セキュリティポリシー
当社が事業を継続的かつ安定的に行う上で、文書情報やシステム情報等の情報資産を保護するための安全対策を徹底することは、経営上、最重要課題の一つである。
このセキュリティポリシーは、情報資産の安全対策に関する当社の基本方針であり、当社が保有するすべての情報資産の安全かつ適切な管理を実現するため、取締役が定めたものである。
当社は、顧客の個人情報を保護し、その信頼を確保することについて重い社会的責務を負っている。全役職員は、その重要性を常に自覚し、資金決済法、金融商品取引法及び個人情報の保護に関する法律並びにこのセキュリティポリシーを十分に理解し、当社が定めた情報セキュリティが有効に機能するように努めなければならない。
- 目的
このセキュリティポリシーは、当社が保有する情報資産を安全かつ適切に管理し、それを漏洩等から保護するために必要な最低限度の要件並びに責任の所在の明確化を図り、漏洩や誤用等の事故とそれによる損失の発生を未然に防止することを目的とする。 - 用語の定義
このセキュリティポリシー、及び関連規程等で使用する用語の定義は、次のとおりとする。- 「情報資産」とは、情報及び情報システムをいう。
- 「情報」とは、職務の遂行に伴って電子媒体及び紙媒体に記録されたデータをいう。
- 「情報システム」とは、サーバ、ハードウェア、ソフトウェア、ネットワーク等をいう。
- 「情報セキュリティ」とは、脅威から情報資産を保護し、機密性、完全性及び可用性を確保することをいう。
- 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
- 「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
- イ 特定の個人情報をコンピューターを用いて検索することができるように体系的に構成したもの。
- ロ イに掲げるもののほか、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、牽引、符号等により容易に検索可能な状態におかれているもの。
- 「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
- 「保有個人データ」とは、当社が、本人又はその代理人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止のすべての権限を有する個人データであって、次に掲げるものを以外のものをいう。
- イ 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。
- ロ 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。
- ハ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの。
- ニ 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれのあるもの。
- ホ 6ヶ月以内に消去するもの。
- 本人とは、個人情報によって識別される特定の個人をいう。
- 「役職員等」とは、正社員、契約社員、派遣社員、嘱託、アルバイト等、雇用の形態を問わず、当社の業務に従事しているすべての者をいう。
- 「事故」とは、情報資産の不正使用、誤用、漏洩、破壊、改竄、ウィルス汚染、その他の障害が発生、又は発見された場合をいう。
- 規程の整備
当社は、情報セキュリティの要件を明確にするため、次のとおり、このセキュリティポリシーに準拠した規程、基本ガイドライン、マニュアル等を整備する。役職員等は、これらの規程等を遵守しなければならない。- 情報セキュリティ統括責任者は、情報資産のセキュリティに必要な要件を明確にするために、このセキュリティポリシーに準拠した「情報セキュリティ管理規程」、「個人情報保護に関する規程」等の関連規程やガイドライン、マニュアルを策定し、その策定にあたっては、取締役会の決定を得るものとする。
- 情報セキュリティ統括責任者は、役職員等に対して関連法令等のほか、情報セキュリティに関する規程、ガイドライン、マニュアルの周知徹底を図らなければならない。また、これに反するような指示、命令を行ってはならない。
- 外部委託
当社は、外部の業者に業務委託を行う場合の基準として、「委託先選定基準」を定める。情報セキュリティ統括責任者は、業者の選定に当たっては、当該委託先企業が当社の定める選定基準を充足し、かつ当社の情報資産を確実に保護する体制を整備するとともに、その体制が有効に機能している業者であることを確認したうえで、契約の締結等を行わなければならない。 - 管理体制
当社は、情報セキュリティを有効に機能させるため、責任の所在を明確にし、また事故が発生した場合に備えて、情報セキュリティと個人データ等の安全管理体制を整備する。 - 監査
監査責任者は、当社がこのセキュリティポリシー、及びそれに基づく規程やガイドライン、マニュアル、関連法令を遵守しているかどうか監査する。 - 懲戒
社員がこのセキュリティポリシー、又はそれに基づいた社内規程やマニュアル、関連法令に違反した場合には、就業規則が規定するところにより懲戒する。また、損害賠償請求等の法的措置を講ずる場合がある。 - 改廃
このセキュリティポリシーの改廃は情報セキュリティ統括責任者が起案し、取締役会の決定による。