企業その他

情報セキュリティ基本方針

北海道旅客鉄道株式会社（以下、「当社」という。）は、サイバー攻撃等の脅威から情報資産を保護するため、「情報セキュリティ基本方針」を定めて全社員がこれを順守し、組織をあげて永続的に多様なサイバーリスクの把握に努め、多面的（技術・人・組織・物理）に情報セキュリティの向上を推進していきます。

1. 経営層の関与

当社の経営層は情報セキュリティの確保を「重要な経営課題」と認識し、永続的に情報セキュリティの向上を積極的に実行します。

2. 法令等の遵守

情報セキュリティに関する法令および行政機関が定めた方針・ガイドライン等を遵守します。

3．情報セキュリティ推進体制の整備

情報セキュリティに関する責任を明確にし、対策を実施するための体制を整備します。

4．関連規程類の整備

この情報セキュリティ基本⽅針に基づく規程類及びガイドライン等を整備し、これを遵守します。

5. 情報資産の保護

多様なサイバーリスクから情報資産を保護するために、情報技術による対策、運用と管理による対策、手順やルールによる対策、物理的な対策等を行います。

6. 情報システムのセキュリティ対策

情報システムの特性に応じたセキュリティ対策を実施し、不正行為から情報システムを保護します。

7. 情報セキュリティ事故発生時の対応

情報セキュリティ事故が発生した場合には、応急処置、原因究明、対策を迅速に実施し、再発防止に努めます。

8. 委託先の管理

情報資産を取り扱う業務を外部に委託する際には、情報が外部に流出することを防ぐために、委託先の適格性を確認し、秘密保持等必要な契約を締結します。

9. 教育・啓発活動の実施

情報セキュリティ事故を未然に防ぐために、社員等に対する教育・啓発活動を継続的に実施します。

10. 継続的な維持・改善

法令改正や社会情勢の変化、最新の脅威などに的確に対応するために、情報セキュリティ対策の運用状況を定期的に把握し、継続的な維持・改善に取り組みます。