セキュリティポリシー

情報セキュリティに関する基本方針(セキュリティポリシー)

1.経営者の声明

今日、信用情報制度は、消費者信用取引が円滑に機能するための根幹の制度となっており、信用情報機関は適正与信の推進、多重債務者の発生防止に重要な役割を担っている。

信用情報機関にとって、その取り扱う個人情報とりわけ個人信用情報の安全管理の確保は、機関が成り立つ上で最も基本的な任務であり、同時に機関にとって根源的な価値観である。

このため、当社の保有する情報資産については、高度な倫理観・価値観に基づき、セキュリティが維持・向上されなければならず、そのレベルは一般の企業の場合に比べて高く、かつ、全社統一的なものでなければならないと認識している。

よって当社は、必要な時間、資源を投入して情報資産のセキュリティの維持・向上に取組み、健全な企業経営に努め、消費者信用業界はもとより社会から信頼される企業としての責任を果たすため、以下の基本方針を定める。

本基本方針は、情報セキュリティに関する当社の基本的な方針を示すものであり、情報セキュリティのためのすべての施策は、本基本方針に則って実施される。

経営者を含め全従業者(注)は、本基本方針が有効に機能するよう、関与し、これを支持しなければならない。また、全従業者は、指揮命令下にある従業者に対して、本基本方針に違反する行為を命じてはならない。

(注)取締役、執行役員、監査役、相談役および顧問、当社の組織内で直接間接に当社の指揮監督を受けて当社の業務に従事している者(正社員、契約社員、嘱託社員、当社への出向社員、当社からの出向社員および人材派遣会社から当社に派遣されている社員等)ならびに当社の事務所において作業する外部委託先要員をいう。

2.情報資産および情報セキュリティ

情報資産とは、情報および情報システムをいう。情報とは、コンピュータシステムや磁気媒体等に保存されているデータ(生体情報を含む。)、紙に印刷されたデータ、記録、撮影された映像データおよび録音された音声データの総称をいう。

情報システムとは、ハードウェア、ソフトウェアおよびネットワークならびにそれらを適切に運用、管理するために必要な全ての人、物の総称をいう。
これらは、当社の重要な資産であり、これらの機密性・完全性・可用性・真正性・信頼性が失われると当社はビジネス上の損害を被るのみならず、会員、消費者、株主等のステークホルダーに損害を与え、当社の存立基盤である社会からの信頼が失われることにもなりかねない。このため、当社は情報資産をさまざまな脅威(災害、故障、誤処理、漏えい、滅失、き損、改ざん、紛失、盗難、不正利用、不正アクセス、いわゆるサイバー攻撃等)から保護し、情報セキュリティ(情報資産の機密性、完全性、可用性、真正性、信頼性、責任追跡性および否認防止が確保されていることをいう。)を維持・向上するため、必要な対策を行う。

3.情報セキュリティ管理態勢

(1)全社統一的な情報セキュリティ管理

当社は、情報セキュリティを維持・向上するために情報資産を適正に管理する(以下、「情報セキュリティ管理」という。)ための態勢を整備し、その統括責任者として情報セキュリティ管理担当役員を代表取締役社長が任命する。また、情報セキュリティを維持・向上するための適正な管理態勢を全社統一的に確保するために情報セキュリティ管理委員会を設置する。

(2)経営者による確認

代表取締役社長は、当社において、情報セキュリティの維持・向上が図られていることを確認するため、定期的にマネジメントレビューを実施し、報告を求める。

(3)各部署の情報セキュリティ管理

各部署に情報セキュリティ管理者を置く。情報セキュリティ管理者は、自部署における情報セキュリティ管理を行う。

(4)情報セキュリティ監査態勢

内部監査部は、本基本方針、情報セキュリティ管理規則、関連規則等に則り、各部署における情報セキュリティ管理の監査を行う。

4.情報セキュリティ管理規則

当社は、「情報セキュリティ管理規則」を策定し、情報セキュリティを維持・向上するために当社が実施すべき対策の基本事項を定める。

5.コンプライアンス

(1)法令等の周知徹底および教育・研修

当社は、情報セキュリティに関する法令等(本基本方針、情報セキュリティ管理規則、関連規則等を含む。以下、同じ。)を社内に周知徹底するとともに、情報セキュリティに関する従業者の意識向上を図るための教育・研修を実施する。

(2)従業者の義務、懲戒

  • ① 従業者は、情報セキュリティに関する法令等を遵守し、情報セキュリティの維持・向上に努め、いやしくも情報セキュリティを損なう行為をしてはならない。
  • ② 従業者は、当社の情報資産を私的に利用してはならない。
  • ③ 上記違反する行為を行った従業者は、懲戒の対象とする。

6.外部委託先管理

外部委託によって当社の情報セキュリティが損なわれることがないよう外部委託先を適正に管理することとし、その細目を情報セキュリティ管理規則に定める。

7.個人情報保護法の遵守

当社は、個人情報保護法を遵守するため、「個人情報保護方針」およびそれに基づく規則類を制定するとともに、「個人情報保護マネジメントシステム(JISQ 15001)」の認証を取得・維持する。

8.情報セキュリティマネジメントシステム

当社のシステムセンターは、高度な情報セキュリティレベルを確保するため、「情報セキュリティマネジメントシステム(ISO/IEC 27001)」の認証を取得・維持する。