情報セキュリティ基本方針
- HOME >
- 情報セキュリティ基本方針
2018年7月2日改訂
Jペイメントサービス株式会社は、決済処理を主体とした総合的なサービスを展開する上で、お客様に安心してご利用いただける十分なセキュリティ対策を施すとともに、社会からの信頼を得ることを考え、以下の基本方針を遵守し、さらに継続的な情報セキュリティの向上と確保に努めます。
- 1. 情報セキュリティの定義及び重要性
- 情報セキュリティとは、情報の機密性、完全性、及び可用性を維持することであり、場合によっては、真正性、責任追跡性、否認防止、及び信頼性のような特性を含むものとします。決済代行処理を主たる業務とする当社にとって情報セキュリティは、重要、且つ、最優先の課題であることを認識し、経営陣の陣頭指揮のもと積極的な取組みを行います。
- 2. 情報セキュリティマネジメントシステム等導入の目的
- 当社は、情報セキュリティマネジメントシステム(以下「ISMS」という。)の構築を図り、"PDCAプロセスの手順"を繰り返し実施し、当社の経営理念に基づいて"情報セキュリティの重要性"を認識し、"社会的責任"を果たすものとしています。また、ペイメントカード業界データセキュリティ基準(以下「PCIDSS」という。)の規格要求事項に準拠した体制を構築し、クレジットカード番号等のセキュリティ強化等への取組みを行っています。
- 3. 情報セキュリティマネジメントシステムの適用対象
- 当社の情報セキュリティマネジメントシステム適用対象は、当社が取扱う『情報資産』、及び「情報処理設備に関連する資産」(以下これらを「情報資産等(クレジットカード番号等を含む。)」という。)、並びにすべての従業員(含む、派遣社員、アルバイト。以下同じ。)、契約相手、及び第三者の利用者とします。
- 4. 顧客・法令・規格要求事項、並びにセキュリティ義務の考慮
- 当社のすべての従業員は、「適用法令一覧表」に定めた関連法規を遵守しなければならないほか、"顧客要求事項"、並びに"契約に基づくセキュリティ義務"を考慮しなければならないものとします。
- 5. ISMS及びPCIDSSにおける組織の確立
- 当社で保有する全ての情報の保護に努め、情報セキュリティに関する法令その他の規範を遵守することにより、社会から信頼を得られるような管理体制を構築していきます。 また全社の情報セキュリティに対する安全管理対策の実施状況を正確に把握するよう努め、最善の管理体制となるよう積極的な活動を行います。
- 6. 情報セキュリティ教育の実施(力量の向上)
- ISMS及びPCIDSSに関連するすべての従業員に対して、当社はその職務に応じ必要な"情報セキュリティ教育"を提供しています。また、従業員はすべての提供される教育を受け、"力量の向上"に努めなければならないものとします。
- 7. ウイルス、及び他の不正ソフトウェアの予防、及び検出
- すべての従業員は、"情報セキュリティ"への望ましくない影響を排除するために、"ウイルス"、及び"他の不正ソフトウェア"の予防、及び検出に努めなければならないものとします。
- 8. 各種法令、規範、ISMS及びPCIDSSの諸規程等違反の対応
- "各種法令"、"規範"、"ISMS及びPCIDSSで規定された諸規程"等の内容に違反する行為を行った従業員は、その程度に応じて就業規則に定めるところにより懲戒を受ける場合があります。
- 9. セキュリティ・インシデント(事件・事故)の報告
- 情報セキュリティに関連する事故が発生した場合、又は発生を予見した場合は、"事故の発見者"、又は"事故を予見した者"は速やかに"部門情報管理者"、及び"情報管理責任者"にその内容を報告しなければなりません。また、"情報管理責任者"、及び"部門情報管理者"は、セキュリティインシデントの原因分析、又は予見した事故の発生の可能性の検討を行い、適切な対策を講じます。
- 10. 評価対象となるリスクの基準
- 当社において考慮すべきリスクとは、情報資産等の紛失、漏えい、改ざん、破壊、不正アクセス、及び予期しないサービスの停止等の脅威によって引き起こされる様々なリスクを言い、信用リスクや市場関連リスク等当社の事業活動の中で生じる様々なリスクを含みます。
- 11. 情報セキュリティ管理プロセス、管理策・運用状況の有効性の測定
- 当社では、"情報セキュリティ管理プロセス"、"情報セキュリティリスクアセスメント"、"要求事項に対する管理策"、"情報セキュリティの監視、見直し"、更には"PCIDSSの運用状況(定期的なスキャンチェックを含む。)"等について、定期的にその有効性の測定を行い、必要に応じて見直しを行います。
- 12. 情報セキュリティリスクアセスメント実施
- 当社は、保有する「情報資産等」全てに対して、望まれない状態としてどのような状態が考えられるか、それを引き起こす原因はどの程度あるのか、関連する情報資産等は当社にとってどの程度価値があるものか、という要因によって情報セキュリティに与える影響を認識するために"情報セキュリティリスクアセスメント"を実施します。この"情報セキュリティリスクアセスメント"の結果に基づいて、適切な対策を講じ、リスクの低減を図るものとします。
- 13. 内部監査、及び部内自主点検
- 情報セキュリティポリシーおよび規程、ルール等への準拠性に対する内部監査を実施できる体制を整備します。この監査を計画的に実施することにより、全社員が情報セキュリティ方針を遵守していることを確認します。
- 14. 業務委託先の管理体制の強化
- 業務委託契約を締結する際には、委託先としての適格性を十分に審査し、情報セキュリティの確保に努めます。また、契約締結後は、情報セキュリティレベルが維持されているか、定期的に確認します。
Jペイメントサービス株式会社
代表取締役社長 大原 雅彦
PCI DSSについて
Jペイメントサービス株式会社は決済代行サービス事業を展開する上で、お客様に安心してご利用いただける十分なセキュリティの確保に努めて参りましたが、平成30年5月に九州カード株式会社とともにクレジットカード業界のグローバルセキュリティ基準である「PCI DSS」※1の準拠が認められました。
Jペイメントサービス株式会社はPCI DSSの準拠対応により今後ともより高いセキュリティ確保に万全の体制で取組みお客様の信頼と期待に応えるサービスの提供を行ってまいります。
- ※1 PCI DSS(Payment Card Industry Data Security Standard):
国際カードブランドが共同で設立した団体、PCI SSC※2によって運用管理されているクレジットカード会員データを安全に取り扱うことを目的として策定された、クレジットカード業界の国際基準です。 - ※2 PCI SSC(Payment Card Industry Security Standards Council):
国際クレジットカード主要5社(American Express, Discover Financial Services, JCB International, MasterCard, and Visa Inc.)が設立。PCI DSSの基準策定、維持、評価手順の確立を担っています。
- 認証基準
- PCI DSS ver 3.2.1
- 初回準拠日
- 2018年5月31日
- 認証登録機関
- BSIグループジャパン株式会社