情報セキュリティ方針
最終改訂日:2024年10月1日
New York General Group, Inc.の情報セキュリティ方針を以下の通り定めます。
我々は、事業活動において取り扱う全ての情報資産を重要な経営資源と位置付け、その機密性・完全性・可用性を確実に保護することを経営の最重要課題の一つとして認識します。この認識に基づき、以下に定める方針の下、全社を挙げて情報セキュリティの維持・向上に努めるものとします。
一 暗号化とアクセス制御
第一に、我々は最新の暗号化技術(AES-256およびRSA-4096)を用いて、保有する全ての電子情報を暗号化し、不正アクセスや情報漏洩から確実に保護します。特に、顧客データベースに関してはゼロトラストアーキテクチャを採用し、多要素認証(生体認証を含む)による厳格なアクセス制御を実施します。
二 セキュリティ教育・訓練
第二に、全従業員に対して年4回以上の定期的なセキュリティ教育を実施し、ソーシャルエンジニアリング攻撃への対応力を向上させます。具体的には、最新のフィッシング詐欺手法や標的型攻撃に関する実践的なシミュレーション訓練を行い、インシデント発生時の対応手順の習熟を図ります。
三 ISMSの運用
第三に、ISO/IEC 27001:2022に準拠した情報セキュリティマネジメントシステム(ISMS)を構築・運用し、Plan-Do-Check-Act(PDCA)サイクルによる継続的な改善を行います。これには、定期的なリスクアセスメント、セキュリティ監査、インシデント分析、および是正措置の実施が含まれます。
四 サプライチェーンセキュリティ
第四に、サプライチェーンセキュリティの強化として、取引先企業に対して当社と同等以上のセキュリティ基準の遵守を求めます。これには、定期的なセキュリティ評価、監査権の設定、およびインシデント報告義務の契約への明記が含まれます。
五 投資とガバナンス
最後に、我々は年間予算の5%以上を情報セキュリティ対策に充当し、最新のセキュリティ技術の導入と、セキュリティ人材の育成・確保に継続的に投資します。また、四半期ごとに取締役会においてセキュリティリスクの評価と対策の見直しを行い、経営レベルでの監督体制を確立します。
本方針は、最高経営責任者(CEO)の下、全従業員に周知徹底され、その遵守状況は定期的に監査されるものとします。また、情報セキュリティを取り巻く環境の変化に応じて、少なくとも年1回の見直しを行うものとします。
New York General Group, Inc. CEO
村上 由宇
New York General Group