情報セキュリティのための方針群

（1）情報セキュリティの目的

当社の企業活動を安全・安定に進め発展させるため、管理するべき全ての情報（顧客情報を含む）およびその処理設備を含めた情報資産の消失、盗難、不正使用、漏えいを防止することを目的とする。

（2）情報セキュリティ組織

目的の達成および維持のため、情報セキュリティを企画・管理する部門を設置し、総合的・体系的な情報セキュリティ対策を担当させる。

• a）経営者は、ISMS管理責任者の任命、必要な資源の提供、構築したISMSおよびISMS活動の承認を行う。
• b）ISMS管理責任者は、ISMS活動を推進し、各部門のISMS責任者と共にISMSを確立し運用、監視、見直し、維持および改善を図る。
• c）役員を含む全従業員は、情報セキュリティ基本方針およびISMSの規定やマニュアルを順守し行動する。また、一定の情報セキュリティ教育を受講することで、セキュリティ意識の向上を図る。

（3）情報資産の分類と管理

当社が管理するべき全ての情報（顧客情報を含む）およびその処理設備を含めた情報資産について、保有する情報資産とその責任の所在を明確にする。
分類した情報資産に対して、情報資産価値、リスクに対する脆弱性、事故発生時の被害を明確にし、当社の事業内容および事業規模に見合ったリスクアセスメント手法によりリスク評価する。
リスク評価結果を受け情報資産を保護するための適切な管理策を策定し、それを運用することで情報資産の管理を行う。
なお、リスクアセスメント手法および評価基準については、組織内外の環境変化に応じたリスク変動を考慮し定期的な見直しを行う。

（4）情報資産に対するセキュリティ

情報資産に対するセキュリティを確保するため、社内施設入退出管理、社内設備アクセス管理、ユーザ認証による情報資産へのアクセス制御等の管理を行う。
また、当社通信システムの安定的運用とセキュリティを確保することを目的として次のことを行う。

• a）ウィルス等、不正ソフトの流入を防ぎ、不正アクセス等情報資産の破壊や改竄を防止する。万が一、被害を受けた場合でも、早期回復が図れるようデータのバックアップ等の方策を実施する。
• b）機密情報の漏洩を防止する手順を策定し、実施する。
• c）自然災害による通信システムの被害を最小限抑える方策を設定する。

（5）事業継続管理

事業の継続性を保証するべく各種セキュリティ災害からの早期復旧を目的として、情報資産およびその利用システムに対する責任の所在を明確化し、復旧体制および復旧処置策を予め設定しておく。

（6）準拠

この基本方針は、国内および関連する国外の法律並びに国際標準手法（ISO/IEC 27001）に準拠するべく、必要に応じて見直す。