情報セキュリティ基本方針

当社は、沖縄県の公共交通の要の一つとして、県民および来県された方々を安全かつ定時に、それぞれの目的地にお運びする役割を担う軌道系公共交通機関である。

その役割を達成するために、陰で支えているものの一つが情報システムであることは言うまでもない。
その情報システムについて当社は、大きく分けて鉄道事業を支えるシステムと会社運営を進めるための管理業務系システムを同時に運用している。前者はモノレールの運行業務や駅業務に係るシステムであり、お客様を安全に輸送するための最重要システムとして堅確に維持されなければならない。また後者は、鉄道事業および会社運営を円滑に進めるために欠かせないものである。

したがって、当社の事業目的を達成するために、当社は両システムの併存を認識しつつ、情報セキュリティ上の３大要素である機密性（情報アクセス権限の明確性）および完全性（データの最新かつ正常維持能力）、可用性（継続可動能力）の維持に努めなければならない。

本情報セキュリティ基本方針は、その実現に向けてなすべきことを定めており、同方針にもとづいて、情報セキュリティ活動に対する経営者によるレビューを実施し、継続的改善に取り組むこととする。

1. 情報セキュリティマネジメント体制の確立

当社は、情報セキュリティ活動の推進および改善に必要な組織を確立する。また、情報セキュリティマネジメントシステム (以下、ISMSという)を推進する体制を整備し、ISMS管理責任者を設置し、情報の管理に対する役割と責任を定める。

2. セキュリティ対策の実施

情報資産を保護するため、リスクアセスメントを実施し、情報漏洩対策、不正アクセス対策、ウイルス対策、信頼性対策など、情報システムに対するリスク対応計画を実施する。

3. 継続的な改善と内部監査

経営環境の変化および社会環境や法規制の変化、情報関連技術の最新動向、新たに発見されたリスクへの対応を含め、本基本方針を適宜見直し、継続的な改善を実施する。また、定められた規則に適合していることを明確にするために定期的な内部監査を実施する。

4. 法令および国が定める規範、契約上の要求事項への適合

情報セキュリティに関連する法令、国が定める規範または契約上の義務ならびにセキュリティ上の要求事項、社内規程等を遵守する。

5. 業務委託に関するセキュリティ対策

業務の外部委託について、当社の機密情報および個人情報の保護の観点から、委託先の適格性の審査、契約の内容に関する見直し、改善を図る。

6. セキュリティ事故の予防と発生時の対応

情報セキュリティ事故の予防に努めるとともに、万一、事故が発生した場合には、再発防止策を含む適切な対策を速やかに講じる。

7. 情報セキュリティに関する教育・訓練

情報資産を利用する当社従業者に対し、情報セキュリティの重要性および情報資産の適切な取り扱いと管理について、定期的な情報セキュリティ教育・訓練を実施する。

8. 事業継続管理

偶発的に発生する災害・故障・過失及び意図的に発生する情報資産の悪用などによる事業の中断を可能な限り抑制し、事業の継続を確保する。