HOME
SERVICESサービス
住宅事業者向け金融者機関向けユーザー向け
ABOUT USiYellについて
代表者メッセージ会社概要 / 社名・ロゴの由来プレスキット / 動画アーカイブ社歌経営理念ビジョンバリュー福利厚生オフィスツアーiYell歴史館アクセス
MEMBERメンバー
RECRUIT採用情報
採用サイト新卒向け採用サイト
NEWSニュース
iYellookiYell公式ブログ
SDGsサステナビリティ
プライバシーポリシー個人情報に基づく公表事項反社会勢力に対する基本方針勧誘方針 及び
比較説明・推奨販売方針システムリスク管理基本方針金融サービス仲介業に関する明示事項顧客本位の業務運営を実現するための方針情報セキュリティ基本方針当社の苦情処理・紛争解決に係る体制についてお問い合わせ

システムリスク管理基本方針

第1章 総則

(目的)
第1条 本方針は、当会社におけるシステムリスク管理に関する方針であり、システムリスク管理を適切に実施することを目的とする。当会社のビジネスを継続的、安定的に行ううえで、当会社のシステムリスクに対し適切な安全対策を実施することはビジネス上の重要な要件である。したがって、この方針が有効に機能するよう、管理態勢強化に努める。また、本方針は、当会社の情報資産を適切に保護するための基本的な考え方を定めるものである。

(定義)
第2条 本方針におけるシステムリスクとは、以下のようなリスクを指す。 
(1) コンピュータシステムのダウン又は誤作動によるシステム不備等に伴い、利用者や当会社が損失を被るリスク。
(2) コンピュータが不正に使用されることにより利用者や当会社が損失を被るリスク。
2 本方針において「情報資産」とは、情報及び情報を管理する仕組みの総称であり、電磁的記録媒体、コンピュータ、ネットワーク、記憶媒体、紙媒体等を含むものとする。
3 本方針において「情報セキュリティ」とは、情報資産の機密性、完全性、可用性を維持することをいう。

(本書の位置づけ)
第3条 本方針は、システムリスク管理文書の最上位に位置する。なお、第2条で規定するシステムリスクのうち、情報セキュリティに関するリスクの管理に関しては、別途定める情報セキュリティ基本方針によるものとする。

(対象・適用範囲)
第4条 本方針は、当会社が業務上使用および保有するすべてのコンピュータ、データベースおよびネットワーク等の情報システムおよび情報システムに含まれるまたは出力される情報、また情報システムおよび情報の利用・管理に係る業務(以降、関連業務という)を対象とし、すべての役職員等(役員、社員、契約社員、派遣社員、パート、アルバイト、常駐する外部委託先の要員を含む)ならびに当会社と契約した協力会社および外部委託先に適用する。

(規程の整備)
第5条 システムリスク管理の要件を明確にするため、本方針に準拠した規程および関連する細則・マニュアル等(以下、規程等という)を整備する。すべての役職員等は、これらの規程等を遵守する。

第2章 管理方法

(システムリスク管理の方法等)
第6条 システムリスク管理にあたっては、原則として次に掲げる各プロセスを対象として行うものとする。各プロセスにおいて、外部に委託している業務に関しても対象とする。

(1)システム企画・開発 
(2)システム運用 
(3)システム障害や災害等、緊急事態への対応
2 システムリスク管理の方法については、本方針の下位規程および関連する細則・マニュアル等に定める。

(システムリスク管理体制の整備)
第7条 業務内容の変更、システムの新規導入・変更・廃止、その他体制に影響を与えうる事象に応じてシステムリスク管理体制を適宜見直し、常に有効なシステムリスク管理体制を整備する。
2 当会社は、システムリスク管理を統括する責任者を定める。
3 当会社の取締役会は、システムリスク管理に関し必要な役割を担うものとする。

(システムリスクの特定・分析・評価)
第8条 定期的または適宜、当会社の情報システム、情報資産に係るリスクの所在や種類を特定し、システムの脆弱性および脅威を分析した上で、当会社および利用者への影響度や対応の必要性等を評価する。
2 システムリスクの特定・分析・評価については、第6条で定める規程等に基づき実施し、その結果を取締役会に報告するものとする。

(外部委託先管理)
第9条 外部の業者にシステムの開発・運用・保守等の業務委託を行う場合、「安全管理措置規程」等に則りその運用について定める。委託契約を締結する際は、当会社の定める選定基準を充足しているか厳正に審査を行う。また、業務の外部委託による事故とそれによる損失を未然に防止するよう、外部委託先におけるシステムリスクの状況把握と評価を行い、適切な安全対策を要請し、委託業務の信頼性の確保を図る。

(システムリスクに係る監査)
第10条 内部監査の担当部署は、本方針、規程等および関連法令を遵守しているか定期的に監査を実施する。システムリスクに係る監査は、外部の専門家による第三者的な立場からの外部監査の実施も検討する。
2 監査において検出された事項は、適切に報告され、改善が図られるものとする。

(システムリスクに係る教育・訓練)
第11条 すべての役職員等が自らの業務においてシステムリスクの内容を理解・認識し、適切な対応を実施できるよう、システムリスクに関する教育や研修を実施する。
2 システムリスクが顕在化した際の早期復旧、業務継続を図るべく、定期的な訓練を実施する。

(継続的な改善)
第12条 本方針について、内部環境および外部環境の変化を踏まえ、定期的に見直しの要否を検討する。
2 システムリスク管理態勢および情報セキュリティ対策を継続的に見直し、改善する。

第3章 その他

(例外扱い)
第13条 当会社は、お客様および当会社の重要な経営資産である情報資産を適切に保護するため、以下の基本方針に基づき、情報セキュリティ対策を実施する。
(1) 機密性の確保: 情報資産への不正なアクセスを防止し、機密情報を適切に管理する。アクセス権限を適切に設定し、不要な情報の開示を防ぐ。
(2) 完全性の維持: 情報資産の正確性および網羅性を維持し、不正な改ざん、破壊を防止する。データの入力、処理、出力における正確性を確保するための措置を講じる。
(3) 可用性の確保: 情報資産が必要な時に利用可能な状態を維持し、システム障害等からの迅速な復旧を図る。冗長化、バックアップ等の対策を実施する。 
(4) 物理的セキュリティ: 情報システムが設置される物理的な環境の安全性を確保し、不正な侵入や物理的な破壊から保護する。 
(5) 技術的セキュリティ: 不正アクセス、不正プログラム、サイバー攻撃等の脅威から情報システムおよび情報資産を保護するための技術的な対策を導入・運用する。
(6) 情報セキュリティに関する具体的な対策については、別途定める「情報セキュリティ基本方針」に依る。

附則
(施行)本方針は、2026年5月1日より施行する。
(改廃)本方針の改廃は規約方針・手続による。