サイバーセキュリティ管理基本方針

東海労働金庫は、お客さまの重要な情報を保護し適切な安全管理を実現するため、脅威を増すサイバー攻撃に対するセキュリティ対策およびセキュリティリスクへの対応を重要な経営課題として捉え、当金庫が保有する情報資産の機密性・完全性・可用性を維持し、事業継続性および社会的信頼の維持を図ることを目的とし、以下の事項に取り組みます。

1. 1.
   サイバーセキュリティ対応を進めるにあたっては、サイバーセキュリティ基本法、金融分野におけるサイバーセキュリティに関するガイドライン、その他サイバーセキュリティに関する関係諸法令等を遵守し、コンプライアンスの徹底を図るとともに、サイバーセキュリティ対策部会を設置し、そのもとで定期的なセキュリティリスク評価を行い、新たな脅威や脆弱性に迅速に対応できるよう管理態勢の整備に努めることで、健全な企業活動とステークホルダーとの信頼関係を維持します。
2. 2.
   経営陣は、サイバーインシデント（ネットやシステムに関するトラブルの総称）による業務の中断が、お客さまに大きな影響を与え、金融機関等ひいては金融システムの信頼に大きな影響を与えかねない重大なリスクであることを認識のうえ、自らがサイバーセキュリティリスクと向き合い、リーダーシップを発揮し、基本方針の策定、体制整備、施策の実行・評価等のサイバーセキュリティ管理態勢を構築します。
3. 3.
   平時および緊急時のいずれにおいても、労働金庫業態との適切なコミュニケーションを図るとともに、顧客・地域社会・関係省庁・関係団体とサイバーセキュリティ対策にかかる透明性・説明責任に努めます。また、情報漏えい等のインシデント発生時には、迅速かつ誠実な対応と必要な報告を行い、被害の最小化と再発防止に努めます。
4. 4.
   緊急時は、インシデントフローに従って適切に対応し、影響の極小化に努めます。
   平時においては、ＣＳＩＲＴ（Computer Security Incident Response Team：サイバーインシデントに対応する当金庫内専門チーム）を設置し、脅威の監視、対策運用を２４時間３６５日体制で実施します。
5. 5.
   当金庫が提供する商品・サービスについては、セキュリティ・バイ・デザイン（企画・設計の段階から情報セキュリティ対策を考慮する考え方）を実践します。
6. 6.
   当金庫は、役職員へのサイバーセキュリティ対策の浸透を念頭に、必要な研修・訓練を定期的に実施します。
7. 7.
   外部委託先などのサードパーティ（第三者として関わる外部の会社）に対し、サイバーセキュリティ対策状況のモニタリングを通してリスク管理を実施します。