情報セキュリティ方針
1.経営者の声明
前払式支払手段発行ビジネスを継続的・安定的に行ううえで、ビットキャッシュ株式会社( 以下、当社という。) の情報資産に対し、適切な安全対策を実施することはビジネス上の重要な要件である。特に、サーバ型前払式支払手段については、前払式支払手段ごとの価値情報についても利用者が保有する前払式支払手段ではなく当社のサーバに記録され、また、前払式支払手段の使用についてもシステムを通じて行われるため、当社が使用するシステムに障害が発生しデータの毀損等が発生した場合には、前払式支払手段の発行の業務が継続不可能となる可能性があり、ひいては利用者、加盟店、取引先等に多大な損害を及ぼすおそれがあることから、特にシステムリスク管理を適切に行う必要がある。
当方針はコンピュータシステムのダウンや誤作動等、システムの不備等により、又は、コンピュータが不正に使用されることにより利用者や当社が損失を被るリスク(以下「システムリスク」という。)が存在することを認識し、前払式支払手段の発行の業務におけるシステムの利用状況に応じて、システムに障害が発生することにより前払式支払手段の発行業務に支障を来すおそれがある場合の措置を定め、必要に応じた態勢整備を行うことにより、適切にシステムリスク管理を行うための会社の方針であり、システムリスク管理のためのすべての施策は、この方針に則って実施する必要がある。
また、当方針と整合性のある情報セキュリティ目的・目標を確立し、達成状況を評価することとする。
この方針が有効に機能するよう、経営者を含め全社員がこれに関与し、これを支持しなければならない。
2.情報資産
2-1.情報資産とは
情報資産とは、情報と情報システム、並びにそれらが正当に保護され使用され機能するために必要な要件の総称であり、ハードウェア・ソフトウェア、ネットワーク、各種データファイルのみならず、システム開発・運用のために必要な要員やドキュメント、社員が業務上知り得た顧客情報等を含むものである。
これらは当社の重要な資産であり、これらの機密性・完全性・可用性が失われると当社はビジネス上の損害を被る可能性が大きく、また顧客へ損害を与える場合もある。このため、当社はこれらに対する管理者を設置し、さまざまな脅威(故障、災害、誤処理、不正使用、破壊、盗難、漏洩等)による被害を最小限にするために必要な対策を行う。
2-2.情報セキュリティマネジメントシステム(ISMS)の構築
情報資産の重要性を役員、社員一同が認識し、情報資産の保護のため、情報資産の盗難、改ざん、破壊、漏洩、不正アクセス行為等に対し、組織的、技術的に適切なISMSを構築する。
2-3.情報資産の分類
保有及び運用管理する全ての情報資産を、機密性・完全性・可用性の視点から重要度を「最重要」、「重要」、「一般」の3 段階に分類のうえ、重要性を認識するとともに、リスクアセスメントを行い適切な情報資産の管理を行う。
2-4.情報資産へのアクセス
情報資産がその目的に沿って適切に使用されるよう、正当な必要性に基づくアクセスのみを許可する。会社はこのために必要な時間、資源を投入し、ハードウェア・ソフトウェア、ネットワーク、各種の記録媒体等へのアクセスを管理・監視する。
2-5.情報資産の私的利用の禁止
社員は、会社の情報資産を私的に利用してはならない。
2-6.経営者による確認
経営者は、情報資産が適切に管理・保護されていることを確認する必要がある。このため、会社は定期的にこれらの調査を行い、報告を求める。
2-7.会社の意思決定
会社の意思決定は、情報資産の適切な利用と保護に背反するものであってはならない。すべての管理者は社員に対して、方針に違反する行為を命じてはならない。
2-8.見直し及び改善
情報資産の適正な管理・運用のため、本方針及び関連する社内規程、管理体制を定期的に見直し、改善を行う。
3.情報システム
3-1.安全対策管理責任者の設置
情報システムは、当方針に準拠し、システムリスク管理のために必要な要件を満足しなければならない。当社はこのために情報システムの安全対策を適正に管理する責任者として、システム管理責任者を設置する。
4.システムリスク管理体制
4-1.全社システム管理
情報資産の保護のための統括責任者として情報セキュリティ委員長を選任する。また、情報資産の保護を全社統一的な視点で行うために情報セキュリティ委員会を設置し、必要なシステム管理体制を整備する。
4.システムリスク管理体制
4-1.全社システム管理
情報資産の保護のための統括責任者として情報セキュリティ委員長を選任する。また、情報資産の保護を全社統一的な視点で行うために情報セキュリティ委員会を設置し、必要なシステム管理体制を整備する。
5.全社員の参加と義務
5-1.情報セキュリティ教育・研修の実施
情報資産を扱う役員、社員一同が、情報資産の重要性を認識するために、情報セキュリティに関する教育、研修を実施し、本方針の徹底を図る。
6.外部委託
6-1.委託先の選定
外部委託に関しては、委託対象業務を適正かつ確実に遂行することができる能力を有する者に委託するため、委託先の選定基準、委託契約における考慮事項や外部委託リスクが顕在化したときの対応について明確にする。
6-2.契約の締結
外部委託に関しては、必要なセキュリティ要件を記載した契約を締結する。
委託先が当該業務を適切に行うことができない事態が生じた場合には、当該業務の委託に係る契約の変更又は解除、他の適切な第三者に当該業務を速やかに委託する等、前払式支払手段の利用者の保護に支障が生じること等を防止するための措置を含む。6-3.安全対策の確認
委託部門においては、委託先において必要な安全対策が確保されていることを確認しなければならない。
7.情報セキュリティ・インシデントの対応
万一、情報セキュリティ上の事件・事故が発生した場合、またはその予兆があった場合、迅速な原因究明を行い最小限の被害に食い止める最善の策を講ずるとともに、予防及び維持改善に努める。
8.情報資産に関する法令の遵守
会社及び社員は、職務の遂行において使用する情報資産に関連する法令、その他の規範・契約を遵守し、これに従う。関連する法令の周知は各部門の情報セキュリティ委員がその責任を負い、法務部門がこれを支援する。
制定年月日:平成25年6月1日
最終改定年月日:令和2年1月1日
ビットキャッシュ株式会社
代表取締役社長 松浦 光太郎