情報セキュリティ基本方針
1.目的
ネッツトヨタ群馬株式会社(以下、「当社」という)は、当社の事業活動に関わる情報資産は重要な資産であるとの認識に立ち、組織的かつ継続的に情報セキュリティに取り組むことを目的として、情報セキュリティ基本方針(以下、「本方針」という)を定める。
2.「情報資産」と「情報セキュリティ」の定義
(1)「情報資産」
お客様や取引先からお預かりした、又は当社が保有する企業秘密・個人情報などの情報、当該情報を管理・保護するためのシステム、及び当社の設備・商品及びその制御に関するシステム等をいう。
(2)「情報セキュリティ」
情報セキュリティとは、本方針1.に定める目的を達成するために、サイバー空間及びその他物理的な空間において、情報資産の「機密性」・「完全性」・「可用性」を確保することをいう。
お客様や取引先からお預かりした、又は当社が保有する企業秘密・個人情報などの情報、当該情報を管理・保護するためのシステム、及び当社の設備・商品及びその制御に関するシステム等をいう。
(2)「情報セキュリティ」
情報セキュリティとは、本方針1.に定める目的を達成するために、サイバー空間及びその他物理的な空間において、情報資産の「機密性」・「完全性」・「可用性」を確保することをいう。
3.基本的な姿勢
(1)法令遵守
情報セキュリティに関係する法令、国が定める指針、契約上の義務、及びその他の社会的規範を遵守する。
(2)安定した経営基盤の維持
情報資産を適切に管理・保護することにより、競争力及び事業継続性の確保など安定した経営基盤の維持に努める。
(3)安全な商品・サービスの提供
商品・サービスの開発・設計・製造等、自社の事業活動において、情報セキュリティの対策を講じることにより、お客様や社会に対し、安全な商品・サービスを提供する。
(4)安全なサイバー空間づくりへの貢献
情報システムや情報通信ネットワークなどにより構成され、情報が流通するインターネットやその他の仮想的な空間(以下、「サイバー空間」という)の利用者が安心してその恩恵を享受できるよう、安全なサイバー空間づくりに貢献する。
(5)情報セキュリティマネジメント
ガバナンス体制の構築とともに、事故対応を含めたリスクマネジメントを行ない、情報セキュリティの継続的な推進及び改善を行なう。
情報セキュリティに関係する法令、国が定める指針、契約上の義務、及びその他の社会的規範を遵守する。
(2)安定した経営基盤の維持
情報資産を適切に管理・保護することにより、競争力及び事業継続性の確保など安定した経営基盤の維持に努める。
(3)安全な商品・サービスの提供
商品・サービスの開発・設計・製造等、自社の事業活動において、情報セキュリティの対策を講じることにより、お客様や社会に対し、安全な商品・サービスを提供する。
(4)安全なサイバー空間づくりへの貢献
情報システムや情報通信ネットワークなどにより構成され、情報が流通するインターネットやその他の仮想的な空間(以下、「サイバー空間」という)の利用者が安心してその恩恵を享受できるよう、安全なサイバー空間づくりに貢献する。
(5)情報セキュリティマネジメント
ガバナンス体制の構築とともに、事故対応を含めたリスクマネジメントを行ない、情報セキュリティの継続的な推進及び改善を行なう。
4.本方針の適用範囲
(1)情報セキュリティの対象
本方針における情報セキュリティの対象は、当社の事業活動に関わる情報資産とする。
(2)適用対象
本方針の適用対象は、役員・従業員とする。
本方針における情報セキュリティの対象は、当社の事業活動に関わる情報資産とする。
(2)適用対象
本方針の適用対象は、役員・従業員とする。
5.情報セキュリティの取り組みの原則
(1)責任体制の明確化
情報資産の適切な管理・保護を実施するために、情報セキュリティにおける推進体制を整備し、その任務と責任を明確にする。
(2)情報セキュリティ規程の整備・遵守
①情報セキュリティに関する規程(以下、「情報セキュリティ規程」という)の体系は「基本方針」・「対策基準」・「実施手順」とする。
②本方針は、情報セキュリティ規程の「基本方針」として策定し、「対策基準」及び「実施手順」は「基本方針」に基づき策定する。
(3)リスクマネジメント
①守るべき情報資産及びそれに対する情報セキュリティの脅威を特定する。
②特定した脅威に対する備えの状況及び脅威の影響度合いに基づき、情報資産の機密性、完全性又は可用性を損なう事象(以下、「情報セキュリティインシデント」という)の発生防止に向けた必要な対策を講じる。
③情報セキュリティインシデントが発生した場合には、速やかに、当該事象の収束、原状への復旧、被害拡大防止及び再発防止などに向けた適切な対応を行う。
(4)教育・啓発
役員及び従業員等に対し情報セキュリティに関する意識向上を図るために、必要な教育及び啓発活動を実施する。
(5)継続的改善
情報セキュリティにおけるPDCAサイクルを回し、情報セキュリティに係る仕組みを継続的に見直し・改善する。
情報資産の適切な管理・保護を実施するために、情報セキュリティにおける推進体制を整備し、その任務と責任を明確にする。
(2)情報セキュリティ規程の整備・遵守
①情報セキュリティに関する規程(以下、「情報セキュリティ規程」という)の体系は「基本方針」・「対策基準」・「実施手順」とする。
②本方針は、情報セキュリティ規程の「基本方針」として策定し、「対策基準」及び「実施手順」は「基本方針」に基づき策定する。
(3)リスクマネジメント
①守るべき情報資産及びそれに対する情報セキュリティの脅威を特定する。
②特定した脅威に対する備えの状況及び脅威の影響度合いに基づき、情報資産の機密性、完全性又は可用性を損なう事象(以下、「情報セキュリティインシデント」という)の発生防止に向けた必要な対策を講じる。
③情報セキュリティインシデントが発生した場合には、速やかに、当該事象の収束、原状への復旧、被害拡大防止及び再発防止などに向けた適切な対応を行う。
(4)教育・啓発
役員及び従業員等に対し情報セキュリティに関する意識向上を図るために、必要な教育及び啓発活動を実施する。
(5)継続的改善
情報セキュリティにおけるPDCAサイクルを回し、情報セキュリティに係る仕組みを継続的に見直し・改善する。
6.取組み状況の点検・監査
(1)点検
本方針に基づく取組み状況(以下、「取り組み状況」という)について、定期的な点検(内部監査を含む)を実施し、当該結果をリスクマネジメントに関係する経営層に報告するものとする。
(2)親会社又は社外監査機関による監査
当社は、トヨタ自動車株式会社による定期点検を受け、必要に応じて、社外監査機関による監査をもって客観的な評価を担保するものとする。
本方針に基づく取組み状況(以下、「取り組み状況」という)について、定期的な点検(内部監査を含む)を実施し、当該結果をリスクマネジメントに関係する経営層に報告するものとする。
(2)親会社又は社外監査機関による監査
当社は、トヨタ自動車株式会社による定期点検を受け、必要に応じて、社外監査機関による監査をもって客観的な評価を担保するものとする。
7.制定・改廃
本方針の制定・改廃は、情報セキュリティ推進に関する会議の承認を経るものとする。
8.施行
本方針は、2023年1月1日より施行する。
