1. 目的

本情報セキュリティ基本方針(以下「本基本方針」という)は、株式会社スマートバンク(以下「当社」という)における情報セキュリティに関する基本的な考え方と取り組み姿勢を定めたものです。本基本方針は、当社が保有する情報資産、および当社がお客様やお取引先様からお預かりする個人情報を含む情報資産を、様々な脅威から保護し、適切に管理することを目的とします。

2. 対象範囲

本基本方針の対象範囲は、当社が業務において利用・管理する全ての情報資産、それらの情報資産を取り扱うための施設・設備、ならびにこれらの情報資産を利用する当社の役員、社員、契約社員、派遣社員、アルバイト社員および業務委託先要員(以下「全従業者等」という)とします。

3. 経営者の意向表明

当社は、お客様に信頼される質の高いサービスを提供することを経営の基本方針としています。その実現のためには、お客様やお取引先様からお預かりする重要な情報資産を適切に保護し、安全に管理することが不可欠です。

情報セキュリティの確保は、当社の社会的責任であり、企業価値を高める上での最重要課題であると認識しています。当社は本基本方針に基づき、情報セキュリティマネジメント体制を構築・運用し、情報資産に対する脅威を排除するための適切な安全対策を講じます。

全従業者等は、本基本方針および関連する規程を遵守し、情報セキュリティリスクの低減に努めることにより、お客様をはじめとするステークホルダーの信頼に応え、持続的な企業価値の向上を目指します。

4. 基本方針

4-1. 情報セキュリティマネジメント体制の確立

• 情報セキュリティに関する全社的な責任を持つ情報セキュリティ管理責任者を設置します。
• 情報セキュリティの推進と統制を図るため、情報セキュリティ委員会を設置し、全社の情報セキュリティ状況を把握し、必要な対策を迅速に実施できる体制を構築します。
• セキュリティインシデントへの対応を含め、組織全体の情報セキュリティの維持・向上を図ります。

4-2. リスクマネジメントの実施

• 情報資産に対するリスクアセスメントを定期的に実施し、情報漏洩、不正アクセス、改ざん、破壊等の脅威に対する適切なセキュリティ対策を講じます。
• 不正アクセス対策、ウイルス対策、暗号化対策、アクセス制御など、技術的・物理的・人的なセキュリティ対策を総合的に実施します。

4-3. 法令、規範および契約上の要求事項への適合

情報セキュリティに関連する法令、規制、国が定める規範、業界ガイドライン、または契約上の義務ならびにセキュリティ上の要求事項を明確にし、これらに適合するための対策を策定し実施します。

4-4. 業務委託先の管理

業務の外部委託にあたっては、委託先の情報セキュリティ管理体制を十分に審査し、契約書において情報セキュリティに関する義務を明確にします。また、委託後も定期的に情報セキュリティレベルの維持状況を確認し、必要に応じて改善を求めます。

4-5. 情報セキュリティ教育・訓練の実施

全従業者等に対し、定期的な情報セキュリティに関する教育・訓練を実施し、情報セキュリティの重要性、情報資産の適切な取り扱い方法、および関連規程の遵守について周知・徹底を図ります。

4-6. セキュリティインシデントおよび事故への対応

• セキュリティインシデントが発生した場合は、発見者は速やかに情報セキュリティ管理責任者に報告し、管理責任者は関係者への連絡および必要な緊急措置を講じます。
• セキュリティ事故が発生した場合は、その原因を分析し、再発防止策を策定・実施します。

4-7. 事業継続管理

災害、システム障害、人為的過失および情報資産の悪用などによる事業の中断を最小限に抑え、事業の継続性を確保するための対策を講じます。

4-8. 継続的改善

経営環境の変化、社会環境や法規制の変化、情報技術の進展、新たに発見されたリスクに照らし合わせて、本基本方針および情報セキュリティ対策を適宜見直し、継続的な改善を行います。

4-9. 本基本方針違反に対する措置

全従業者等が本基本方針および関連規程に違反した場合は、社内規程に基づき懲戒処分の対象とします。