業者に対する適切な教育・研修を行うための体制を整備する。
    • 遵守状況の確認
      当社は、従業者による本ポリシー等の社内規程等の遵守状況について、定期的に記録・確認および点検・監査を実施する。
    • 懲戒等
      当社は、情報管理に係る関係法令等や本ポリシー等の社内規程等への違反行為に対して厳正に対応する。
      当社は、それらの違反行為を行った従業者、および当該違反行為に関係した従業者については、関係法令等や就業規則等に照らして懲戒等の処分や損害賠償の請求等を行うことがある。
  8. 物理的安全管理措置
    当社は、正当なアクセス権限を有しない者による当社の情報資産へのアクセスや、漏洩等を防ぐため、施設等、システム等および記録媒体等について適切な物理的安全管理措置を講じる。
    • 施設等の管理
      当社は、防犯・防災対策を講じる等、情報資産の分類等に応じて、施設の管理、入退室の管理、鍵の管理を適切に実施する。
    • システム等の管理
      当社は、情報を取扱うシステム等の不正使用、破壊、盗難等の防止や、漏水、火災、停電等の環境上の脅威による被害の回避又は低減のため、部外者によるシステム等への接近の防止、盗難防止等により、情報資産の分類等に応じて適切なシステム等の物理的な保護を講じる。
    • 記録媒体等の管理
      当社は、記録媒体等の漏洩等や不正使用等を防止するため、物理的な保護を社内規程に定めてそれに従った運用を行う。
  9. 技術的安全管理措置
    当社は、情報資産の適正な稼動等を確保するため、システム等および記録媒体等について適切な技術的安全管理措置を講じる。
    • 情報資産へのアクセスの管理
      当社は、当社の情報資産への無資格者によるアクセスや許可された範囲を超えるアクセス等を防止するため、当社が承認した有資格者にのみアクセスを許可するとともに、その付与権限の管理、情報資産の分類並びに有資格者の職務と権限等に応じたアクセスの制限、ユーザID等の管理など、適切なアクセス管理を実施する。
      当社は、上記不正アクセス等の防止や、本ポリシー等に基づく情報管理の実施状況の確認等のために、情報資産の分類等に応じて情報資産へのアクセス等の記録及び分析を適切に実施する。
    • システムの運用管理等
      当社は、システムの適正な稼動を確保するため、システムの開発部門と利用部門の分離等、情報資産の分類等に応じて適切な運用管理を実施する。
      当社は、システムの適正な稼動の確保や情報資産の漏洩等を防止するため、ソフトウェアの適正なライセンス管理と使用、無許可のソフトウェアの導入・使用の禁止、サイバーテロ対策やコンピューターウイルス防御対策等の実施など、情報資産の分類等に応じて適切な不正ソフトウェア対策等を実施する。
      当社は、情報の移送・通信時等における情報セキュリティーを確保するため、情報資産の分類等に応じて適切なネットワーク等の管理を実施する。
      当社は、システムの適正は稼動を確保するため、電源・空調等の建物付帯設備の供給能力を確保すると共に、障害の予防対策や障害発生時の迅速かつ正確な復旧のための対応等、情報資産の分類等に応じて適切な障害時対策を整備し、その対策を確認し、必要な見直しを行う。
    • システム開発とメンテナンス
      当社は、システムが本ポリシー等に定める情報セキュリティーに係る諸要件を満たすものであることを維持するため、その開発や変更に際して開発・本番環境を分離する等、情報資産の分類等に応じて適切な開発・メンテナンスを実施する。
  10. 外部委託管理
    当社は、情報資産の取扱いにかかる業務の一部または全部を外部に委託することによる漏洩等を防止するため、委託先における情報管理の状況の確認等、情報資産の分類等に応じて適切な外部委託管理を行う。
    • 委託先の選定基準
      当社は、委託先における情報管理に係る方針・取扱規程等の整備状況等、委託先の選定基準を定め、取扱う情報資産の分類等に応じて、その基準に従った委託先の選定を実施する。
    • 適切な委託契約の締結
      当社は、守秘義務など漏洩等の防止に係る事項や再委託に係る事項等、取扱う情報資産の分類等に応じて適切な内容の委託契約を締結する。
    • 委託先に対する適切な監督等
      当社は、委託先における義務の履行状況について、必要に応じて都度報告を受ける等、適切な委託先の監督等を実施する。
  11. 個人情報保護に関する方針
    当社グループは、個人情報の適切な保護と利用を重要な社会的責任と認識し、利用目的の特定とその範囲内での利用、適正な取得、第三者提供の制限、保有個人データ事項の公表、開示・訂正等の請求への適切な対応等を講じることにより、個人情報の保護に努めることとする。
    当社は、個人情報の取扱い等に関する事項を含むプライバシーポリシーを別途定めて公表する。