1. 目的

本情報セキュリティ方針（以下「本方針」といいます）は、GMOエンペイ株式会社（以下「当社」といいます）の情報セキュリティに関する基本的な方針を定めたものです。本方針は、当社および当社が取り扱うお客様ならびにお取引先の個人情報を含む情報資産を保護することを目的としています。

2. 対象範囲

本方針の対象範囲は、当社が業務で取り扱うすべての情報資産および情報資産を取り扱うための設備、さらに情報資産を取り扱う当社の役員、社員、契約社員、アルバイトおよび契約社員（以下「全従業者」といいます）。

3. 用語の定義

• 情報セキュリティ
  当社の事業継続を確実なものにすること、事業損害を最小限にすること、ならびに投資に対する見返りを最大限にすることを目的として、広範囲にわたる脅威から情報を保護することです。
• 情報セキュリティポリシー
  本方針および本方針に従って作成した情報セキュリティ対策方針の総称です。

4. 経営陣の意向表明

当社は、「やさしいフィンテックを。」をミッションに掲げ、テクノロジーの力で新しいお金の流れと社会をつくることを目指しています。
これを実現するための企業活動を営むにあたり、当社が取り扱う情報資産等を脅威から守り、ステークホルダーおよび社会の信頼に応えることが経営上の最重要課題にあるとの認識に立ち、本方針を策定し、情報セキュリティ対策に取り組みます。

5. 基本方針

• 情報セキュリティポリシーの策定
  
  • 経営陣の意向表明に従い、情報セキュリティポリシーを策定し、本方針を全従業者ならびに関連する外部関係者へ公表します。全従業者は、この情報セキュリティポリシーを遵守して情報セキュリティ対策を遂行します。‍
• 情報セキュリティ管理体制の確立‍
  
  • 情報セキュリティに関して、全般的な責任を持つ情報セキュリティ管理責任者（以下管理責任者と言います）を設置します。管理責任者は、セキュリティインシデントに対応することを含め、情報セキュリティの構築・運営に関して組織を指導し、管理する責任を持ちます。
  • 全社レベルの情報セキュリティの状況を正確に把握し、必要な対策を迅速に実施できるようにするため、情報セキュリティ委員会を設置します。
• ‍見直し‍
  
  • 経営環境の変化、社会環境や法規制の変化、情報関連技術の最新動向、および新たに発見されたリスクに照らし合わせて、本方針の適宜見直しを行い、継続的な改善を行います。‍
• 情報システム・セキュリティ対策の実施‍
  
  • 情報システム資産を保護するために、リスク分析を実施し不正アクセス対策、ウイルス対策、漏洩対策、信頼性対策など情報システムに対するセキュリティ対策を実施します。‍
• 個人情報保護‍
  
  • 個人情報に関するリスク分析を実施し、個人情報保護のための安全管理策を策定し実施します。‍
• 業務委託に関するセキュリティ対策‍
  
  • 業務の外部委託について、機密情報および個人情報の保護の観点から、委託先の適格性の審査、契約書の内容に関する見直し、改善を図ります。‍
• 法的および契約上の要求事項への適合‍
  
  • 情報セキュリティに関連する法令、規制又は契約上の義務、並びにセキュリティ上の要求事項に対する違反を避けるために、これらの要求事項を明確にして、適合するための対策を策定し実施します。
• 情報セキュリティに関する教育・訓練及び周知・徹底
  
  • 全従業者に対し、定期的な情報セキュリティに関する教育・訓練を行い、情報セキュリティの重要性、適切な取り扱いおよび管理に関する周知・徹底を図ります。
• セキュリティインシデント及びセキュリティ事故への対応
  
  • セキュリティインシデントが発生した場合は、発見者は速やかに管理責任者にその内容を報告し、管理責任者は直ちに関係者に報告すると共に、必要に応じて緊急措置を講じることとします。セキュリティ事故については、その原因を分析し再発防止策を講じます。
• 事業継続管理
  
  • 偶発的に発生する災害・故障・過失及び意図的に発生する情報資産の悪用などによる事業の中断を可能な限り抑え、事業の継続を確保します。
• 情報セキュリティポリシー違反に対する措置
  
  • 社員が情報セキュリティポリシーに違反した場合は、懲戒手続きの対象とします。