当社は、情報セキュリティの定義を情報資産に対する機密性、完全性、可用性の維持とし、維持を脅かすリスクの発生原因を、社内規定に従って脅威、脆弱性の観点から特定するとともに、当社が受容可能なリスクの水準に抑えるため、発生原因に対する適切な管理策を講じます。

（1）情報資産の定義
当社は、情報セキュリティマネジメントの対象である情報資産の定義を当社が保有する各種情報と各種情報を処理し、又は正当に保護・使用するための情報システムの総称であるとしています。 情報資産には、ハードウエア、ソフトウエア、ネットワーク、各種データファイルのほか、ドキュメント(設計書、仕様書、手順書等の各種資料)及び役職員が業務上知り得た顧客情報等を情報システム上で処理するデータ等のほか、業務上知り得た秘密情報や契約書類等のドキュメント、ノウハウ等の知的財産を含みます。

（2）情報資産・情報システムの分類
当社は、情報資産をその重要性や気密性に応じて分類すると共に情報システムを障害等によるダメージリスクに応じて分類しています。
 ①　情報資産の分類
 ●　最重要情報資産 「重要な情報」のうち漏洩等の行為がなされることにより、当社の顧客に多大な影響を与え、又は当社への信頼を著しく失墜させる可能性のある情報
・保険契約者の属性や契約情報(機密情報を含む。)
・経営にかかわる機密情報 　　
 ●　重要情報資産 「重要」な情報として厳格な取扱いを行う情報
・情報システムのユーザーID／パスワード
・人事情報
 ●　一般情報資産 社内及び対外的に公開している情報
・上記「最重要情報資産」及び「重要情報資産」以外の情報 　　
 ②　情報システムの分類 　　
 ●　最重要情報システム 障害等が発生した場合に、当社の契約者や金融システムに多大な影響を与え、又は当社への信頼を著しく失墜させる可能性のある情報システム
・契約管理にかかわる基幹システム
・資金移動を伴うシステム 　　
 ●　重要情報システム 障害等の発生が当社の業務に及ぼす影響は比較的大きいが致命的大きさにはならないと判断される情報システム
・契約者情報を扱うシステム　
・ユーザーが限定された社内情報を取り扱うシステム 　　
 ●　一般情報システム 一般業務を取り扱う情報システム
・上記「最重要情報システム」及び「重要情報システム」以外のシステム

当社は、情報セキュリティの活動を確実にするため、システムリスク管理態勢を整備し、情報機器の安全管理、情報システムへのアクセス管理等の基準の作成、システムリスク発生時の早期復旧態勢の整備、災害や事故に備えたデータバックアップ体制の整備等に努め、必要に応じて関連部門や外部の専門家等をメンバーとする作業部会を設置することができる体制を敷いています。

当社は、情報セキュリティの管理策を講じるに当たり、システムリスク管理上必要な体制や手順の整備等の組織的管理や、従業者への教育・訓練等の人的管理、また、情報資産の授受や保管等における物理的、技術的管理を行い、組織が一体となって情報セキュリティ活動に取り組みます。

当社は、社会情勢の変化や情報技術の進歩等に対応し、新たな脅威から情報セキュリティを維持するべく、定期にシステムリスク管理を見直し、予防や是正活動を通じて、情報セキュリティの維持と継続的な改善を行います。