情報セキュリティ
情報セキュリティに関する基本方針
当社では、業務上取り扱う顧客や取引先等の情報資産を、セキュリティ上の各種の脅威から適切に保護し、もって当社の事業活動を正常かつ円滑に行うため、最善の取り組みを行うこととしております。また、近年、高度化するサイバー攻撃を検知し対応することで、さまざまな脅威から情報資産を保護し、また、情報資産管理を行うリソースを適正に取り扱うことにより、情報セキュリティの維持・向上に努めております。
管理体制
当社代表取締役社長は、「最高情報セキュリティ責任者(CISO)」を任命しております。
CISOは情報セキュリティ統括組織を構築し、CISOを委員長とする情報セキュリティ管理委員会(ISC:Information Security Committee)およびCSIRTを組織し、セキュリティ対策のPDCA活動を実施しております。また、委託先に対しても情報セキュリティに関して当社が求める情報セキュリティガイドラインへの対応と遵守の徹底を求めております。
従業員教育
従業員が遵守すべき「情報セキュリティポリシー」を制定し、定期的な教育を行っております。
また、社内規程等において情報の取扱い等、従業員が守るべき遵守事項を定めており、違反行為については懲戒処分の対象としております。加えて、会社が取り扱う個人情報について理解・浸透させるため、また、守るべきルールを認識させるため、全従業員に対し誓約書の提出を義務付けております。
インシデント体制
情報セキュリティに起因するシステム障害が発生した場合、CSIRTと情報セキュリティ管理委員会が協力して状況の把握・対応方法の検討を行い、CISOの指示の元、影響度に応じた素早い対応判断を実施することとなっております。また、重大なインシデントが発生した場合は、国土交通省、総務省など監督官庁に対し、法令の定めに応じ速やかに報告を行うこととなっております。
脆弱性対応
当社情報資産及び組織体制に対するセキュリティ対策基準を定め、基準の適合状況の確認と定期的な脆弱性診断、その診断結果に基づく是正を行っていくこととなっております。