情報セキュリティ方針

１．適用範囲

当所の債権管理システムに係わる情報資産を適用範囲とする。
情報資産には、個人情報、技術・ノウハウなど経営資源としての情報（文書、データ等）、情報システム、カード会員データ、OCR業務（取引履歴作成業務）及びこれらに係わる施設／設備を含む。

２．情報セキュリティの主要な取り組み

対外的な信頼と所内の情報セキュリティを確保する主要な取組みを以下に示す。

１. 個人情報およびカード会員データを最も重要な情報資産と位置づけ、適正な保護管理策を行う。

２. 適正なリスクアセスメントを通じて、情報資産の脅威と脆弱性の理解を高める。

３. ISMSおよびPCI DSSを効果的に運用し、セキュリティリスクを受容水準まで低減する。

４. プライバシーマーク制度、ISMS、PCI DSS関連規則を順守する。

５. 廃棄PCや記録媒体のデータ消去を完全に行い、情報の漏洩を防止する。

６. 非認可者からのアクセス制御を行い、資産の改竄・漏洩を防止する。

７. 情報流出防止（DLP）ツールを用いて技術的に情報の漏洩を防止する。

８. コンピュータウイルス感染やシステムトラブルを低減し、システムの可用性を高める。

９. ISMSおよびPCI DSS運用を通じて、債権回収管理システムおよびOCR業務（取引履歴作成業務）の品質向上を図る。

１０. 事業継続計画を策定し、維持し、見直しする。

１１. 情報セキュリティ教育・訓練を全ての所員に対して実施する。

３．リスク管理委員会

この情報セキュリティポリシーに基づき、リスク評価の基準とリスクアセスメントの手順の確立、機密性、完全性、可用性に対する方向付け、保護対策の徹底、評価を行うため、リスク管理委員会を運営する。またインシデント発生時の際にも主体となり迅速かつ正確に対処する。

４．運営推進責任

情報セキュリティマネジメントの円滑な推進を図るために、ISMS事務局は、ISMS管理責任者の指示に基づき、ISMSおよびPCI DSSを確立し維持する。実行部門は、自部門における情報資産保護施策の策定、実施、評価を行い、ISMSの継続的改善およびPCI DSSの準拠に努める。

５．全所員の義務

情報運用に携わる全所員は、この情報セキュリティポリシーおよびISMSならびにPCI DSSの規則を熟知し、これに従う。これらに違反した場合は、規定に従い処分の対象とする。

６．監査

内部監査責任者は、情報セキュリティポリシー及び情報セキュリティに関する規定に順守している事を定期的に検証する。