HOME
SERVICESサービス
住宅事業者向け金融者機関向けユーザー向け
ABOUT USiYellについて
代表者メッセージ会社概要 / 社名・ロゴの由来プレスキット / 動画アーカイブ社歌経営理念ビジョンバリュー福利厚生オフィスツアーiYell歴史館アクセス
MEMBERメンバー
RECRUIT採用情報
採用サイト新卒向け採用サイト
NEWSニュース
iYellookiYell公式ブログ
SDGsサステナビリティ
プライバシーポリシー個人情報に基づく公表事項反社会勢力に対する基本方針勧誘方針 及び
比較説明・推奨販売方針システムリスク管理基本方針金融サービス仲介業に関する明示事項顧客本位の業務運営を実現するための方針情報セキュリティ基本方針当社の苦情処理・紛争解決に係る体制についてお問い合わせ

情報セキュリティ基本方針

第1章 総則


(目的)
第1条 本方針は、「システムリスク管理基本方針」のもと、「リスク管理規程」に定めるリスク管理体制と整合性を図り、当会社の情報セキュリティに関する基本事項を定めるものである。当会社の事業活動の根幹をなす情報資産をあらゆる脅威から保護し、情報セキュリティを確保することは、経営上の最重要課題の一つである。本方針を役職員等へ周知徹底し、組織的かつ継続的に情報セキュリティの向上に取り組むことで、顧客、取引先、社会からの信頼に応え、企業としての社会的責務を全うすることを目的とする。

(定義)
第2条 本方針における用語の定義は、以下に定めるところによる。
(1)情報資産:
情報及び情報を管理する仕組みの総称であり、電磁的記録媒体、コンピュータ、ネットワーク、記憶媒体、紙媒体等を含むもの。
(2)情報セキュリティ:
情報資産の機密性、完全性、可用性を維持すること。
(3)機密性:
情報資産への不正なアクセスを防止し、認可された者だけがアクセスできる状態を確保すること。
(4)完全性:
情報資産が破壊、改ざんされることなく、正確かつ網羅性が維持されている状態を確保すること。
(5)可用性:
認可された者が、必要な時に中断なく情報資産にアクセスできる状態を確保すること。

(適用範囲)
第3条 本方針は、当会社の管理下にあるすべての情報資産を対象とする 。また、当会社のすべての役職員等(役員、社員、契約社員、派遣社員、パート、アルバイト、常駐する外部委託先の要員を含む)ならびに当会社と契約した協力会社および外部委託先に適用する。

第2章 情報セキュリティ体制

(ガバナンス、役割と責任)
第4条 当会社は、情報セキュリティを全社的に推進するため、「リスク管理規程」に定める以下の体制を活用する。
(1)取締役会:
取締役会は、情報セキュリティに関する最終的な責任を負い、システムリスク管理体制の整備と運用に必要な経営資源を確保する。
(2)情報セキュリティ統括責任者:
「リスク管理規程」に定めるリスク管理部門の長を、本方針における情報セキュリティ統括責任者とする。同責任者は、情報セキュリティに関する全社的な戦略策定と実施を管掌する。
(3)リスク管理委員会:
「リスク管理規程」に定めるリスク管理委員会は、情報セキュリティに関する全社的な意思決定機関を兼ねる。本委員会は、リスク評価、重要施 策の審議・承認、重大なインシデント対応の監督等を行う。
(4)役職員等の義務:
すべての役職員等は、本方針および関連規程を遵守する義務を負う。また、業務において情報セキュリティ上の脅威やインシデントを認識した場合は、定められた手順に従い速やかに報告しなければならない。

第3章 情報セキュリティ対策

(情報資産の管理)
第5条 当会社は、保護すべき情報資産を特定し、その重要性に応じたリスクアセスメントを定期的または適宜実施する。すべての情報資産は、機密性、完全性、可用性の観点から分類し、分類に応じてアクセス制御、保管、廃棄等の取り扱いに関する規程を別途定め、適切に管理する。

(人的セキュリティ)
第6条 当会社は、情報セキュリティに対する意識向上を図るため、すべての役職員等に対し、その職務に応じた情報セキュリティに関する教育および訓練を定期的かつ継続的に実施する。また、採用時および業務委託契約時には秘密保持に関する誓約を求め、雇用終了時および契約終了時には情報資産の返却やアクセス権の削除を徹底する。

(物理的および技術的セキュリティ)
第7条 当会社は、情報資産に対する不正なアクセス、侵入、盗難等を防ぐため、以下の物理的および技術的なセキュリティ対策を講じる。
(1)物理的セキュリティ:
情報システムが設置される物理的な環境の安全性を確保し、不正な侵入や物理的な破壊から保護する。重要な施設への入退室管理、および情報機器や記憶媒体の盗難・紛失防止策を徹底する。
(2)技術的セキュリティ:
不正アクセス、不正プログラム、サイバー攻撃等の脅威から情報システムおよび情報資産を保護するための技術的な対策を導入・運用する。アクセス制御、ネットワークセキュリティ、不正プログラム対策、脆弱性管理、暗号化等の具体的な管理策を講じる。

(外部委託先管理)
第8条 当会社は、システムの開発・運用・保守等の業務を外部に委託する場合、委託先の情報セキュリティ管理体制を十分に評価し、当会社の定める選定基準を充足しているか厳正に審査を行う。契約においては、当会社が求める情報セキュリティ要件を明記し、その遵守を求めるとともに、外部委託先におけるシステムリスクの状況把握と評価を行い、委託業務の信頼性の確保を図る。

(法令等の遵守)
第9条 当会社は、情報セキュリティに関連するすべての法令、国が定める指針、その他の規範、および顧客との契約上の義務を特定し、これを遵守する。

第4章 インシデント管理と継続的改善

(情報セキュリティインシデント管理)
第10条 当会社は、情報セキュリティインシデントに対応するための体制を整備し、緊急事態への対応プロセスを明確にする。インシデントが発生した場合、その原因を迅速に究明し、被害を最小限に食い止めるとともに、事業の継続性を確保し、実効性のある再発防止策を講じる。

(事業継続管理)
第11条 当会社は、サイバー攻撃、システム障害、災害等により事業活動が中断される事態に備え、事業継続計画(BCP)を別途定め、定期的な訓練を通じてその実効性を検証する。詳細は当該計画によるものとする。

(監視、監査、および継続的改善)
第12条 当会社は、本方針および関連規程の遵守状況、ならびに情報セキュリティ対策の有効性を検証するため、継続的な監視および定期的な内部監査を実施する 。監査において検出された事項は適切に報告され、改善を図るものとする。これらの結果および内外の環境変化を踏まえ、情報セキュリティ管理体制を継続的に見直し、改善する。

第5章 その他

(罰則)
第13条 当会社の役職員等が本方針または関連規程に違反した場合は、就業規則等に基づき、懲戒処分の対象とする。

(方針の見直し)
第14条 本方針は、情報セキュリティを取り巻く環境の変化や、当会社の事業内容の変更等に応じて、定期的または必要の都度、情報セキュリティ委員会において見直しを行うものとする。

附則


(施行) 本方針は、2026年5月1日より施行する。
(改廃) 本方針の改廃は規約方針・手続による。