情報セキュリティ方針

1. 目的

　ITの進歩により多くの利便性を享受できる反面、企業は情報漏えい、改ざん、破壊、紛失など様々な脅威に晒されています。
当社は、「あらゆるデータを活かし、生活と金融を結びつけた”デジタル関連サービス”をつくる。」(以下、デジタル関連サービスという)を遂行していく上で、ITを活用し、顧客の機密情報、消費者の個人情報などを取り扱っています。
　このデジタル関連サービス業を行っていくには、これらの情報資産を適切に管理していくことが社会的な責務と考えます。当社ではその責務を認識し、情報資産の機密性、完全性及び可用性を維持するための対策(情報セキュリティ対策)を組織的に実行していくために、全社に渡る情報セキュリティマネジメントの具体的基準を定めると共に、さらに強化すべき範囲においては、ISO27000シリーズに基づいた情報セキュリティマネジメントシステム(以下、ISMSという)を構築・運用していきます。

2．情報セキュリティの定義

情報セキュリティとは、機密性、完全性及び可用性を確保し維持することと定義します。

• (1)
  機密性:許可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は、非公開にする特性(情報を漏えいや不正アクセスから保護すること。)
• (2)
  完全性:資産の正確さ及び完全さを保護する特性(情報の改ざんや間違いから保護すること。)
• (3)
  可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性(情報の紛失・破損やシステムの停止など)から保護すること。

3．トップマネジメントの責任

トップマネジメントは、当社事業戦略・事業プロセスと両立した全社に渡る情報セキュリティマネジメントの具体的基準及びISMSを構築し、その有効性及びパフォーマンスを維持、継続的に改善するため、次の事項を実施します。

• ●
  情報セキュリティの方針及び目的、ISMSにおける役割及び責任を定め、必要な経営資源を提供します。
• ●
  リスクアセスメントに関する基準及びリスク受容レベルを決定し、残留リスク、及びISMSを承認します。また、ISMS基準、適用宣言書、リスク対応計画、内部監査計画、教育計画、事業継続計画などのセキュリティ計画を承認します。
• ●
  内部コミュニケーションを通じ、情報セキュリティ要求事項への適合の重要性を周知し、ISMSの有効性に貢献するよう各管理者、従業員を指揮、支援します。
• ●
  マネジメントレビューを通じてISMSの変更、改善の必要性を評価・指示します。

4．法令及び社会倫理の遵守

個人情報保護などの情報セキュリティに関する法令、規制及び契約上のセキュリティ義務を誠実に遵守します。

5．リスクを評価するに当たっての機軸を確立

全社に渡る情報セキュリティ基準の基盤の上に、ISMS適用範囲の中にある資産及び資産の管理責任者を特定し、リスクアセスメントの取り組み方法を策定し、実施します。その結果や方法は、組織、事業、社会などの変化に応じて見直します。

6．教育・訓練の実施

全社に渡る情報セキュリティ教育に加え、ISMSに適合することの重要性及び利点を十分に認識し、方針・手順に従ったセキュリティの運用を確実なものとするために、教育・訓練を継続的に実施します。

7．事故への予防と対応

情報セキュリティ事故を未然に防ぐために必要な予防措置を実践するとともに、万一の発生時にはすみやかに根本原因を調査・分析し、再発を防止するために必要な是正処置を講じます。