情報セキュリティ

グループ 情報セキュリティ管理基本方針

目的

第1条
金融機関には様々な資産が集まるが、その中でも顧客情報を始めとする情報資産は、重要且つ大きなポジションを持つことを認識しなければならない。
アニコム グループ(以下「グループ」という)は業務の健全性を保ちつつ永続的に発展していくために、この情報資産を重要資産と位置づけ、適切な管理が極めて重要であることを認識するとともに、不測の損失を回避するために、可能な限りこの情報資産に潜む脆弱性や脅威をコントロールし、あらゆるステークホルダーのためにその情報資産を保護・管理する。 グループでは、以上の目的のために「グループ 情報セキュリティ管理基本方針」を定め、情報セキュリティ管理態勢の構築に努める。
なお、本方針の下位規程として、情報資産毎または情報プロセス毎に以下の規程を設け、各業務の取決め等を定める。
  1. (1)機密情報管理規程
  2. (2)社員等の個人情報管理規程
  3. (3)顧客情報管理規程
  4. (4)漏えい事案等取扱管理規程
  5. (5)コンピューター端末及び情報管理規程
  6. (6)委託先管理規程
  7. (7)ソフトウェア管理規程
  8. (8)情報システム管理規程
  9. (9)文書管理規程
  10. (10)社用印章規定

定義

第2条
  1. 1.本方針において「情報セキュリティ管理」とは、以下の3つの条件を維持することを目的に、情報資産の中に潜む脆弱性や脅威を明確にし、適切な方法で情報資産を保護・管理することをいう。
    1. (1)情報が漏洩しないようにするために、アクセスを許されたものだけが情報にアクセスできることを確実にすること(機密性)
    2. (2)情報が改竄されたり、情報システムが勝手に変更されないようにするために、情報及び処理方法が正確であること及び完全な状態であることを保持すること(完全性)
    3. (3)自然災害やシステムダウン等の影響を受けることなく、アクセスを許されたものが、必要なときにいつでも情報及び関連する資産にアクセスできることを確実にすること(可用性)
  2. 2.本方針において「脅威」とは、情報資産を保護・管理する組織や情報システムなどに損害を与える可能性がある出来事のことをいう。
  3. 3.本方針において「脆弱性」とは、脅威が起こる可能性がある情報資産や情報資産を含むシステムの弱点のことをいう。

対象情報資産

第3条
情報セキュリティ管理の対象となる情報資産は以下のとおりである。
  1. (1)機密情報
    1. a.情報の開示当事者が受領当事者に対し、機密保持契約等で明確に指定した上で開示した技術上、営業上の情報(不正競争防止法において「営業秘密」として扱われる情報を含みます。)
    2. b.当該情報が漏洩することで関係者へ何らかの損害を与える可能性がある情報(重要事実等)
    3. c.その他個別に機密情報と定める情報
  2. (2)個人情報
    個人情報とは、氏名・生年月日その他の記述等により特定の個人を識別することができる情報(他の情報と容易に照合することができ、それにより特定の個人を識別することができる情報も含む。)のことを言い、当社で対象となる個人情報は下記a~cのものとする。
    1. a.顧客情報
      個人情報のうち、当社の保険事業活動(営業及び保険金支払業務等)を通じて得られた個人(顧客)に関連する情報
    2. b.社員等の個人情報
      役職員等の情報で容易に特定の個人が判別できる情報。 なお、役職員等とは、当社の相談役、顧問および社員(当社就業規則第4条に定める社員、および当社有期雇用社員就業規則第4条に定める有期雇用社員を言い、契約社員、専門契約社員、アルバイト、パート社員を含む)をいう。
    3. c.その他の個人情報
      当社の上記①以外の事業活動を通じて得られた法人、個人、または株主に関連する情報のうち、特定の個人を識別できる情報
  3. (3)ソフトウェア資産
    業務用ソフトウェア、システムソフトウェア、開発用ツール及びユーティリティ  等
  4. (4)物理的資産
    コンピューター装置、通信装置、磁気媒体、その他の技術装置、什器 等
  5. (5)サービス
    計算機処理及び通信サービス、一般ユーティリティ 等

適用範囲

第4条
本方針における情報セキュリティ管理の適用範囲を以下のとおりとする。
  1. (1)適用範囲は、管理対象となる情報資産に付随する技術的、人的、物理的及び環境的リスクの全てとする。
  2. (2)適用範囲は、事業の特徴、組織、所在地、資産及び技術等の観点から決定し、必要に応じて見直す。

情報セキュリティ管理統括部門

第5条
アニコム ホールディングス株式会社及びグループ全体の情報セキュリティ管理部門をコンプライアンス・リスク管理部とする。

情報セキュリティ管理体制

第6条
情報セキュリティ管理体制は以下のとおりとする。
  1. (1)グループでは、グループ各社の情報セキュリティ管理について、会社ごとにその業務を行い、アニコム ホールディングス株式会社は、グループ全体に係る情報資産とそれに付随するリスク及びその管理状況を定期的に監督・検査し、発見された不備等に対して、適切な対応策を講じ、情報セキュリティ管理の継続的な維持・改善を行う。
  2. (2)コンプライアンス・リスク管理部は、グループ各社における情報セキュリティ管理の設計及び運用の有効性を確認し、継続的な維持・改善を行うために、グループ各社に対し、必要に応じて情報セキュリティ管理に係る事項について報告を求め、協議を行うことができる。
  3. (3)コンプライアンス・リスク管理部は、グループ各社の情報セキュリティ管理に係る方針・規程の策定・改廃について、必要に応じてグループ全体の観点から調整・指導を行う。
  4. (4)コンプライアンス・リスク管理部は、グループ各社の役職員等が情報共有を可能にする基盤としての情報セキュリティの重要性について十分な認識を持ち、適切な情報セキュリティ管理を組織的・継続的に行うために、教育・訓練及び意識向上に係る周知徹底を行う。

グループコンプライアンス・リスク管理委員会

第7条
グループコンプライアンス・リスク管理委員会について以下のとおりとする。
  1. (1)グループ各社の情報セキュリティ管理の状況を共有し、運用の有効性の確認等を行うために、グループコンプライアンス・リスク管理委員会を設置する。
  2. (2)グループコンプライアンス・リスク管理委員会は、代表取締役社長を委員長とし、グループ各社の社長、当社及びアニコム損害保険株式会社の常勤取締役・執行役員により構成される。但し、必要に応じて関係部の部長等が出席することを妨げない。また、事務局は、コンプライアンス・リスク管理部とする。

報告体制

第8条
報告体制について以下のとおりとする。
  1. (1)グループコンプライアンス・リスク管理委員会は、グループ各社から半期に一度、各社の情報セキュリティ管理の状況報告を求める。
  2. (2)コンプライアンス・リスク管理部は、グループコンプライアンス・リスク管理委員会の議事内容等を、アニコム ホールディングス株式会社の取締役会へ報告を行なう。

情報セキュリティ管理プロセス

第9条
情報セキュリティ管理プロセスは以下のとおりとする。
  1. (1)脅威・脆弱性の特定
    保護すべき資産に対して機密性・完全性・可用性を喪失させる脅威、脆弱性及びそれらが事業に及ぼす潜在的な影響の大きさを特定する。
  2. (2)脅威・脆弱性の分析・評価
    セキュリティ障害による事業上の損害及び発生規模や頻度を評価した結果で脅威や脆弱性のレベルを算定し、それらを保有できるか、対応が必要かどうかを判定する。
  3. (3)対応策の決定と実行
    算定された脅威や脆弱性のレベルを基準として、脅威の発生頻度及び発生時の被害の大きさを一定に制御するために対策を決定し、実行する。
  4. (4)モニタリング・報告
    上記事項の現状評価、対応状況、対策の有効性等についてモニタリングする。

脅威等への対応

第10条
脅威等への対応について以下のとおりとする。
  1. (1)グループにおいて脅威が発生した場合には、緊急事態であり、グループは全社的に適切且つ迅速に対応するために、別途「グループ 危機管理方針」を定める。
  2. (2)情報漏洩等で機密情報等が外部に流出したり、滅失、毀損した場合(その恐れのある場合も含む)の対応については、別途「漏えい事案等取扱規程」に定める。
  3. (3)情報システム及びその関連情報の取扱に関しては、情報漏洩の防止等、その管理の徹底を促すために、別途「コンピューター情報管理規程」を定める。

改廃

第11条
本方針の改廃は、コンプライアンス・リスク管理部長が起案し、アニコム ホールディングス株式会社の取締役会の決議をもって行う。

施行

第12条
2007年11月14日 制定
2008年 8月14日 改定
2009年 2月13日 改定
2009年10月15日 改定
2011年 9月14日 改定
2013年 1月15日 改定
2014年 9月12日 改定
2017年 9月15日 改定