ソニー生命保険

ナビゲーションをスキップする

個人情報保護および情報セキュリティへの取組

近年、ITの急速な発展とともに、ネットワークの高度化・複雑化、サービスの多様化が進んでいます。これにより、企業とお客さまとの間において、重要な情報のやり取りをネットワークを介して行うことも可能になり、個人情報の保護が重要視されています。

当社においても、お客さまの利便性向上のため、ネットワークを利用した先進的なサービスの提供を推進しています。生命保険事業においては、個人の重要な情報を必要とするため、当社はお客さま情報の管理ならびに情報セキュリティ対策を重要な経営課題のひとつと位置づけ、積極的に取り組んでいます。

個人情報保護

個人情報の保護推進への取組

当社は、お客さま情報を中心とした個人情報について、「情報セキュリティポリシー」等を制定し、適正な管理、利用ならびに保護に努めてきました。
また、「個人情報の保護に関する法律」の制定に伴い、「個人情報保護規程」を制定して個人情報の適正な取扱について定めるとともに、社内の情報セキュリティ研修等を通じて、お客さまの個人情報保護とプライバシー保護の徹底を図っています。今後もより厳格な個人情報保護に努めていきます。

管理体制

お客さまの個人情報を取り扱う部門ごとに情報管理責任者とセキュリティ担当者を配置し、個人情報保護の実効性を確保するための業務フローの構築、社員に対する教育体制の充実を図っています。
また、経営会議の下部委員会として個人情報保護推進委員会を組織し、情報セキュリティに関わる推進施策の検討・実行を推進しています。

個人情報の管理体制

個人情報保護に関するセキュリティ対策

個人情報保護にかかる安全管理措置基準について

個人情報の取得、利用、保管、廃棄までの各段階において留意すべき安全管理措置基準を具体的に定め、当社の役員・社員(派遣社員等を含む)が遵守することを徹底しています。

ノートパソコン等の盗難対策について

お客さまの個人情報が記録されたノートパソコンなどを社外に持ち出す場合は、車上荒らしや置引を防ぐため、常に手元に置くこと等の取扱ルールを定め、徹底しています。また、万一に備え、お客さまの個人情報をパソコン等の電子記憶媒体に記録する際には、すべての個人情報を暗号化するなど、セキュリティ対策の徹底に努めています。

オフィスセキュリティについて

個人情報取扱エリアの入退室は、許可された従業者のみに限定しており、複製が困難なICカードによる入退室管理を実施しています。また、お客さまの個人情報を大量に取り扱う保険事務関連部門では、上記に加えて私物の持込制限等のセキュリティ対策を実施しています。

サイバーセキュリティについて

サイバー攻撃対策

近年、ますます高度化・巧妙化するサイバー攻撃に対し、ネットワークへの不正侵入防御や適切なアクセス制御等の多層的な防御網を構築することによって対応力の強化に努めています。また、業務継続計画にサイバー攻撃への対応シナリオを加えるとともに、実際の攻撃を想定した訓練を定期的に実施しています。

サイバーセキュリティインシデント対応専門組織(CSIRT)の設置

当社は、サイバーセキュリティインシデント対応の専門組織であるCSIRT(Computer Security Incident Response Team)を設置し、日々のインシデント管理や外部機関との情報共有を行うことで被害の未然防止に努めています。また、万一インシデントが発生した際には、迅速な対応を図るために、CSIRTを中心とした態勢を整備しています。

プライバシーポリシー

当社では、お客さまの個人情報の保護に万全を尽くすため、プライバシーポリシーを遵守することを宣言しています。

情報セキュリティへの取組

生命保険業界初、情報セキュリティマネジメントシステムの認証取得

当社は、平成15年6月27日、生命保険業界で初めて、情報セキュリティマネジメントシステム規格のBS7799-Part2およびISMS認証基準での認証を保険事務関連部門において取得しました。また、BS7799-Part2が国際規格(ISO)に採用され、国内のISMS認証基準もISO規格と同等の内容に改定されたことにともない、平成18年6月22日に、ISO/IEC27001(JIS Q 27001)への移行を実施しました。
今後とも情報セキュリティの維持・向上を図り、お客さまの個人情報をはじめとする情報資産の保護強化に努めていきます。

情報セキュリティマネジメントシステム(ISMS)について

情報セキュリティマネジメントシステム(InformationSecurity Management System)は、組織のマネジメントとして、自らのリスク評価により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することを指しています。組織が保護すべき情報資産について「機密性」「完全性」「可用性」をバランスよく維持し改善することが情報セキュリティマネジメントシステム(ISMS)の要求する主要なコンセプトとなっています。

  • 機密性: 認可された者だけが情報にアクセスできることを確実にすること。
  • 完全性: 情報および処理方法が正確であること、および完全であることを確実にすること。
  • 可用性: 認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。

ISO(JIS Q) 27001認定マーク
IS 517456 / ISO 27001

ISO(JIS Q) 27001認定マーク

情報セキュリティの維持・向上について

当社の保険事務関連部門では、お客さま情報をはじめ、すべての情報資産に対して、情報漏洩や改ざん等の危険性を査定し、それを低減させるための施策を体系的に策定、実行しています。
認証取得にあたり、施策が予定どおりに実行され、また、想定した効果が上がっていることを定期的に確認したうえで、必要に応じて改善策を遂行する仕組を構築し、運用しています。

主な取組

  • 全社員(派遣社員を含む)に情報セキュリティポリシーの重要性を理解させ、浸透を図るための教育を実施
  • すべての情報資産に対して、情報漏洩や改ざん等の危険性を査定し、危険性を低減させるための施策を実施
情報セキュリティマネジメントシステム(ISMS)のポイント

下図のようなサイクルを継続的に繰り返すことにより、情報セキュリティレベルの向上を図ります。

  • Plan : 情報セキュリティ対策の具体的計画、方針を策定する。
  • Do : 計画に基づいて対策の実施・運用を行う。
  • Check : 実施した結果の監査を行う。
  • Act : 定期的に見直しを行い、改善する。

Get Adobe Reader

PDFファイルをご覧になるには「Adobe Reader」が必要です。
Adobe Reader, the logo are trademarks of Adobe Systems Incorporated.

このページの先頭へ