INFORMATION SECURITY POLICY

情報セキュリティの目的

当グループ及び当グループ各社は、保有する情報資産を想定しうる重大な脅威から守り、そのために合理的に必要となる情報セキュリティの確保に関する施策を実行し、事業活動の継続性及び安定性を確保することが重要な社会的責任であることを深く認識し、これを実現するための情報セキュリティに関する基本方針を次のとおり定める。

※当グループとは、株式会社チェンジホールディングスとその連結子会社（投資事業有限責任組合、特別目的会社、一般社団法人並びに上場子会社及びその子会社を除く。）をいう。

情報セキュリティの定義

当グループ及び当グループ各社における『情報セキュリティ』とは、情報資産を脅威から守り、その情報資産の機密性、完全性及び可用性を確保し、維持することをいう。 機密性：許可された者だけが情報資産にアクセスできることを確実にすること 完全性：情報資産及びその処理方法の正確性及び完全性を保持すること 可用性：必要な時に必要な情報資産にアクセスできることを確実にすること

情報セキュリティの目標

当グループ及び当グループ各社は、情報セキュリティに関する目標として、次のものを設定する。
①情報資産の機密性を確保し、情報資産を漏洩させない
②情報資産の完全性を確保し、情報資産を改ざんさせない
③情報資産の可用性を確保し、必要な情報資産を必要なときに利用できる状態におく
④情報セキュリティに関する事故が発生した場合における、被害最小化のための迅速な復旧と再発防止
　策の実施

適用範囲

当グループ及び当グループ各社は、この方針に基づき、その保有する情報資産のすべてを管理する。
また、当グループの役員及び従業員は、この方針及び関連する規程類を理解及び遵守するとともに、当グループの業務を委託する場合には、当該業務委託先をしてこの方針に準拠した業務が実施されるよう定めた契約等を締結する。

情報セキュリティに関する体制

当グループ及び当グループ各社のうち次の会社については、情報セキュリティに関する責任者として『情報セキュリティ管理責任者』を設置し、また、株式会社チェンジホールディングスにおいては、
情報セキュリティに関する施策を実施するための『情報セキュリティ委員会』を設置する。
・株式会社チェンジホールディングス
・株式会社チェンジ
・株式会社トラストバンク
・株式会社ガバメイツ

情報セキュリティに関するリスクアセスメントの実施

当グループ及び当グループ各社は、情報セキュリティマネジメントシステムの確立及びその維持を、組織の戦略的なリスクマネジメントと整合を図りながら行う。また、情報資産の機密性、完全性及び可用性、情報資産への脅威、並びに情報セキュリティのぜい弱性に関するリスクアセスメントを行ない、高いリスクに対しては適切なリスク低減措置等を実施する。

情報セキュリティに関する法令等の遵守

当グループの役員及び従業員は、著作権法、不正アクセス行為の禁止等に関する法律、個人情報保護法などの情報セキュリティに関連する法令及びガイドライン等を遵守しなければならない。

情報セキュリティに関する教育

当グループ及び当グループ各社は、その役員及び従業員並びに業務委託先に対してこの方針を周知徹底するとともに、情報セキュリティを維持するために必要となる教育を継続的に実施する。

■事業の継続性の確保

当グループ及び当グループ各社は、災害、故障等による事業の中断が生じた場合に備え、この被害を最小限に抑え、事業の継続性を確保するよう必要な措置を講ずる。

情報セキュリティの継続的改善

当グループ及び当グループ各社は、情報セキュリティが維持されていることを点検するために、定期的又は必要に応じて都度の内部監査を実施する。また、情報システム変更、新たな情報セキュリティに関する脅威等の環境変化に対応する見直しを適時に行い、情報セキュリティの継続的な改善を行う。

違反行為への懲戒等

この方針及び関連する規程類に違反した役員又は従業員は、当グループ又は当グループ各社の規程類の定めるところにより懲戒等の対象とする。

制定：2024年5月1日
株式会社チェンジホールディングス
代表取締役兼執行役員社長　福留　大士

※本方針はグループ共通の方針であり、当社の連結子会社（投資事業有限責任組合、特別目的会社、一般社団法人並びに上場子会社及びその子会社を除く。）が適用しています。