情報セキュリティ基本方針(含、PCI DSS)

九州カード株式会社(以下「当社」という。)は、『ISO/IEC27001の要求事項』に従い、
『情報セキュリティ基本方針』を定め、公表いたします。

情報セキュリティ基本方針

2021年6月30日最終改正
九州カード株式会社
代表取締役社長 川本 惣一

1.情報セキュリティの定義及び重要性

情報セキュリティとは、情報の機密性、完全性、及び可用性を維持することであり、場合によっては、真正性、責任追跡性、否認防止、及び信頼性のような特性を含むものとします。リテール業務を主たる業務( クレジットカード番号等を取扱う業務を含む。)とする当社にとって情報セキュリティは、重要、且つ、最優先の課題であることを認識し、経営陣の陣頭指揮のもと積極的な取組みを行います。

2.情報セキュリティマネジメントシステム等導入の目的

当社は、2004年度に情報セキュリティマネジメントシステム(以下「ISMS」という。)の構築を図り、“PDCAプロセスの手順”を繰り返し実施し、当社の経営理念に基づいて“情報セキュリティの重要性”を認識し、“社会的責任”を果たすものとしています。また、2017年度にはペイメントカード業界データセキュリティ基準(以下「PCI DSS」という。) の規格要求事項に準拠した体制を構築し、クレジットカード番号等のセキュリティ強化等への取組みを行っています。

3.ISMS及びPCI DSSの適用範囲、及び適用対象

当社のISMSの適用範囲は、『クレジットカード業務』、『信用保証業務』、及び『金銭貸付業務』、並びに当社のPCI DSSの適用範囲は、「クレジットカード番号等を取扱うすべての業務」とし、その適用対象は、当社が取扱う『情報資産』、及び「情報処理設備に関連する資産」 (以下これらを「情報資産等(クレジットカード番号等を含む。)」という。)、並びにすべての従業員(含む、派遣社員、アルバイト。以下同じ。)、契約相手、及び第三者の利用者とします。

4.顧客・法令・規格要求事項、並びにセキュリティ義務の考慮

当社のすべての従業員は、「適用法令一覧表」に定めた関連法規を遵守しなければならないほか、“顧客要求事項”、並びに“契約に基づくセキュリティ義務”を考慮しなければならないものとします。

5.ISMS及びPCI DSSにおける組織の確立

当社は、ISMS及びPCI DSSを継続して維持していくために、最高責任者を「社長」とし、経営陣のなかから「情報管理責任者」及び「コンプライアンス管理責任者」を任命し、この「コンプライアンス管理責任者」のもと、各部署の「コンプライアンス責任者」、及び選任された「コンプライアンス委員」によって構成される「コンプライアンス委員会」によってすべての情報セキュリティ関連の活動を統制します。なお、情報セキュリティ活動の円滑化を図るため、『コンプライアンス室』及び『ISMS事務局』を設置しています。

6.情報セキュリティ教育の実施(力量の向上)

ISMS及びPCI DSSに関連するすべての従業員に対して、当社はその職務に応じ必要な“情報セキュリティ教育”を提供しています。 また、従業員はすべての提供される教育を受け、“力量の向上”に努めなければならないものとします。

7.ウイルス、及び他の不正ソフトウェアの予防、及び検出

すべての従業員は、“情報セキュリティ”への望ましくない影響を排除するために、“ウイルス”、及び“他の不正ソフトウェア”の予防、及び検出に努めなければならないものとします。

8.事業継続管理

当社は、事業活動の中断等に対処するとともに、重大な障害、又は災害の影響から重要な業務手続を保護することを目的に“事業継続管理”を実施しています。すべての従業員は、あらかじめ定められた手順等に従って当社の事業継続を図るものとします。また、当社では2013年 9月に「事業継続マネジメントシステム(ISO22301)」の認証取得を行い、事業継続への取組みを図っています。

9.各種法令、規範、ISMS及びPCI DSSの諸規程等違反の対応

“各種法令”、“規範”、“ISMS及びPCI DSSで規定された諸規程”等の内容に違反する行為を行った従業員は、その程度に応じて就業規則に定めるところにより懲戒を受ける場合があります。

10.セキュリティ・インシデント(事件・事故)の報告

情報セキュリティに関連する事故が発生した場合、又は発生を予見した場合は、“事故の発見者”、又は“事故を予見した者”は速やかに“部門情報管理者”、及び“情報管理責任者”にその内容を報告しなければなりません。 また、“情報管理責任者”、及び“部門情報管理者”は、セキュリティインシデントの原因分析、又は予見した事故の発生の可能性の検討を行い、適切な対策を講じます。

11.評価対象となるリスクの基準

当社において考慮すべきリスクとは、情報資産等の紛失、漏えい、改ざん、破壊、不正アクセス、及び予期しないサービスの停止等の脅威によって引き起こされる様々なリスクを言い、信用リスクや市場関連リスク等当社の事業活動の中で生じる様々なリスクを含みます。

12.情報セキュリティ管理プロセス、管理策・運用状況の有効性の測定

当社では、“情報セキュリティ管理プロセス”、“情報セキュリティリスクアセスメント”、“要求事項に対する管理策”、“情報セキュリティの監視、見直し”、更には“PCI DSSの運用状況(定期的なスキャンチェックを含む。)”等について、定期的にその有効性の測定を行い、必要に応じて見直しを行います。

13.情報セキュリティリスクアセスメント実施

当社は、保有する「情報資産等」全てに対して、望まれない状態としてどのような状態が考えられるか、それを引き起こす原因はどの程度あるのか、関連する情報資産等は当社にとってどの程度価値があるものか、という要因によって情報セキュリティに与える影響を認識するために “情報セキュリティリスクアセスメント”を実施します。この“情報セキュリティリスクアセスメント”の結果に基づいて、適切な対策を講じ、リスクの低減を図るものとします。

14.内部監査、及び部内自主点検

当社は、ISMS諸規程及びPCI DSS諸規程に定められた要求事項や管理策等が確実に実行されていることを監視する目的で、監査室による“内部監査”、及び各部署による“部内自主点検”を実施しています。従業員は、“内部監査”、及び“部内自主点検”の主旨を十分理解するとともに、不適合が発見された場合は、“部門情報管理者”、“監査室長”、“情報管理責任者”の指示に従い適切な対策を講じます。


以上

お問い合わせ

九州カード株式会社
カスタマーサービスセンター

サービスデスク

092-452-4500

【受付時間】9:00〜17:00 (土日祝・12/31〜1/3を除く)