情報セキュリティ基本方針

HOME/個人情報保護方針/情報セキュリティ基本方針

情報セキュリティ基本方針

当社グループが取扱う情報資産を適切に保護・管理し、正確かつ円滑に業務を遂行するために、情報セキュリティシステムの継続的な改善、データの完全性と保護の確保、情報セキュリティ脅威の監視と迅速な対応をおこなうとともに、情報セキュリティに関する全従業員の意識向上を図り、責任ある行動を促すための仕組みを作ります。また、サプライヤー等の第三者に対しても情報セキュリティ要件を定め、安全な情報管理体制を構築します。

 

  1. 情報セキュリティ体制の構築
    会社は、情報セキュリティマネジメントの体制を整え、情報セキュリティの維持、向上の取組みを推進する。
    また、これらの取組みを定期的に監査し、継続的に改善する体制を整備する。
  2. 情報セキュリティ教育・訓練の実施
    会社は、従業員に情報セキュリティの重要性を認識させ、情報資産の適切な取扱いを徹底させるための教育、訓練を定期的に、または必要に応じて実施する。
  3. 情報セキュリティ対策の整備
    会社は、故意または過失に関わらず、秘密情報に対する外部または内部からの漏えい、盗難、紛失、破壊、および不正な侵入を防止し、ならびに予期せぬ事故および自然災害に備える。
  4. 情報資産の保護
    会社は、保有する全ての情報資産を機密性、完全性、可用性の視点から重要性を認識すると共にリスクの評価を定期的に行い、情報セキュリティ体制のもとで、業務実態に応じた適切な管理策を講じる。
  5. 情報セキュリティに関する規程等の整備
    会社は、情報セキュリティに関する規程、管理基準等を整備し、情報資産全般の取扱いについて社内に明確に示すとともに、その内容を定期的に見直す。
  6. 法令・規範の遵守
    会社は、情報セキュリティに適用される全ての法令および規範を遵守する。
  7. セキュリティ事件・事故の対応
    会社は、セキュリティ事件・事故が発生した場合、またはその予兆があった場合、速やかな対応・手続きを講じる。
(適用範囲)
会社の全ての組織、従業員、会社で取扱う全ての情報資産、サプライヤーに適用

情報セキュリティ管理

情報セキュリティ維持向上を図るため、情報セキュリティ委員会を設置し、社内の規定運用、監視、教育を実施しております。委員長は、マーケティング本部マネージングディレクターとし、情報セキュリティの実施および運用に関する権限と責任を有します。また委員会へは各部門の代表が委員として参加し、部門内での取り組みを推進しています。事務局は全社の情報セキュリティに関する取り組みを推進、管理部門は情報機器の適切な管理、監査責任者は情報セキュリティに関する取組みや運用システムについて内部監査を担当します。これらの活動を通じ、情報セキュリティの維持向上を目指します。
災害、事故、業務トラブル等の緊急事態発生時、事業継続計画に基づき、システムの事業継続に関する役割・責任、対応体制、手順を定めて定期的に見直します。災害や重大インシデント発生時は、ディレクターおよび情報セキュリティ管理者が、事業および重要システムの復旧活動を実施します。
情報セキュリティインシデントまたはその疑いがある事象が発生した場合、組織のディレクターまたは情報セキュリティ管理者は、速やかに情報セキュリティ事務局へ報告します。報告を受けた事務局は、情報セキュリティ委員長へ速やかに報告し、管理細則に定められたセキュリティインシデント対応手順に従って対応を行います。
脆弱性管理について、情報セキュリティ委員会事務局は、システム・情報機器の脆弱性調査、情報取得、原因分析を行い、修復計画を策定、脆弱性を修復します。また、定期的に脆弱性診断を実施し、発見された脆弱性を修復します。さらに、脆弱性情報の報告受付体制を整備し、優先順位付け、原因分析、修復計画の策定を行います。
情報セキュリティ事務局は、全従業員に対し、情報資産の適切な取扱いのための教育・訓練を定期的に実施しています。情報資産に関わる全ての従業員は教育を受講必須とし、情報セキュリティ委員や管理者は役割遂行に必要な知識を習得する教育を受け、ディレクターは、従業員への継続的な教育・啓発を行っております。