1.はじめに
アナザーレーン株式会社(以下「当社」といいます。)は、主としてインターネットを介してクレジットカード決済サービスをご提供しています。クレジットカード情報は極めて重要な情報であり、その情報をお預かりしている当社には、それを厳重に保護する義務があります。また、クレジットカード情報以外にも、大切な情報資産をお預かりしている当社の責任は非常に重いものであると考えております。そのため、当社では、「情報セキュリティポリシー」を定め、情報セキュリティ管理体制を整え、お預かりしている情報の保護に万全を尽くします。
2.情報セキュリティポリシーの対象
当社が取り扱う情報資産に関連する人物・物理的・環境的リソースを情報セキュリティポリシーの対象とします。人物の中には、役員、従業員(一時雇用者を含みます。)の当社の情報資産を取り扱うすべての者が含まれています。また、情報セキュリティポリシーの適用範囲内で行う作業を、外部委託業者に依頼する場合は、外部委託業者も対象に含めることとします。
3.情報セキュリティポリシーの運用
-
3.1 情報セキュリティポリシー及び関連法規
情報セキュリティポリシーを策定し、当社のすべての役員・従業員にこれの遵守を徹底させます。また、遵守されているかどうか、定期的に内部監査を行うものとします。
-
3.2 情報セキュリティ管理体制
情報セキュリティ委員会を設置し、情報セキュリティの維持・向上に関する活動を行います。
-
3.3 情報セキュリティポリシーの見直し
当社内外の状況、情報セキュリティの動向、新たなリスクの出現など、あらゆる状況の変化に対応できるよう、情報セキュリティの継続的な見直しを行います。
-
3.4 情報システム・セキュリティ対策の実施
当社が取り扱う情報資産が、故意や偶然という区別に関係なく、改ざん、破壊、漏えい等から保護されるよう、当社システムのセキュリティがより強固なものとなるよう努めます。
-
3.5 外部委託業者の管理体制強化
情報セキュリティポリシーの適用範囲内で行う作業を、外部委託業者に依頼する場合は、当社と同等のセキュリティレベルを要求し、当社が要求した水準を満たしていない場合は当該委託先との契約を見直すものとします。
-
3.6 セキュリティ教育化
当社の役員・従業員に対して定期的に、セキュリティ教育を行います。これにより、役員・従業員の各々が情報資産の重要さを理解し、情報資産の保護手順を実行できるようにします。
-
3.7 インシデント・事故への対応
セキュリティ面でのインシデントや事故が発生することがないよう、当社では全力を尽くしますが、万が一インシデント・事故が発生し、情報資産が危険にさらされた場合は、直ちに調査にあたり、対策を講じるものとします。また、再発することのないようセキュリティ体制の見直しを実施いたします。
