セキュリティポリシー（情報資産管理方針）

金庫は、重要インフラである金融サービスの担い手であることを踏まえ、国民生活や社会活動に重大な影響を及ぼすことなく、サービスの安全かつ持続的な提供を実現するために、情報セキュリティの強靭性を確保し、情報資産を適切に管理・保護することを目的として本ポリシーを定めます。本ポリシーは、情報資産に係るセキュリティ管理に関して、その他の規程類に優先します。

金庫は、情報セキュリティの重要性を認識し、情報資産の漏えい、滅失、改ざん、重要な情報システムの停止等による損失や金庫の社会的な信用の失墜を防ぎます。

金庫は、事業活動に関わるすべての情報（非電子情報を含む）、事業活動に用いるすべてのシステムを情報資産ととらえ、適切に管理・保護します。

経営陣は、自らのリーダーシップの発揮により各業務・企画・広報・コンプライアンス・リスク管理・監査などの金庫内の連携および、顧客・外部機関等との連携を適切に実施するためのガバナンスを確立します。また、情報セキュリティ確保に向けた組織風土を醸成するとともに、金庫の重要業務やリスクに応じて対策を推進します。

金庫は、情報資産管理の統括責任者を設置し、情報資産管理態勢を整備するとともに、情報資産管理規程を中心とする情報資産管理の庫内基準を定め周知します。
また、情報資産のうち電子情報および情報セキュリティ対策を統括する電子情報統括責任者を設置し、管理態勢を整備します。態勢整備にあたっては、サプライチェーン全体を考慮して情報セキュリティ対策を検討し、業務プロセス全体を対象とした情報セキュリティ管理態勢を確保のうえ、情報資産に対する不正使用、破壊、盗難または情報漏えい、障害、災害、誤処理などの脅威を正確に把握し、関連規程類にのっとり安全対策を講じます。
また、各部門長は、電子情報管理者として本ポリシーおよび関連規程類の定めるところにより、自部門の情報セキュリティ管理態勢を確保します。

サイバー攻撃が複雑化・巧妙化し、サービス提供を阻害するリスクとなっていることを踏まえ、金庫は、適切な情報資産管理のためにサイバーセキュリティの確保が不可欠であることを認識のうえ、複数年計画および単年度計画を策定し、定期的なリスク評価に基づいて計画的かつ実効的に対策を講じます。

金庫は、情報資産を重要度に応じて分類し、適切な保護策等を講じます。

金庫は、情報資産を本来の目的にのみ使用し、目的外に利用しません。

金庫は、監査結果や関係主体等（顧客、地域社会、会員、当局等）からの要求事項や、法規制等の内外環境を踏まえ、情報セキュリティを含む情報資産に対する点検・管理策の見直しを定期的に行い、必要に応じて改善策を実施します。改善策の検討にあたっては、必要に応じて外部専門家（弁護士、セキュリティベンダー等）の支援を受けることを検討します。

金庫は、情報資産を取り扱うすべての役職員が、関係する法令、本ポリシーその他の関連規程の内容を理解し、情報セキュリティ上の対応を適切に実施できるよう、必要な人材育成・教育・訓練を継続的に行います。

金庫は、情報資産の取扱いを外部に委託するにあたり、当該事業者等に必要なセキュリティ要件を明示し、金庫と同等、またはそれ以上のセキュリティ対策を維持するよう求めます。また、契約締結後も遵守状況を定期的に確認し、適切な監督を行います。

金庫は、経営上の意思決定および業務遂行にあたり、個人情報、知的財産権の保護等情報資産管理に関する法令、金庫の法令等遵守方針および関連規程等を遵守します。

金庫は、このポリシーに違反する行為が発生したときには、理事長自らが問題解決にあたる姿勢を表明し、原因の究明や対応および再発防止に努めるとともに、会員および社会に対して迅速かつ的確な情報の公開と説明責任を遂行します。

金庫は、内部監査関連規程類に基づき、本ポリシーや情報資産管理関連規程類の遵守状況と、情報セキュリティ管理を含む情報資産管理策の有効性・妥当性を、定期的にまた状況変化に応じて監査します。
また、経営リスク管理委員会において、定期的に管理状況をモニタリングします。

以　上

このポリシーは、2007年3月28日に制定し、2007年4月1日より実施する。
このポリシーは、2014年3月26日に一部改正（コンプライアンス・マニュアル改正）し、2014年4月1日より実施する。
このポリシーは、2021年3月24日に改正し、2021年4月1日より実施する。
このポリシーは、2025年3月26日に改正し、2025年4月1日より実施する。