グループセキュリティ基本方針

グループセキュリティ基本方針

1. 目的

本方針は、ODKグループにおいて、お客様を始めとするすべてのステークホルダーに対して、最新の情報通信技術(ICT)の利活用を通じて、安心・安全に当社のサービスをご利用いただくために、国際規格 ISO/IEC 27001、27017 に準拠した情報セキュリティの確保、及び経済産業省が策定した「サイバーセキュリティ経営ガイドライン」を踏まえて、対策、体制等の基本事項を定めたものです。

2. 原則

ODKグループは、以下の原則に則りグループ全体で取り組みます。

  1. 情報セキュリティの確保及びサイバーセキュリティ対策が、経営上の最重要課題の一つであると認識し、グループ全体で取り組みます。
  2. 役員及び全ての従業員が、関連する法令、規制、社内規程及び倫理、並びにお客様をはじめとする取引先等と締結した契約を遵守します。
  3. サイバーセキュリティリスクに対応するための保護対策(特定、防御、検知、対応、復旧)を実施し、ODKグループの情報資産を脅威から保護します。
  4. お客様をはじめとするステークホルダーに対して、サイバーセキュリティリスクや対策に係る情報開示を行うこと等で信頼関係を構築します。
  5. セキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて、セキュリティ投資を継続します。

3. 情報セキュリティ体制

ODKグループは、「1.目的」の達成、「2.原則」を遵守するため、以下のとおり情報セキュリティ体制を構築します。

  1. ODKソリューションズ代表取締役社長をグループセキュリティ統括責任者として配置します。
  2. 役員会は、ODKグループの情報セキュリティを統括する「グループセキュリティ委員会」を設置します。また、ODKグループの監査を実施する「グループ監査委員会」を設置します。
  3. グループセキュリティ委員会は、情報セキュリティを確保するための運用、戦略的な対策の検討、継続的な改善を実施し、定期的または随時、グループセキュリティ統括責任者及び役員会に報告を行います。
  4. グループ監査委員会は、ODKグループの情報セキュリティに関する運用状況について定期的に監査し、改善の指導を行います。

4. 情報セキュリティの実践

ODKグループは、情報セキュリティを確保するために、以下のとおりに実践していきます。

  1. 情報セキュリティマネジメントシステムの構築
    グループ内において守るべき情報資産を特定し、その脅威に対するリスクアセスメント実施結果を基に、リスク対応を実施します。計画を確実に実施し、継続的な改善を行うため、情報セキュリティのPDCAの実施体制を整備します。
  2. 情報セキュリティに関する内部規程の整備
    本基本方針に基づいた内部規程等を整備し、グループ全体の情報資産の取り扱いについて明確な規範を示します。役員及び全ての従業員に対して、情報セキュリティに関連する法令、社内規程、業務マニュアル等の社内ルール、企業倫理、社会規範の順守について周知や教育を行い、それらの違反に対して厳しく対処します。
  3. ODKグループの情報セキュリティ対策
    関係企業や外部委託先等の取引先に対して、グループセキュリティ基本方針に基づく適切な情報セキュリティ対策を求め、その実施状況を管理します。
  4. リソースの確保
    情報セキュリティを確実に実践するために、必要な経営資源への投資を積極的かつ継続的に行います。情報セキュリティ目的の達成に必要な人的リソースを確保し、計画的な育成を行います。また、「情報」を経営資源として捉え、情報セキュリティに関する社外のコミュニティに参加し、そこから得られたノウハウ・教訓をODKグループのセキュリティ対策に活用します。
  5. 外部委託するシステムの管理
    外部委託する情報システムやクラウドサービス等について、当社と委託先(サービス提供業者)のそれぞれにおいて、情報セキュリティの役割と責任を定め、それを遂行する担当者と責任者を明確にすることで、サプライチェーン上のリスクを管理します。
  6. 情報セキュリティ監査
    グループ監査委員会により、情報セキュリティに関連する法令、社内規程、社内ルール等への準拠状況を定期的に監査します。また、監査結果を改善の機会として捉え、継続的な改善を実施します。
  7. 教育・訓練
    情報セキュリティの確保及びサイバーセキュリティ対策が、経営上の最重要課題の一つであると認識し、ODKグループの情報資産を脅威から保護するため、役員及び全ての従業員の情報セキュリティに関する知識と意識の向上を目的として定期的な教育を実施します。
  8. 情報セキュリティインシデント対応
    インシデント発生時の手順を確立し、定期的に実効性のある訓練を実施します。ODKグループは、情報セキュリティを脅かす新たな脅威に対して、社外も含めたさまざまな情報を収集し、ISO/IEC 27001、27017及び「サイバーセキュリティ経営ガイドライン」に則った対策を実施します。重大なインシデントが発生した場合、緊急時対策本部を設置し、全ての従業員を挙げて対応に取り組みます。また、報告基準に則って、関係する機関、ステークホルダーに適切な情報を開示します。全てのセキュリティインシデントは、グループセキュリティ委員会をはじめ、全ての従業員に教訓として情報共有し、是正処置として継続的な改善を実施します。
  9. 基本方針の見直し
    経営環境や社会情勢の変化、法令の改正、情報関連技術の進展等により、守るべき情報資産及びそのセキュリティリスクが変化することを考慮し、本基本方針の見直しを適宜行います。

以上