情報セキュリティ

基本的な考え方

当社グループは、情報セキュリティの確保を経営上の重要事項と位置づけ、お客さまからお預かりした情報資産及び当社グループの情報資産をさまざまな脅威から保護するために、情報セキュリティに関わる規程と体制を整備し、グループ全体で情報セキュリティ強化を継続的に行っています。

 

情報セキュリティに関わる規程

グループ全体の情報セキュリティ水準の底上げを図ることを目的として、南海グループ情報セキュリティ標準規程(下図:00-02)を制定しています。特に当社では、重要インフラ事業者として適切な情報セキュリティ強化を図ることを目的として、国際機関CISAの発行する「CSF(NISTサイバーセキュリティフレームワーク)」及び国土交通省の発行する「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」をベースとした南海電鉄情報セキュリティ規程(下図:03-15)を制定しています。
また、当社グループでは個人情報を最重要情報資産と位置づけ、個人情報を適切に利用・保護することを重要な責務と考えて「南海電鉄プライバシーポリシー」を制定し、運用しています。各事業部門や当社グループ会社においても事業内容に応じてプライバシーポリシーを定め社内外に公表し、運用しています。また、管理体制を整備するとともに、お客さまからのお問い合わせ窓口を設置しています。さらに、マイナンバーや特定個人情報の取り扱いに関しては、社内規程(下図:16-18)を整備し、適切な安全管理措置に努めています。

 

情報セキュリティに関わる体制

グループトップ会議の直下に情報セキュリティ委員会を設置し、リスク管理委員会と連携を取りながら、グループ全体の情報セキュリティ強化を推進しています。情報セキュリティ委員会の指示のもと、各部門や当社グループ会社において情報セキュリティ施策を実施する一方で、IT運用管理者と監査機関が連携し、情報セキュリティ施策における管理、支援、監査を行っています。
また、情報セキュリティ委員会直下にCSIRT(Computer Security Incident Response Team)を構築し、有事のITインシデント発生時の迅速な対応や、平時の関係各所との情報連携、訓練及び教育などにより情報セキュリティに関する意識の醸成に取り組んでいます。