個人情報保護の理念
当社は、口座振替業務または、ポイントシステム業務を事業の核とした活動を行っております。 事業活動を通じてお客様から取得する個人情報及び当社従業員の個人情報(以下、「個人情報」という。)は、当社にとって重要な情報資産であり、その個人情報を確実に保護することは、当社の重要な社会的責務と認識しております。したがって、当社は、事業活動を通じて取得する個人情報を、以下の方針に従って取り扱い、個人情報保護に関して、お客様及び当社従業員への「安心」の提供及び社会的責務を果たしていきます。
方針
- 当社は、個人情報を、「金融機関との口座振替取次業務のため」「ポイント事業における顧客管理のため」などの目的の範囲内に限り収集し、利用いたします。目的の範囲を超えて個人情報を利用する必要が生じた場合には、事前にご本人にその目的をご連絡いたします。
- 個人情報を取得する際は、その利用目的をできる限り明確に特定し、その目的達成に必要な限度において適正かつ公正な手段で取得します。以下に該当する場合を除き、当社は、個人情報を第三者へ開示・提供することはいたしません。
- 1)ご本人の同意がある場合
- 2)個人を識別することができない状態で開示する場合
- 3)あらかじめ弊社との間で秘密保持契約を締結している企業(例えば、業務委託先)等に必要な限度において開示・提供する場合
- 4)法令等により要求された場合
- 万が一、目的外利用の必要が生じた場合は新たな利用目的の再同意を得た上で利用いたします。
- 組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置を講じ、個人情報の安全性及び正確性を確保する為に、以下の諸施策を実施いたします。
- 1)組織的安全措置として、従業者の監督を行うものとします
- 2)物理的安全管理措置として、盗難紛失防止等のための対策を行うものとします
- 3)技術的安全措置として、システム上の利用原則を定め、正確性・安全性の管理を行うものとします
- 当社は、個人情報保護法に関する社員教育に努め、また、個人情報の取扱いに関する各社員の責任を明確化し、個人情報保護取扱業者として、漏洩、毀損、滅失を防止するための予防および是正を行い、安全管理に係る体制の強化に努めます。
- 当社は、個人情報の取扱いを外部に委託する場合には、その契約において、個人情報の管理、秘密保持、再提供の禁止等、個人情報の漏洩等なきよう必要な事項を取り決めるとともに、個人情報の安全管理が確保できるよう十分な監督をいたします。
- 当社は、適正な個人情報保護の実現のため、個人情報の取扱いに関する法令、国が定める指針およびその他の規範・基準・ガイドライン等を遵守いたします。
- 当社では、ご提供頂いた個人情報に関する利用目的の通知または開示、訂正、追加、削除、利用または提供の停止・消去のお申し出があったときには、法令等に従い誠実に対応をいたします。
- 当社の個人情報保護マネジメントシステムは、個人情報保護のため、内部規程遵守状況を監視及び監査し、違反、事件、事故及び弱点の発見に努め、経営者による見直しを実施いたします。これを管理策及び内部規程に反映し、個人情報保護マネジメントシステムの継続的改善に努めます。
- 個人情報の取扱いに関する苦情及び相談については、個人情報問合せ窓口を設け、迅速な対応が可能な体制を構築し、誠意をもって対応いたします。
個人情報問合せ窓口 TEL:03-6712-6133 E-mail:info@ispg.co.jp
- 当社の事業内容の変更、法令の制定、改正等により、本個人情報保護方針を適宜見直し、予告なく変更する場合がございます。
情報セキュリティポリシー
ISPG株式会社(以下「当社」)は、情報漏えいリスクに対し抜本的、かつハイレベルの対策を講じることにより、お客さまをはじめ社会からの信頼を常に得られるよう、「情報セキュリティポリシー」を策定しました。今後はこの「情報セキュリティポリシー」および別掲の「個人情報保護のための行動指針(プライバシーポリシー)」を遵守し、さまざまな脅威から情報資産を保護し、かつ適正に取り扱うことにより、情報セキュリティの維持に努めます。
情報セキュリティポリシーの運用
- 情報セキュリティ管理体制の構築
当社が保有する全ての情報資産の保護に努め、情報セキュリティに関する法令その他の規範を遵守することにより、社会からの信頼を常に得られるよう、非常にセキュアな情報セキュリティ管理体制を構築していきます。
- 「情報セキュリティ管理責任者」の配置
「情報セキュリティ管理責任者(CISO)」を設置するとともに、情報セキュリティ委員会を組織します。これにより全社レベルの情報セキュリティの状況を正確に把握し、必要な対策を迅速に実施できるよう積極的な活動を行います。
- 情報セキュリティに関する内部規程の整備
情報セキュリティポリシーに基づいた内部規程を整備し、個人情報だけではなく、情報資産全般の取り扱いについて明確な方針を示すとともに、情報漏えい等に対しては、厳しい態度で臨むことを社内外に周知徹底します。
- 監査体制の整備・充実
情報セキュリティポリシーおよび規程、ルールなどへの準拠性に対する内部監査を実施できる体制を整備していきます。また、より客観的な評価を得るために外部監査を継続していくことに努めます。これらの監査を計画的に実施することにより、従業員などがセキュリティポリシーを遵守していることを証明します。
- 情報セキュリティ対策を徹底したシステムの実現
情報資産に対する不正な侵入、漏えい、改ざん、紛失、破壊、利用妨害等が発生しないよう、徹底した対策を反映したシステムを実現していきます。対策としては高セキュリティエリアでの作業、「need to knowの原則※」に基づくアクセス権付与、データベースアクセス権の制限など、データやシステムへのアクセスを徹底的に管理する考え方で臨みます。
※need to knowの原則:「情報は知る必要のある人のみに伝え、知る必要のない人には伝えない」という原則
- 情報セキュリティリテラシーの向上
従業員などにセキュリティ教育・訓練を徹底し、当社の情報資産に関わる全員が、情報セキュリティリテラシーを持って業務を遂行できるようにします。また、刻々と変わる状況に対応できるよう、教育・訓練を継続して行っていきます。
- 業務委託先の管理体制強化
業務委託契約を締結する際には、業務委託先としての適格性を十分に審査し、当社と同等以上のセキュリティレベルを維持するよう要請していきます。また、これらのセキュリティレベルが適切に維持されていることを確認し続けていくために、業務委託先を継続的に見直し、契約の強化に努めます。
情報セキュリティポリシーの対象
当ポリシーが対象とする「情報資産」とは、当社の企業活動において入手および知り得た情報、ならびに当社が業務上保有する全ての情報とし、この情報資産の取り扱いおよび管理に携わる当社の「役員、社員、派遣社員等」および、当社の情報資産を取り扱う「業務委託先およびその従業員」が遵守することとします。
附則
この情報セキュリティポリシーは、2015年3月20日から施行します。
