会社情報
- 社長挨拶
- 企業理念
- 会社概要・組織図・決算状況
- 沿革
- 内部統制について
- コンプライアンス態勢
- 内部統制基本方針
- リスク管理
- 企業姿勢
- セキュリティポリシー
- プライバシーポリシー
- 反社会的勢力に対する方針
- CSR
- CSの推進体制
- お客様満足度向上の為の取り組み
- 関連リンク
よくある質問
- > 開示制度について
- > 開示報告書について
- > 本人申告制度について
- > CICが保有する信用情報
- > 会員による信用情報の利用
- > その他
企業姿勢
情報資産の保護に関する基本方針(セキュリティポリシー)
Ⅰ 経営者の声明
今日、個人信用情報制度が、消費者信用取引が円滑に機能するうえでの根幹の制度となっており、個人信用情報機関は適正与信の推進、多重債務者の発生防止にとって重要な役割を担っている。
個人信用情報機関にとって、その取り扱う個人信用情報の保護は、機関が成り立つ上で最も基本的な任務であり、同時に機関にとって根源的な価値観である。
このため、当社の情報資産の保護は高度な倫理観・価値観に裏打ちされていなければならず、そのレベルは一般の企業の場合に比べて高く、かつ、全社的・総合的なものでなければならないと認識している。
よって当社は、必要な時間、資源を投入して情報資産の保護に取組み、健全な企業経営に努め、消費者信用業界はもとより社会から信頼される企業としての責任を果たすため、以下の情報資産の保護に関する基本方針を定める。
当基本方針は情報資産の保護に関する当社の基本方針であり、情報資産の保護のためのすべての施策は、この基本方針に則って実施する必要がある。
当基本方針が有効に機能するよう、経営者を含め全社員がこれに関与し、これを支持しなければならない。
Ⅱ 情報資産
2-1 情報資産とは
情報資産とは、情報および情報システムならびにそれらが正当に保護され使用され機能するために必要な要件の総称であり、ハードウェア・ソフトウェア、ネットワーク、各種データファイルのみならず、システム開発・運用のために必要な要員やドキュメント、社員が業務上知り得た会員および消費者の情報等をも含むものである。
これらは、当社の重要な資産であり、これらの機密性・完全性・可用性・真正性・責任追跡性・信頼性が失われると当社はビジネス上の損害を被る可能性が大きく、また会員および消費者へ損害を与える場合もある。このため、当社はこれらに対する総括管理者を設置し、さまざまな脅威(故障、災害、誤処理、不正使用、破壊、盗難、漏えい等)による被害を最小限にするために必要な対策を行う。
2-2 情報資産の分類
情報資産は、機密性・完全性・可用性・真正性・責任追跡性・信頼性の視点から重要度を「最重要」「重要」「一般」の3段階に分類のうえ、適切に管理しなければならない。
2-3 情報資産へのアクセス
当社は、情報資産がその目的に沿って適切に使用されるよう、正当な必要性に基づくアクセスのみを許可する。当社はこのために必要な、ハードウェア・ソフトウェア、ネットワーク、各種の記録媒体等へのアクセス管理・監視を行う。
2-4 情報資産の私的利用の禁止
社員は、当社の情報資産を私的に利用してはならない。
2-5 経営者による確認
経営者は、情報資産が適切に管理・保護されていることを確認する必要がある。このため、当社は定期的にそれらの調査を行い、報告を求める。
2-6 当社の意思決定
当社の意思決定は、情報資産の適切な利用と保護に背反するものであってはならない。 すべての組織統括職は社員に対して、当基本方針に違反する行為を命じてはならない。
Ⅲ 情報システム
3-1 安全対策基準の策定
情報システムは、当基本方針に準拠し、情報セキュリティのために必要な要件を満足しなければならない。当社はこのために安全対策基準を策定する。
3-2 安全対策基準の遵守
情報システムの構築、運用において、安全対策規準を遵守しなければならない。
Ⅳ 情報セキュリティ管理体制
4-1 全社情報セキュリティ管理
当社は、情報資産保護のための統括責任者として情報セキュリティ担当役員を選任する。また、情報資産の保護を全社統一的な視点で行うために情報セキュリティ管理部門を設置し、必要な情報セキュリティ管理体制を整備する。
情報セキュリティ管理部門は、当基本方針および情報セキュリティに関する各種の規定を確立し、有効に機能させる職務を担う。
4-2 各部署および支店の情報セキュリティ管理
各部署および支店においては、それぞれ情報セキュリティ管理者を任命する。情報セキュリティ管理者は、自部署および支店における情報資産の使用と適切な管理について責任を負い、自部署および支店における安全対策の周知、維持・管理を実施し、それを有効に機能させる義務がある。
情報セキュリティ管理部門は各部署および支店における情報セキュリティ管理を支援する。
4-3 監査体制
内部監査部は、各部署および支店が当基本方針およびそれに基づいた取り決めや手順を遵守していることを検証する職務を担う。
Ⅴ 全社員の参加と義務
5-1 社員の義務
経営者を含む全社員は、当基本方針ならびに情報セキュリティに関する各種の規程を遵守しなければならない。
5-2 情報セキュリティ教育
当社は、情報資産の保護に関する社員の義務を周知徹底し、情報資産を保護するための情報セキュリティ水準を維持・向上させるため、経営者を含む全社員に対して情報セキュリティに関する教育を継続的に実施する。
5-3 当基本方針に対する違反の検知と対応
当社は、当基本方針に対する違反を検知した場合、就業規則における懲戒の対象とすることがある。
Ⅵ 外部委託
6-1 契約の締結
外部委託に関しては、必要な情報セキュリティ要件を記載した契約を締結する。
6-2 安全対策の確認
外部委託を行なっている部署および支店においては、委託先において必要な安全対策が確保されていることを確認しなければならない。
Ⅶ 情報資産に関する法令の遵守
当社および経営者を含む全社員は、職務の遂行において使用する情報資産に関連する法令および業界自主ルールを遵守し、これに従う。関連する法令および業界自主ルールの周知は各部署および支店の情報セキュリティ管理者がその責任を負い、コンプライアンス部がこれを支援する。
以上