MS&ADインシュアランス グループ 情報セキュリティ管理基本方針

 

MS&ADインシュアランス グループ（以下「MS&ADグループ」といいます。）は、情報資産保護の重要性に鑑み、「MS&ADインシュアランス グループ 情報セキュリティ管理基本方針」を定めます。

MS&ADグループは、持続的成長と企業価値向上を追い続ける世界トップ水準の保険・金融グループを創造する上で、情報セキュリティ管理の実行をグループ経営上の最重要課題の一つとして位置付けます。そして、高い品質のサービスを提供し、お客さまを含む社会全体の信頼に応えるため、グループ全体の情報セキュリティ管理強化を積極的に図るとともに、継続的な改善に努めます。

（1）「情報資産」とは、お客さま情報を含む全ての情報および情報を処理・管理するシステムのことをいい、「情報資産」を脅かすリスク（情報資産リスク）は以下の2つのリスクから構成されます。

 

• 情報の漏えい、滅失、毀損、改ざん等により損失を被るリスク（情報リスク）
• 情報システムのダウンまたは誤作動等の不備、不正使用により損失を被るリスク（システムリスク）
   

（2）「情報セキュリティ」とは、「情報資産」について、機密性（アクセスを許されていない者から守ること）、完全性（正しい状態で保持すること）、可用性（いつでも利用できるよう保持すること）を維持することをいい、サイバーセキュリティを含みます。

（3）「サイバーセキュリティ」とは、サイバー攻撃に対する防御をいいます。具体的には、サイバー攻撃により、情報の漏えい、滅失、毀損、改ざんや、情報システムの安全性・信頼性が損なわれる等の不具合が生じないようにすることをいいます。

（1）MS&ADインシュアランス グループ ホールディングス株式会社の取締役会は、グループ情報セキュリティを担当する執行役員（グループCISO: Group Chief Information Security Officer）を任命し、態勢構築、強化を進めます。

（2）MS&ADグループは、情報資産に関わる脅威を認識し、サイバーセキュリティなど常に外部環境の変化を捉え、情報セキュリティの確保および迅速に対応する態勢を構築します。特にサイバーセキュリティについては、MS&AD-CSIRT（Computer Security Incident Response Team）を整備し、インシデント発生時の対応のみならず、事前対策、事後処理、改善策立案等を行います。

（1）MS&ADグループ各社は、グローバルな情報資産リスク対策を適切に実施するために計画策定、実行、評価および継続的に改善するためのPDCAサイクルを整備します。

（2）MS&ADグループ各社は、情報セキュリティ管理を適切に実施するために、情報セキュリティ管理担当部門を設置し、情報セキュリティ管理に関する諸規程を策定します。

（1）MS&ADグループの全役職員は、職務の遂行において使用する情報資産に関連する法令、本基本方針および情報セキュリティ管理に関する各種規程を遵守します。

（2）情報資産の保護に関する全役職員の義務を周知徹底し、情報セキュリティ管理への取組みの徹底および向上を目的として、定期的に教育を行います。

MS&ADグループは、お客さま情報保護のため、関連法規を遵守し、お客さま情報を適正に取り扱うとともに、安全管理について適切な措置を講じます。 

MS&ADグループは、業務を外部に委託する場合において、適切に外部委託先を管理する態勢を整備します。