1.代表者の声明
株式会社ライフプラザNEO(以下、当社)では、お客さまをはじめとするステークホルダーに対して保険代理店事業を通じて永続的に“安心と安全”をお届けしている企業である。
当社は事業を通じて得たお客さまをはじめとするステークホルダーの情報ならびに当社が取り扱う全ての情報を最重要資産のひとつとして認識し、また、この情報資産の情報セキュリティを適正に維持することは社会的な責務であると考える。
この考え方に基づき、当社は、下記の通りセキュリティポリシー(以下、本ポリシー)を定め、これを実践し、継続的に改善、向上に努めることをここに宣言する。
2.目的
本ポリシーは、当社の情報セキュリティ管理体制を構築・運営する際の基本的事項を定めることを目的とする。
3.全社員参加と義務
(1)代表者の義務
代表者は、本ポリシーの運用に対して明確な意識を持ち、目的を達成するべく具体的かつ積極的に関与しなければならない。
(2)社員の義務
すべての社員等(役員、社員、派遣社員および当社と業務委託等の関係にある会社の社員で当社の業に従事する者等を含む。)は、本ポリシー並びに情報セキュリ ティに関する各種の規程を遵守しなければならない。
(3)情報セキュリティ教育
当社は、情報資産の保護に関する社員の義務を周知徹底し、情報資産を保護するための情報セキュリティ水準を維持・向上させるため、すべての社員に対して情報セキュリティに関する教育を継続的に実施する。
また、すべての社員は情報セキュリティ教育の意義を理解したうえで積極的に参加しなければならない。
(4)本ポリシーに対する違反の検知と対応
当社は、本ポリシーに対する違反を検知した場合、就業規則における制裁の対象とすることがある。
4.情報資産
(1)情報資産とは
情報資産とは、情報と情報システム、並びにそれらが正当に保護されて機能するために必要な要件の総称であり、ハードウェア・ソフトウェア、ネットワーク、各種データファイルのみならず、システム開発・運用のために必要な要員やドキュメント、社員が業務上知り得た顧客情報等をも含むものである。
(2)情報資産の分類
情報資産は、機密情報、非機密情報の2つに分類する。 機密情報は機密性・完全性・可用性の視点から重要度別に「極秘」、「重要」、「そ の他社外秘」と 3 段階に分類し、適切に管理しなければならない。
(3) 保護すべき情報資産
当社が業務上取り扱う顧客、取引先などの情報資産および当社の情報資産全てとする。
(4) 保護すべき理由
情報資産は当社の重要な資産であり、これらの機密性・完全性・可用性が失われると当社はビジネス上の損害を被る可能性が大きく、また顧客へ損害を与える場合がある。このため、当社はこれらに対する管理者を設置し、さまざまな脅威(故 障、災害、誤処理、不正使用、破壊、盗難、漏洩等)による被害を最小限にするために必要な対策を行う。
(5) 情報資産へのアクセス
当社は、情報資産がその目的に沿って適切に使用されるよう、正当な必要性に基づくアクセスのみを許可する。また、このためにハードウェア・ソフトウェア、ネットワーク、各種の記録媒体等へのアクセスを管理する。
(6) 情報資産の私的利用の禁止
すべての社員は、当社の情報資産を業務以外に利用してはならない。
5.情報システムの安全対策基準
(1) 安全対策基準の策定
情報システムは、本ポリシーに準拠し、情報セキュリティのために必要な要件を満たさなければならない。当社はこのために安全対策基準(情報セキュリティ関連規程)を策定する。
(2) 安全対策基準の遵守
情報システムの構築、運用において、安全対策基準(情報セキュリティ関連規程)を遵守しなければならない。
6.情報セキュリティ管理体制
(1)全社情報セキュリティ管理
当社は、情報資産の保護を全社統一的な視点で行うために、取締役が中心となり必要なセキュリティ管理体制を整備し、本ポリシーやセキュリティに関する各種の規程を確立し、有効に機能させる。
(2) 情報セキュリティ管理
情報セキュリティ責任者は、情報資産の使用と適切な管理について責任を負う。
(3) 監査体制
当社は外部監査機関を利用して、本ポリシーおよびそれに基づいた取決めや手順を遵守していることを検証する。取締役は監査を支援する職務を負う。
(4)情報セキュリティ事故対応
すべての社員は、情報の紛失および情報システムの盗難等の情報資産にトラブルが発生した場合は、速やかに情報セキュリティ責任者に報告しなければならない。情報セキュリティ責任者は、速やかに関係部門と協議を行い、トラブルへの対策を検討・実施しなければならない。
(5)代表者の責務
代表者は、情報資産が適切に管理・保護されていることを確認しなければならない。
(6) 当社の意思決定
当社の意思決定は、情報資産の適切な利用と保護に背反するものであってはならな い。すべての管理者はすべての社員に対して、本ポリシーに違反する行為を命じてはならない。
(7)継続的な見直し
当社は、本ポリシー、関連する諸規程、および管理体制の評価と見直しを定期的(一 年に一回)に行い、情報セキュリティの継続的な改善を図る。
7. 外部委託
(1) 契約の締結
外部委託に関しては、必要な情報セキュリティ要件を記載した契約を締結する。
(2) 安全対策の確認
委託部門においては、委託先において必要な安全対策が確保されていることを確認しなければならない。
8.情報資産に関する法令の遵守
当社および社員は、職務の遂行において使用する情報資産および個人情報等に関連する法令を遵守し、これに従う。関連する法令の周知は情報セキュリティ責任者がその責任を負う。
(附則)
第1条 この規程の所管部門は、管理統括部とする。
第2条 この規程の改廃は、経営会議の決議による。
第3条 この規程は、2016 年 9 月 1 日制定する。
以上
第 1 版(2016 年 9 月 1 日)