情報セキュリティポリシー
オリックス株式会社
オリックスグループでは、情報セキュリティに関するリスクは経営上の重要な課題であると認識し、ここに情報セキュリティポリシーを定め、「情報」を適切に保護し、情報資産の安全な管理に努めてまいります。
Introduction
情報セキュリティとは、「情報資産」を、毀損、業務の中断、誤用、不正開示、不正確性、アクセス不能および障害、またはその保護における不注意から引き起こされるリスクから守ることです。
これらのリスクは、外部攻撃(サイバー攻撃)、故意または偶発的な内部者の人為的行為、自然災害などの脅威によってもたらされます。
「情報資産」とは、「情報」および情報を取り扱う業務プロセスや情報システムすべてを指し、「情報」には、紙や媒体に記録された「情報」を含みます。
「情報」はオリックスグループにとって極めて重要であり、お客さま情報、役職員情報、およびオリックスグループの社内情報を保護するためのITやネットワークを安全に管理することを最優先事項としています。
ビジネスプロセスは、適切に保護・管理された「情報」に依存しています。適切な保護・管理とは、以下に掲げる事項が担保された状態を指します。
- 可用性。必要なときに情報を確実に入手できること。
- 完全性。情報が正確で完全であること。
- 機密性。情報へのアクセスは、許可された者のみが行えるようにすること。
上記に加えて継続性、信頼性、否認防止性が特定の情報にとって重要な特性です。故意または過失により「情報」が影響を受けた場合、オリックスグループは金銭、事業継続または評判の低下に関連する被害を受ける可能性があります。このため、オリックスグループは情報セキュリティリスクの特定と管理に取り組でいます。
情報セキュリティは、適切な統制と、人、プロセス、および振舞い(行動様式)により実現され、「情報」を取り扱うオリックスグループの活動に関連するすべての従業員、請負業者、およびオリックスグループにサービスを提供する外部関係者に責任があります。情報セキュリティに関するコントロールは、オリックスグループの業務に対して影響を与えるとともに、お客さまに対するサービス品質の向上にも寄与します。オリックスグループは、このような情報セキュリティに必要なコントロールを整備、実装し、改善していきます。
Information Security Principles
情報セキュリティは、オリックスグループが企業活動を行う上での重要な事項であり、情報セキュリティに関する戦略、コンセプト、設計、実装、運用、監視に統合される一連のコントロールによって維持されます。効果的な情報セキュリティの実現のためには、経営者のコミットメント、セキュリティを意識した文化の醸成、優れたセキュリティ慣行の推進、および情報セキュリティに関する規則の遵守が必要です。ここに定める10の原則は、情報セキュリティ実現のために必要な5つの事項に対するオリックスグループの指針と方向性を示すものです。
【情報セキュリティ実現のために必要な5つの事項】
- -情報セキュリティ戦略を定義する
- -情報セキュリティポリシーを設計する
- -適切な情報セキュリティ基準を選択する
- -役職員が災害や環境変化に応じて柔軟に事業継続やサービス品質を担保できる組織を構成する
- -情報セキュリティについて適切な開示を行う
【原則】
- セキュリティと安定性を、設計、システムおよびサービスのライフサイクル全体に組み込みます。
- オリックスグループの役職員は、安全な業務運営と機密情報の保護に責任を負います。
- 情報セキュリティ対策の実施は、セキュリティリスクをオリックスグループの各ビジネスにとって許容可能なレベルまで低減します。またその対策は、各ビジネスに関連するリスク対策に比例させます。
- 情報セキュリティに関するコントロールは、リスクベースアプローチの考えを基本とし、セキュリティ対策はオリックスグループの各ビジネス固有の性質、適用される規制管理、特定の脅威の性質、およびそれらに対する経営者のビジネスリスクに対応する方針のすべてを考慮します。
- 情報セキュリティに関する社内規定は明確で実用的であり、セキュアな業務遂行を可能にし、法律と規制に準拠します。
- 社内規定は、情報セキュリティに対する新しい考え方と、その実現性に関する見通しを含み、また環境の変化に応じて適切に更新します。
- 最新のセキュリティ脅威をタイムリーに予測し、現在の情報セキュリティに関するコントロールの評価、社会で現実に発生しているセキュリティ事象および優れた新しいセキュリティ技術の把握により、最適なレベルのセキュリティを維持します。
- 情報セキュリティインシデントの影響と発生に関するリスクをオリックスグループの各ビジネスが受容可能な範囲内に低減させます。
- 情報セキュリティについて、機密性を担保するとともに、適切な情報開示を行います。また、利害関係者にも同様の姿勢を求めます。
- 実効性のある情報セキュリティ対策を推進するための体制を構築し、国際的に認められた優れた対策を活用します。
この情報セキュリティポリシーは、オリックス株式会社の2021年5月のエグゼクティブ・コミッティで承認されています。
最終更新日:2021年5月7日