セキュリティポリシー

ホーム > ポリシー > セキュリティポリシー

情報セキュリティに関する基本方針(セキュリティポリシー)

1.経営者の声明

今日、信用情報制度は、消費者信用取引が円滑に機能するための根幹の制度となっており、信用情報機関は適正与信の推進、多重債務者の発生防止に重要な役割を担っている。

信用情報機関にとって、その取り扱う個人情報とりわけ個人信用情報の安全管理の確保は、機関が成り立つ上で最も基本的な任務であり、同時に機関にとって根源的な価値観である。

このため、当社の保有する情報資産については、高度な倫理観・価値観に基づき、セキュリティが維持・向上されなければならず、そのレベルは一般の企業の場合に比べて高く、かつ、全社統一的なものでなければならないと認識している。

よって当社は、必要な時間、資源を投入して情報資産のセキュリティの維持・向上に取組み、健全な企業経営に努め、消費者信用業界はもとより社会から信頼される企業としての責任を果たすため、以下の基本方針を定める。

本基本方針は、情報セキュリティに関する当社の基本的な方針を示すものであり、情報セキュリティのためのすべての施策は、本基本方針に則って実施される。

経営者を含め全従業者(注)は、本基本方針が有効に機能するよう、関与し、これを支持しなければならない。また、全従業者は、指揮命令下にある従業者に対して、本基本方針に違反する行為を命じてはならない。

(注)取締役、執行役員、監査役、相談役および顧問、当社の組織内で直接間接に当社の指揮監督を受けて当社の業務に従事している者(正社員、契約社員、嘱託社員、当社への出向社員、当社からの出向社員および人材派遣会社から当社に派遣されている社員等)ならびに当社の事務所において作業する外部委託先要員をいう。

2.情報資産および情報セキュリティ

情報資産とは、情報および情報システムをいう。情報とは、コンピュータシステムや磁気媒体等に保存されているデータ(生体情報を含む。)、紙に印刷されたデータ、記録、撮影された映像データおよび録音された音声データの総称をいう。

情報システムとは、ハードウェア、ソフトウェアおよびネットワークならびにそれらを適切に運用、管理するために必要な全ての人、物の総称をいう。
これらは、当社の重要な資産であり、これらの機密性・完全性・可用性・真正性・信頼性が失われると当社はビジネス上の損害を被るのみならず、会員、消費者、株主等のステークホルダーに損害を与え、当社の存立基盤である社会からの信頼が失われることにもなりかねない。このため、当社は情報資産をさまざまな脅威(災害、故障、誤処理、漏えい、滅失、き損、改ざん、紛失、盗難、不正利用、不正アクセス、いわゆるサイバー攻撃等)から保護し、情報セキュリティ(情報資産の機密性、完全性、可用性、真正性、信頼性、責任追跡性および否認防止が確保されていることをいう。)を維持・向上するため、必要な対策を行う。

3.情報セキュリティ管理態勢

(1)全社統一的な情報セキュリティ管理

当社は、情報セキュリティを維持・向上するために情報資産を適正に管理する(以下、「情報セキュリティ管理」という。)ための態勢を整備し、その統括責任者として情報セキュリティ管理担当役員を代表取締役社長が任命する。また、情報セキュリティを維持・向上するための適正な管理態勢を全社統一的に確保するために情報セキュリティ管理委員会を設置する。

(2)経営者による確認

代表取締役社長は、当社において、情報セキュリティの維持・向上が図られていることを確認するため、定期的にマネジメントレビューを実施し、報告を求める。

(3)各部署の情報セキュリティ管理

各部署に情報セキュリティ管理者を置く。情報セキュリティ管理者は、自部署における情報セキュリティ管理を行う。

(4)情報セキュリティ監査態勢

内部監査部は、本基本方針、情報セキュリティ管理規則、関連規則等に則り、各部署における情報セキュリティ管理の監査を行う。

4.情報セキュリティ管理規則

当社は、「情報セキュリティ管理規則」を策定し、情報セキュリティを維持・向上するために当社が実施すべき対策の基本事項を定める。

5.コンプライアンス

(1)法令等の周知徹底および教育・研修

当社は、情報セキュリティに関する法令等(本基本方針、情報セキュリティ管理規則、関連規則等を含む。以下、同じ。)を社内に周知徹底するとともに、情報セキュリティに関する従業者の意識向上を図るための教育・研修を実施する。

(2)従業者の義務、懲戒

  • ① 従業者は、情報セキュリティに関する法令等を遵守し、情報セキュリティの維持・向上に努め、いやしくも情報セキュリティを損なう行為をしてはならない。
  • ② 従業者は、当社の情報資産を私的に利用してはならない。
  • ③ 上記違反する行為を行った従業者は、懲戒の対象とする。

6.外部委託先管理

外部委託によって当社の情報セキュリティが損なわれることがないよう外部委託先を適正に管理することとし、その細目を情報セキュリティ管理規則に定める。

7.個人情報保護法の遵守

当社は、個人情報保護法を遵守するため、「個人情報保護方針」およびそれに基づく規則類を制定するとともに、「個人情報保護マネジメントシステム(JISQ 15001)」の認証を取得・維持する。

8.情報セキュリティマネジメントシステム(ISMS)

(1)目的

「CICは、会員および消費者からの信頼のもと、個人信用情報の保護と整備に努め、消費者信用の健全な発展を通じて、豊かな社会の実現に貢献する」経営理念を達成するため、「情報セキュリテイに関する基本方針」に基づき、ISMS(情報セキュリティマネジメントシステム)を確立し、当社が保有する資産の情報セキュリティの維持を確保する。

(2)認証の取得・維持

当社のシステムセンターは、高度な情報セキュリティレベルを確保するため、「情報セキュリティマネジメントシステム(ISO/IEC 27001)(ISO/IEC 27017)」(以下「ISMS」という)の認証を取得・維持する。

(3)行動

ISMS組織要員(ITサービス部の社員および協力会社)は、ISMSの目的の確実な達成のために年度ごとに情報セキュリティ目的を定め、その目的達成に向けて自らが何をすべきかを念頭におき、日々の作業に取り組む。
なお、保護の対象とする情報は、システムセンターの管理下にある信用情報、これに関する管理情報等全ての業務活動に係る情報を保護の対象とする。

  • ① 機密性の確保
    • 情報の取扱に関して各組織と従業者の職務権限を明確に定め、職務権限の範囲内で情報を取扱う。
    • 信用情報を取り扱う業務は、構造的に隔離したエリアで行う。
    • 外部からの不審者、入館・入室権限のない者の侵入等を防ぐため入退管理システムにより管理・運用する。
    • サイバー攻撃に備え、入口対策、内部対策、出口対策からなる多段階の対策を組み合わせた多層防御体制を構築する。
    • 信用情報の授受や保管は、漏えい、滅失、き損等の万一の場合に備えて暗号化する。
    • クラウド環境(サービス)において、アクセス制御を実施すると共に、情報の暗号化等対策を施す。
  • ② 完全性の確保
    • 情報システムの受入れを厳格に管理し、完全な業務システム上でのデータ処理を確実にする。
    • 情報システムに入出力されるデータのチェックを確実に行う。
    • 情報システムの手順書類は、最新な状態で維持・管理する。
  • ③ 可用性の確保
    • 信用情報を処理するハードウェア・ソフトウェアおよび関連する設備の冗長化対策や維持・保守を確実に行う。
    • クラウド環境(サービス)が冗長的に利用可能な状態を維持する。
  • ④ 真正性の確保
    • 情報へのアクセスは、ID、パスワード、生体認証等による本人認証を確実に行う。
    • クラウド環境(サービス)へのアクセスについては、生体認証等クラウドサービスプロバイダの仕様に従い、認証を確実に実施する。
  • ⑤ 信頼性の確保
    • ISMS組織要員に対して個人情報保護および情報セキュリティに関する教育・訓練を定期的に行い、個人情報保護に関する誓約書を徴する。
    • ISMSの運営状況について、計画的に内部監査によりチェックする。
    • 外部委託先は、業者選定基準を設けて相手先を選定する。また、委託契約において信用情報の適切な管理のための役割分担、セキュリティ要件、法令遵守、守秘義務、再委託先の監督、報告義務等に関する事項を定める。
    • 漏えい、滅失、き損、改ざん等の防止のため、最新の技術による監視・防止策を講じる。
    • 情報は安全かつ確実に管理(保管・廃棄等)する。
    • 情報資産に対する情報セキュリティリスクを適切に管理されたクラウド環境(サービス)を利用する。
  • ⑥ 責任追跡性の確保
    • 情報へのアクセスは、そのログ(証跡)を記録し一定期間保管する。
    • データベースやプログラムに変更を加えた場合はそのログ(証跡)を記録し一定期間保管する。
    • 漏えい、滅失、き損、改ざん等の防止のため、記録したログへのアクセスを管理する。
    • クラウド環境(サービス)の利用ログを保管・管理する。
  • ⑦ 否認防止の確保
    • 公開鍵暗号方式等により、情報へのアクセス後に否認されることを防止する。
    • メッセージの完全性を維持することにより、否認防止が保証されることを確実にする。