情報セキュリティ
グループ情報セキュリティ管理基本方針
目的
- 第1条
- 金融機関には様々な資産が集まるが、その中でも顧客情報を始めとする情報資産は、重要且つ大きなポジションを持つことを認識しなければならない。
アニコムグループ(以下「グループ」という)は業務の健全性を保ちつつ永続的に発展していくために、この情報資産を重要資産と位置づけ、適切な管理が極めて重要であることを認識するとともに、不測の損失を回避するために、可能な限りこの情報資産に潜む脆弱性や脅威をコントロールし、あらゆるステークホルダーのためにその情報資産を保護・管理する。
グループでは、以上の目的のために「グループ情報セキュリティ管理基本方針」を定め、情報セキュリティ管理態勢の構築に努める。
「情報セキュリティ管理」の定義
- 第2条
-
- 1.本方針において「情報セキュリティ管理」とは、以下の3つの条件を維持することを目的に、情報資産の中に潜む脆弱性や脅威を明確にし、適切な方法で情報資産を保護・管理することをいう。
- (1)情報が漏洩しないようにするために、アクセスを許されたものだけが情報にアクセスできることを確実にすること(機密性)
- (2)情報が改竄されたり、情報システムが勝手に変更されないようにするために、情報及び処理方法が正確であること及び完全な状態であることを保持すること(完全性)
- (3)自然災害やシステムダウン等の影響を受けることなく、アクセスを許されたものが、必要なときにいつでも情報及び関連する資産にアクセスできることを確実にすること(可用性)
- 2.本方針において「脅威」とは、情報資産を保護・管理する組織や情報システムなどに損害を与える可能性がある出来事のことをいう。
- 3.本方針において「脆弱性」とは、脅威が起こる可能性がある情報資産や情報資産を含むシステムの弱点のことをいう。
用語の定義
- 第3条
-
本方針における用語の定義は、次の各号に定めるところによる。
- (1)個人情報
生存する個人に関する情報であって、次の各号のいずれかに該当するもの
- ①当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- ②個人識別符号(個人情報の保護に関する法律(以下「個人情報保護法」という。)第2条第2項が定めるもの)が含まれるもの
- (2)要配慮個人情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報。具体的には以下が含まれる個人情報をいう。
- ①人種
- ②信条
- ③社会的身分
- ④病歴
- ⑤犯罪の経歴
- ⑥犯罪により害を被った事実
- ⑦心身の機能の障害があること
- ⑧医師等により行われた健康診断等の結果
- ⑨健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、医師等により指導又は診療若しくは調剤が行われたこと
- ⑩本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと
- ⑪本人を少年法に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと
- (3)センシティブ情報
要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活に関する個人情報(本人、国の機関、地方公共団体、学術研究機関等、個人情報保護法第57条第1項各号もしくは施行規則第6条各号に掲げる者により公開されているもの、または、本人を目視し、もしくは撮影することにより取得するその外形上明らかなものを除く。)
- (4)顧客情報
各社において商品・サービスの提供を通じて知った以下のいずれかに該当する者の個人情報および法人情報
- ①既に取引関係のある者
- ②取引関係に入る可能性のある者
- ③過去に取引を行った者のうち、現在も法的権利を有している者
- (5)個人情報データベース等
個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)
- ①特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- ②前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
- (6)個人データ
個人情報データベース等を構成する個人情報。なお、個人情報データベース等から紙面に出力されたものやそのコピーも個人データに含まれる。
- (7)保有個人データ
当社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして関係政令で定められるもの以外のもの
- (8)仮名加工情報
次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報
- ①(1)①に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
- ②(1)②に該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
- (9)削除情報等
仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに法令に基づき行われた加工の方法に関する情報(その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る。)
- (10)匿名加工情報
次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの
- ①(1)①に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
- ②(1)②に該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
- (11)個人関連情報
生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの
- (12)個人情報等
個人情報、仮名加工情報、匿名加工情報及び個人関連情報
- (13)特定個人情報等
- ①個人番号
住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるもの
- ②特定個人情報
個人番号をその内容に含む個人情報
- ③個人情報ファイル
個人情報データベース等であって、行政機関及び独立行政法人等以外の者が保有するもの
- ④特定個人情報ファイル
個人番号をその内容に含む個人情報ファイル
- (14)本人
個人情報によって識別される特定の個人
- (15)従業者
当社の組織内にあって直接間接に当社の指揮監督を受けて当社の業務に従事している者。雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役員、監査役、派遣社員等も含まれる。
対象情報資産
- 第4条
- 情報セキュリティ管理の対象となる情報資産は、個人情報等、削除情報等、特定個人情報等のほか、以下のとおりである。
- (1)機密情報
- ①情報の開示当事者が受領当事者に対し、機密保持契約等で明確に指定した上で開示した技術上、営業上の情報(不正競争防止法において「営業秘密」として扱われる情報を含む。)
- ②当該情報が漏洩することで関係者へ何らかの損害を与える可能性がある情報(重要事実等)
- (2)ソフトウェア資産
業務用ソフトウェア、システムソフトウェア、開発用ツール及びユーティリティ 等
- (3)物理的資産
コンピューター装置、通信装置、磁気媒体、その他の技術装置、什器 等
- (4)サービス
計算機処理及び通信サービス、一般ユーティリティ 等
適用範囲
- 第5条
- 本方針における情報セキュリティ管理の適用範囲を以下のとおりとする。
- (1)適用範囲は、管理対象となる情報資産に付随する技術的、人的、物理的及び環境的リスクの全てとする。
- (2)適用範囲は、事業の特徴、組織、所在地、資産及び技術等の観点から決定し、必要に応じて見直す。
情報セキュリティ管理部門
- 第6条
- グループの情報セキュリティにかかる日常業務におけるリスクの特定および必要な統制手続き等を行う部門をDX企画部とし、グループ全体の情報セキュリティ管理統括部門をコンプライアンス推進部とする。
情報セキュリティ管理体制
- 第7条
- 情報セキュリティ管理体制は以下のとおりとする。
- (1) グループでは、グループ各社の情報セキュリティ管理について、会社ごとにその業務を行い、アニコム ホールディングス株式会社は、グループ全体に係る情報資産とそれに付随するリスク及びその管理状況を定期的に監督・検査し、発見された不備等に対して、適切な対応策を講じ、情報セキュリティ管理の継続的な維持・改善を行う。
- (2) コンプライアンス推進部は、グループ各社の情報セキュリティ管理に係る方針・規程の策定・改廃について、必要に応じてグループ全体の観点から調整・指導を行う。
- (3) コンプライアンス推進部は、月次で情報セキュリティ定例会を開催し、情報セキュリティ管理にかかる課題や進捗につき、DX企画部やグループのその他関係部門と連携する。
- (4) DX企画部は、グループ全体におよぶシステムに関する基本方針策定ならびに中長期計画に基づくIT戦略の策定 ・修正に際して、グループ各社におけるサービスの利用、システム設計及び運用などITに関する情報セキュリティ管理の有効性を考慮する。
- (5) コンプライアンス推進部及びDX企画部は、グループ各社における情報セキュリ ティ管理の継続的な維持・改善を行うために、グループ各社に対し、必要に応じて情報セキュリティ管理に係る事項について報告を求め、協議を行うことができる。
- (6) コンプライアンス推進部は、グループ各社の役職員等が情報共有を可能にする基盤としての情報セキュリティの重要性について十分な認識を持ち、適切な情報セキュリティ管理を組織的・継続的に行うために、教育・訓練及び意識向上に係る周知徹底を行う。
- (7) DX企画部は、グループ各社における情報セキュリティにかかる技術的な指導・支援、有効性に関する判断を行い、コンプライアンス推進部はその判断の妥当性につき確認を行う。
報告体制
- 第8条
- 報告体制について以下のとおりとする。
- (1)コンプライアンス推進部は、グループ各社に対し、各社の情報セキュリティ管理の状況報告を求める。
- (2)コンプライアンス推進部は、グループの情報セキュリティ管理にかかる取組状況等を、グループ経営会議に報告する。
情報セキュリティ管理プロセス
- 第9条
- 情報セキュリティ管理プロセスは以下のとおりとする。
- (1)脅威・脆弱性の特定
保護すべき資産に対して機密性・完全性・可用性を喪失させる脅威、脆弱性及びそれらが事業に及ぼす潜在的な影響の大きさを特定する。
- (2)脅威・脆弱性の分析・評価
セキュリティ障害による事業上の損害及び発生規模や頻度を評価した結果で脅威や脆弱性のレベルを算定し、それらを保有できるか、対応が必要かどうかを判定する。
- (3)対応策の決定と実行
算定された脅威や脆弱性のレベルを基準として、脅威の発生頻度及び発生時の被害の大きさを一定に制御するために対策を決定し、実行する。
- (4)モニタリング・報告
上記事項の現状評価、対応状況、対策の有効性等についてモニタリングする。
脅威等への対応
- 第10条
- 脅威等への対応について以下のとおりとする。
- (1)グループにおいて脅威が発生した場合には、緊急事態であり、グループは全社的に適切且つ迅速に対応するために、別途「グループ危機管理方針」を定める。
- (2)第4条に掲げる情報が外部に流出したり、滅失、毀損した場合(その恐れのある場合も含む)の対応については、別途「漏えい事案等取扱規程」に定める。
- (3)情報システム及びその関連情報の取扱に関しては、情報漏洩の防止等、その管理の徹底を促すために、別途「コンピューター端末及び情報管理規程」を定める。
改廃
- 第11条
- 本方針の改廃は、アニコム ホールディングス株式会社の取締役会の決議をもって行う。
施行
- 第12条
- 2007年11月14日 制定
2008年 8月14日 改定
2009年 2月13日 改定
2009年10月15日 改定
2011年 9月14日 改定
2013年 1月15日 改定
2014年 9月12日 改定
2017年 9月15日 改定
2018年 4月16日 改定
2018年11月19日 改定
2019年 6月 5 日 改定
2020年 2月13日 改定
2021年 2月24日 改定
2022年 3月23日 改定