ナビゲーションをスキップする

個人情報保護および情報セキュリティへの取組

近年、ITの急速な発展とともに、ネットワークの高度化・複雑化、サービスの多様化が進み、企業とお客さまとの間で、ネットワークを介して重要な情報のやり取りを行うことが可能になりました。これに伴い、これまで以上に企業における個人情報の保護、情報セキュリティへの取組が重要となってきています。
当社は、お客さまの利便性向上のため、ネットワークを利用した先進的なサービスの提供を推進するとともに、生命保険会社として、お客さまからお預かりした大切な情報を適切に管理し、情報セキュリティ対策を講じることを重要な経営課題の一つと位置づけ、積極的に取り組んでいます。

個人情報保護

個人情報の保護推進への取組

当社は、「プライバシーポリシー」、「情報セキュリティポリシー」、「個人情報保護規程」等を制定し、これらに則り、お客さまの個人情報を適切に取り扱うよう努めております。
また、お客さまの個人情報保護とプライバシー保護の徹底を図るため、役員・社員(派遣社員を含む)に対して計画的に情報セキュリティ研修を実施しています。

個人情報保護に関するセキュリティ対策

個人情報保護にかかる安全管理措置基準について

個人情報の取得、利用、保管、廃棄までの各段階において留意すべき安全管理措置基準を具体的に定め、当社の役員・社員(派遣社員等を含む)が遵守することを徹底しています。

オフィスセキュリティについて

個人情報取扱エリアの入退室は、許可された従業者のみに限定しており、複製が困難なICカードによる入退室管理を実施しています。また、お客さまの個人情報を大量に取り扱う保険事務関連部門等では、上記に加えて私物の持込制限等のセキュリティ対策を実施しています。

サイバーセキュリティについて

サイバー攻撃対策

近年、ますます高度化・巧妙化するサイバー攻撃に対し、ネットワークへの不正侵入防御や適切なアクセス制御等の多層的な防御網を構築することによって対応力の強化に努めています。また、お客さま向けのWEBサービスをはじめ、ペーパーレスでの手続時においても通信を暗号化するなど、お客さまに関する大切な情報が盗まれたり改ざんされたりすることを防いでいます(詳細はセキュリティ情報をご参照ください)。その他、業務継続計画にサイバー攻撃への対応シナリオを加えるとともに、実際の攻撃を想定した訓練を定期的に実施しています。

サイバーセキュリティインシデント対応専門組織(CSIRT)の設置

当社は、サイバーセキュリティインシデント対応の専門組織であるCSIRT(Computer Security Incident Response Team)を設置し、日々のインシデント管理や外部機関との情報共有を行うことで被害の未然防止に努めています。また、万一インシデントが発生した際には、迅速な対応を図るために、CSIRTを中心とした態勢を整備しています。

プライバシーポリシー

当社では、お客さまの個人情報の保護に万全を尽くすため、プライバシーポリシーを遵守することを宣言しています。

情報セキュリティへの取組

生命保険業界初、情報セキュリティマネジメントシステムの認証取得

当社は、2003年6月27日、生命保険業界で初めて、情報セキュリティマネジメントシステム規格のBS7799-Part2およびISMS認証基準での認証を保険事務関連部門において取得しました。また、BS7799-Part2が国際規格(ISO)に採用され、国内のISMS認証基準もISO規格と同等の内容に改定されたことにともない、2006年6月22日に、ISO/IEC27001(JIS Q 27001)への移行を実施しました。
2024年7月現在は、システム関連部門を対象に認証を継続しており、今後とも情報セキュリティの維持・向上を図り、お客さまの個人情報をはじめとする情報資産の保護強化に努めていきます。

情報セキュリティマネジメントシステム(ISMS)について

情報セキュリティマネジメントシステム(Information Security Management System)は、組織のマネジメントとして、自らのリスク評価により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することを指しています。組織が保護すべき情報資産について「機密性」「完全性」「可用性」をバランスよく維持し改善することが情報セキュリティマネジメントシステム(ISMS)の要求する主要なコンセプトとなっています。

  • 機密性: 認可された者だけが情報にアクセスできることを確実にすること。
  • 完全性: 情報および処理方法が正確であること、および完全であることを確実にすること。
  • 可用性: 認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。
ISO(JIS Q) 27001認定マーク
IS 517456 / ISO 27001

ISO(JIS Q) 27001認定マーク

情報セキュリティの維持・向上について

当社のシステム関連部門では、お客さま情報をはじめ、すべての情報資産に対して、情報漏洩や改ざん等の危険性を査定し、それを低減させるための施策を体系的に策定、実行しています。
認証取得にあたり、施策が予定どおりに実行され、また、想定した効果が上がっていることを定期的に確認したうえで、必要に応じて改善策を遂行する仕組を構築し、運用しています。

主な取組

  • 全社員(派遣社員を含む)に情報セキュリティポリシーの重要性を理解させ、浸透を図るための教育を実施
  • すべての情報資産に対して、情報漏洩や改ざん等の危険性を査定し、危険性を低減させるための施策を実施

情報セキュリティマネジメントシステム(ISMS)のポイント

下図のようなサイクルを継続的に繰り返すことにより、情報セキュリティレベルの向上を図ります。

  • Plan : 情報セキュリティ対策の具体的計画、方針を策定する。
  • Do : 計画に基づいて対策の実施・運用を行う。
  • Check : 実施した結果の監査を行う。
  • Act : 定期的に見直しを行い、改善する。
PDCA

ページトップへ