当社は、情報セキュリティの定義を情報資産に対する機密性、完全性、可用性の維持とし、維持を脅かすリスクの発生原因を、社内規定に従って脅威、脆弱性の観点から特定するとともに、当社が受容可能なリスクの水準に抑えるため、発生原因に対する適切な管理策を講じます。

（1）情報資産の定義
当社は、情報セキュリティマネジメントの対象である情報資産の定義を当社が保有する各種情報と、各種情報を処理し、または正当に保護・使用するための情報システムの総称であるとしています。 各種情報には、保険契約時に電子データや書面で受け取る顧客情報のほか、業務上知り得た秘密情報や契約書類等のドキュメント、ノウハウ等の知的財産を含みます。また情報システムには、ハードウエア、ソフトウエア、ネットワーク、各種データファイルのほか、ドキュメント(設計書、仕様書、手順書等の各種資料) 、クラウドサービスを利用して保管・処理するデータや、クラウド上で稼働するアプリケーションやシステムを含みます。

（2）情報資産の分類
当社は、各種情報をその重要性や機密性に応じて分類するとともに情報システムを障害等によるダメージリスクに応じて分類しています。

 ①　各種情報の分類
 a.　最重要情報 「重要な情報」のうち漏洩等の行為がなされることにより、当社の顧客に多大な影響を与え、または当社への信頼を著しく失墜させる可能性のある次のような情報をいいます。
・保険契約者の属性や契約情報(機密情報を含む。)
・経営にかかわる機密情報 　　
 b. 重要情報 「重要」な情報として厳格な取扱いを行う次のような情報をいいます。
・情報システムのユーザーID／パスワード
・人事情報
 c.　一般情報 社内および対外的に公開している次のような情報をいいます。
・上記「最重要情報資産」および「重要情報資産」以外の情報
　　
 ②　情報システムの分類 　　
 a.　最重要情報システム 障害等が発生した場合に、当社の契約者や金融システムに多大な影響を与え、または当社への信頼を著しく失墜させる可能性のある以下のような情報システムをいいます。
・契約管理にかかわる基幹システム
・契約者情報を扱うシステム
・資金移動を伴うシステム 　　
 b.　重要情報システム 障害等の発生が当社の業務に及ぼす影響は比較的大きいが、致命的大きさにはならないと判断される、次のような情報システムをいいます。
・ユーザーが限定された社内情報を取り扱うシステム 　　
 c.　一般情報システム 一般業務を取り扱う、次のような情報システムをいいます。
・上記「最重要情報システム」および「重要情報システム」以外のシステム

当社は、情報セキュリティの活動を確実にするため、システムリスク管理態勢を整備し、情報機器の安全管理、情報システムへのアクセス管理等の基準の作成、システムリスク発生時の早期復旧態勢の整備、災害や事故に備えたデータバックアップ体制の整備等に努め、必要に応じて関連部門や外部の専門家等をメンバーとする作業部会を設置することができる体制を敷いています。

当社は、情報機器の安全管理、情報システムへのアクセス管理のガイドラインを策定し、役職員のセキュリティ意識向上に向けた研修を定期的に開催しています。また、情報セキュリティの管理策を講じるに当たり、システムリスク管理上必要な体制や手順の整備等の組織的管理や、役職員への教育・訓練等の人的管理、また、情報資産の授受や保管等における物理的、技術的管理を行い、組織が一体となって情報セキュリティ活動に取り組みます。

当社は、社会情勢の変化や情報技術の進歩等に対応し、新たな脅威から情報セキュリティを維持するべく、定期にシステムリスク管理を見直し、予防や是正活動を通じて、情報セキュリティの維持と継続的な改善を行います。