基本方針

情報資産をあらゆる脅威から保護し、お客様に安心してご利用いただけるサービスを提供するため、情報セキュリティ基本方針を策定し、情報セキュリティ管理の維持と継続的な改善について実施することを宣言いたします。

Usirt

安全・安心に利用できるサービスを提供するため、当社を中心とした情報セキュリティ体制「Usirt（ユーサート）」を設立し、計画的な外部監査の実施など、グループ全体で情報セキュリティに取り組んでいます。
Usirtを中心に、情報セキュリティへの理解を深め、個人情報を正しく取り扱うための従業員向け研修も定期的に実施しています。
また、Usirtはインシデント発生時だけでなく、セキュリティや情報の取り扱い・システムやツール導入に関する事前相談も受け付け、協議・指導を行うことで、社内相談窓口としての機能も担っています。

推進体制

サイバーセキュリティリスクを経営における最重要課題の一つと認識し、最高情報セキュリティ責任者（CISO）が統括する強固な情報セキュリティ体制を確立しています。本体制においては、CISOを最高責任者とし、Usirtと各部門担当者、外部専門家、関連部署と緊密に連携する横断的かつ包括的な体制を構築することで、全社的な情報セキュリティの推進を図っています。
また、潜在的なリスクの特定のため、定期的な脆弱性診断およびセキュリティアセスメントを実施するとともに、内部監査および第三者機関による外部監査を通じて対策の有効性を客観的に評価し、継続的な改善につなげています。

認証取得状況

情報資産全般に対する堅牢なセキュリティ体制や、個人情報に対する細やかな保護体制の確立のため、必要に応じてグループ各社でJIS Q 27001やプライバシーマークの認証取得を進めています。
今後も情報セキュリティ基本方針に基づき、適切な情報セキュリティマネジメントを推進し、情報資産の適切な保護とリスクの低減に努めていきます。

重大インシデント発生時の対応

重大な情報セキュリティインシデントが発生した場合には、最高情報セキュリティ責任者（CISO）が主導し、Usirtおよび関連部署が連携して迅速に対応します。事業への影響を最小限に抑えるため、速やかな復旧を進めるとともに、発生原因を徹底的に究明し、再発防止策を策定・実行します。
さらに、これらのインシデント対応から得られた知見や教訓を、定期的に実施する従業員への教育・訓練に反映させることで、グループ全体における情報セキュリティ体制の継続的な強化と改善に努めています。

情報セキュリティ研修

従業員の情報セキュリティに関する意識向上のために、年2回、eラーニング形式での情報セキュリティ研修を実施しています。対象者は、役員・正社員・月給制契約社員で、アルバイトも必要に応じて受講しています。情報セキュリティリテラシー・インシデント事例から学ぶ注意事項についての内容で実施しており、受講率95％以上とすることを目標としています。

迷惑メール訓練の実施

従業員がメール内のURLをクリックしたり、添付ファイルを開いたりすることでウイルスに感染し、重大な情報セキュリティ事故につながる可能性があります。
こうした事故を未然に防ぐため、当社では社員を対象に年2回以上、標的型攻撃メールを想定した模擬訓練を実施しています。本訓練では、不審なメールに気づき危険な行動を回避できるかを確認し、危険行動を2.5％未満にすることを目標としています。

当社グループを組成する各事業会社の企業活動における利用者の皆様の個人情報の重要性を深く認識し、お客様にご支持いただける安心したサービスを提供すべく、方針を定め、実行しています。