2024年4月3日
西日本旅客鉄道株式会社
取締役兼執行役員デジタルソリューション本部長
奥田 英雄

1．情報セキュリティの定義及び重要性

情報セキュリティとは、情報の機密性・完全性・可用性を維持することであり、情報が必要なときに、完全な形で、その情報へのアクセスを認可された者だけがアクセスできるようにしておくことである。このことは、お客様の情報を取り扱う西日本旅客鉄道株式会社 デジタルソリューション本部 WESTER-X事業部（以下、「当組織」という。）にとって重要な課題である。

2．目的

• 当組織は、JR西日本グループが提供する、24時間365日お客様お一人おひとりの生活に寄り添う会員サービスを安全に提供する際の、必要な情報セキュリティを確保するために情報セキュリティマネジメントシステムを構築し、維持改善する。

3．適用範囲

この情報セキュリティマネジメントシステムは、当組織で取り扱われる全ての情報資産及び要員に適用する。

4．顧客・法令・規制要求事項、並びに契約に基づくセキュリティ義務の考慮

当組織に属する要員は別紙「法規制一覧表」に定めた関連法規を遵守しなければならない他、顧客要求事項、並びに契約に基づくセキュリティ義務を考慮しなければならない。

5．ISMSにおける組織の確立

当組織は、情報セキュリティマネジメントシステム維持の為の最高責任者としてWESTER-X事業部長を“ISMS管理責任者” に任命する。この“ISMS管理責任者”のもと、各部署から選任された委員によって構成される“ISMS委員会”によって全ての情報セキュリティ関連の活動を統制する。

6．セキュリティ教育の実施

関連する全ての要員に対して、当組織はその職務に応じ必要な情報セキュリティ教育を提供する。要員は全て提供された教育を受けなければならない。

7．事業継続管理

当組織は、事業活動の中断に対処するとともに、重大な障害又は災害の影響から重要な業務手続を保護することを目的に事業継続管理の手続きを定める。全ての要員は、その手続きに従って当組織の事業継続を図るものとする。

8．セキュリティポリシー違反の結果に関する説明

ISMSで規定された内容に違反する行為を行った要員は、その程度に応じて就業規則に定めるところにより懲戒を受ける場合がある。

9．セキュリティ事故の報告

情報セキュリティに関連する事故が発生した場合は、事故の発見者は速やかに情報管理者、又は上司にその内容を報告しなければならない。また、情報管理者、及び上司は事故原因の分析を実施し、必要があると判断した場合は速やかに対策を講じるものとする。

10．評価されるべきリスクの基準

当組織において考慮すべきリスクとは、機密情報の漏洩・予期しないサービス停止・情報改竄等の脅威によって引き起こされる様々なリスクをいう。

11．リスクアセスメントの構造

当組織は、その保有する情報資産全てに対して、望まれない状態としてどのような状態が考えられるか、それを引き起こす原因はどの程度あるのか、関連する情報資産は当組織にとってどの程度価値あるものか、という要因によって情報セキュリティにおけるリスクアセスメントを行う。このアセスメントの結果に基づいて、適切な対策を講じていくものとする。