情報セキュリティポリシー

法令、業界ガイドライン、社内規程等の遵守

お客様からお預かりしている情報資源及び当社の情報資源を、不正アクセス・漏えい・破壊・紛失・改ざん等から守るために、関係法令や国が定める指針その他の関連規範（業界ガイドライン等）に沿った規程類を整備し、これを遵守します。

情報セキュリティ管理体制の堅持

情報セキュリティの管理体制を整え、お客様からお預かりしている情報資源及び当社の情報資源に対する管理責任の所在を明らかにするとともに、管理責任者の義務及び責任を明確にします。

情報セキュリティ対策の周知及び教育

情報セキュリティに関する教育及び研修の全従業者への実施等の啓発活動を行い、情報セキュリティ対策の重要性を全従業者へ周知します。

情報セキュリティ対策の評価及び見直し

情報セキュリティ対策の実施状況を定期的にチェックし、評価を行います。その結果をもとに、必要に応じて情報セキュリティ対策を見直し、継続的な維持・改善に努めます。当社は、取り扱う情報を保護するためのセキュリティ対策の一環として、PCI DSSを採用しております。PCI DSSは、情報保護のために以下の6つの目標とそれに関する12のデータセキュリティ要件を定めています。

安全なネットワークとシステムの構築・維持

カード会員データを保護するために、ファイアウォールを導入して構成を維持すること

システム・パスワードと他のセキュリティ・パラメータにベンダー提供のデフォルト値を使用しないこと

カード会員データの保護

保存されるカード会員データを安全に保護すること

オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化すること

脆弱性管理プログラムの維持

ウィルス対策ソフトウェアまたはプログラムを使用し、定期的に更新すること

安全性の高いシステムとアプリケーションを開発し、保守すること

強力なアクセス制御手法の導入

カード会員データへのアクセスを業務上の必要範囲内に制限すること

コンピュータにアクセスする利用者ごとに個別のIDを割り当てること

カード会員データへの物理的アクセスを制限すること

ネットワークの定期的な監視及びテスト

ネットワーク資源及びカード会員データに対するすべてのアクセスを追跡し、監視すること

セキュリティ・システム及びプロセスを定期的にテストすること

情報セキュリティポリシーの維持

すべての担当者の情報セキュリティに関するポリシーを整備すること