情報セキュリティ基本方針
当社グループは、社会に開かれた決済・金融を提供するプラットフォーマーとしての責任と役割に向き合い、信頼される企業であり続け、社会への責任を果たすため、事業活動において取り扱う全ての情報資産が重要な経営資源および重要課題であることを認識し、以下の基本方針を策定して情報セキュリティの確保と継続的な向上に取り組むことを宣言いたします。
  • 情報セキュリティに関する各種ルールの整備と遵守
    当社グループは、情報資産を保護するための各種規程やガイドライン、マニュアル等のルールを策定し、全従業員(派遣・契約社員、アルバイト、取引先などを含む)に周知徹底します。
  • 情報セキュリティ管理体制の確立
    当社グループは、情報セキュリティを統括し、総合的に管理する情報セキュリティ推進責任者を任命するとともに、関連部門が連携して取り組む体制を整えます。
    経営層は十分なリソースを確保・提供し、リスクマネジメントを含む情報セキュリティ対策を組織として計画・実行します。インシデントが発生した場合の報告・連絡体制や迅速な対応手順を明確にし、被害の最小化と早期復旧、再発防止を図ります。
  • 情報セキュリティに関する教育
    当社グループは、全従業員のセキュリティ意識と知識を高めるため、定期的に情報セキュリティに関する教育・研修を実施します。教育内容は社会情勢や技術の変化を踏まえ、定期的に見直し、常に効果的な啓発活動を行います。
  • リスク評価と対策の実施
    情報資産に対する脅威を分析・評価し、リスクに応じた適切な対策を実施します。組織的、人的、技術的、物理的な側面から総合的に情報セキュリティ対策を講じます。
  • 情報セキュリティ対策の継続的改善
    情報セキュリティマネジメントシステムの有効性を定期的に評価し、継続的な改善に努めます。
  • 情報資産の保全・保護
    当社グループが保有・管理するすべての情報資産(電子データ、紙媒体、ITインフラ、ネットワーク、設備など)について、機密性・完全性・可用性を維持できるよう、必要なセキュリティ対策を講じます。
  • 業務委託先の管理
    当社グループは、業務を委託する場合、選定時及び定期的なチェック等を通じて委託先を適切に監督し、委託先が当社と同等以上のセキュリティレベルを維持するよう努めています。
    万が一情報漏えい等が発生した場合には、被害拡大の防止および原因究明・再発防止策を迅速に実施します。
  • 法令等の遵守
    当社グループは、個人情報保護法をはじめとする関連する法令やガイドライン等の要求事項を遵守し、情報セキュリティの向上に取り組みます。
    法令や規範への不遵守を防ぐため、定期的に関連法規や規定の改正情報を収集し、社内ルールの見直しや全従業員への周知を徹底します。

本方針は、当社グループの全従業員、ならびに当社グループの情報資産に接する全ての関係者に適用されます。私たちは、この方針を遵守し、情報セキュリティの維持・向上に取り組むことで、お客様や社会からの信頼に応えてまいります。

2025年1月制定

ガバナンス体制

情報セキュリティ委員会

情報セキュリティ責任者を委員長として、各組織の情報セキュリティ管理者で構成する情報セキュリティ委員会を設け、全社横断組織として情報セキュリティ施策の推進・管理に努めています。
また、効果的なセキュリティ施策を実行するために、情報セキュリティ推進担当を設置し、情報セキュリティの施策や計画の迅速な推進・調整を行っています。

情報セキュリティ管理者

当社は、情報資産の保護および適切な管理を行い、役職員への支援及び各部門の情報セキュリティ対策の統括管理を行うため情報セキュリティ管理者を配置しています。

体制図

情報セキュリティ委員会体制図

セキュリティ向上に関する取り組み

組織的対策

法令遵守

各種の法令・規制その他の規範、お客さまや取引先及び従業員等との契約を遵守し、情報資産を適正に取り扱っています。

継続的改善

リスクの変化に対応し、組織や事業におけるリスク対応を定期的に見直し評価することで情報セキュリティの継続的な改善を行っています。

情報資産の管理

当社が取り扱う情報資産について機密性、完全性及び可用性を確保し、維持しています。

緊急事態への対応

災害等の緊急事態を想定し、その対応手順および体制等を定め、事業および情報セキュリティに及ぼす影響を極小化すべく備えています。

業務委託先の管理

業務を委託する場合、選定時及び定期的なチェック等を通じて委託先を適切に監督し、委託先が当社と同等以上のセキュリティレベルを維持するよう努めています。

個人情報の取り扱い

ユーザーの皆様に安心してサービスをご利用いただけるよう、プライバシー対策の実施・強化・徹底に努めています。

詳細はプライバシーポリシーをご確認ください。

人的対策

秘密保持契約

全ての雇用者に対して秘密保持契約を締結しています。

情報セキュリティ意識の向上

全ての役職員に対して情報セキュリティに関する教育を定期的に実施しています。

技術的対策

システムのセキュリティ対策

各攻撃を防ぐための対策、攻撃を受けた場合に備えた準備等を定め、体制を構築し、あらゆる脅威から情報資産を保護し、セキュリティの確保・向上に努めています。

脆弱性診断

潜在的な脆弱性を検出するためにプラットフォーム及びアプリケーションについて定期的な脆弱性診断を実施しています。
発見された脆弱性は、脆弱性管理プロセスに基づき修正しています。

モニタリング

不正アクセスなど、さまざまなイベントをモニタリングしユーザーへの影響が高い事象が確認された場合には迅速に対処しています。

物理的対策

境界の設置

取り扱う情報資産に応じて物理的セキュリティ境界を設置し、そのアクセスを適切に監視しています。

情報端末の管理

会社より必要なセキュリティ管理ツールを入れたPCを貸与し、当該PCにより業務を行うことを定めています。

第三者認証の取得

ユーザーが安心安全にサービスを利用できるよう、第三者機関によるセキュリティ関連の認証を受けています。
BASE株式会社においては、クレジット業界におけるグローバルセキュリティ基準であるPCI-DSSのSAQ-Aを取得しています。
PAY株式会社においては、クレジットカード情報を保持しているため、PCI-DSS Version3.2.1に完全準拠した運用でクレジットカード情報を管理しています。