情報セキュリティ基本方針

弊社は、企業理念である「お客様、取引先の方々から信頼される企業として社会の発展に貢献すること」の実現と社会的責任を果たすために、情報セキュリティマネジメントシステム(ISMS)を構築し、安心・安全なサービスを提供します。

  1. ISMSを構築し運用するにあたり、JIS Q 27001:2014規格、情報セキュリティに関連する法令、契約及びその他の要求事項を満たし遵守します。
  2. お客様及び取引先企業様からお預りした個人情報をはじめ、弊社が保有する全ての情報資産を、社内外のあらゆる脅威(不正アクセス、ウイルス感染、漏えい、改ざん、紛失、盗難など)から保護し、機密性・完全性・可用性を維持するために、リスクアセスメントを行い適切な対策を講じます。
  3. 重大な障害や災害により事業及びサービスを中断させないために、予防及び回復手順を含む事業継続計画を策定します。
  4. 経営環境の変化や法改正などに適切に対応するために、定期的にISMSを見直し、継続的な改善を行います。
  5. 情報セキュリティ基本方針を文書化して維持し、役員、従業者及び業務委託先に周知し遵守させます。

情報セキュリティへの取組み

ISO/IEC 27001:2013認証取得

弊社では、情報セキュリティマネジメントシステム(ISMS)に関する国際規格である「ISO/IEC 27001:2013」の認証を取得しております。

ISMS認証取得の概要
適用規格 ISO/IEC 27001:2013 JIS Q 27001:2014
登録証番号 IS 643198
審査機関 BSIグループジャパン株式会社
認定機関 ANAB(米国認定機関)
JIPDEC(一般財団法人 日本情報経済社会推進協会)
ISMS認証

ISO/IEC 27001:2013
世界150カ国が加盟するISO(国際標準化機構)により業務における情報セキュリティの側面をマネジメントするための枠組みを規定した国際規格です。

JIS Q 27001:2014
国際規格であるISO/IEC 27001:2013を基に技術的内容及び対応国際規格の構成を変更することなく作成した日本工業規格です。

プライバシーマーク認定取得

プライバシーマーク

弊社では、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合していることが認められ、プライバシーマークの付与認定を取得しております。

プライバシーマーク制度
日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合した、個人情報の適切な保護措置を講ずる体制を整備している事業者などを認定し、その旨を示すプライバシーマークの付与・使用を認める制度です。
※一般財団法人 日本情報経済社会推進協会 Webサイトより引用

シマンテック グローバル・サーバ ID EVの導入

弊社のWebサイトは、世界最高水準のセキュリティ強度をもつサーバ証明書「シマンテック グローバル・サーバ ID EV」を導入しています。

シマンテック グローバル・サーバ ID EVは、次の機能により弊社のWebサイトを安全で信頼性の高いサイトとして保護しています。

  • ・EV SSLサーバ証明書(ブラウザーに緑色のアドレスバーを表示)でWebサイトの信頼性を確保。
  • ・Webサイトの日次マルウェアスキャンや脆弱性アセスメントにより、ハッカーからWebサイトを保護し攻撃を防御。
  • ECC (楕円曲線暗号) による暗号の強化やSHA-2(次世代ハッシュ関数) デジタル署名などの次世代暗号技術により、強固なセキュリティを確保。
  • ・ノートン セキュアドシール、シールインサーチ技術の採用により、弊社Webサイトへアクセスするお客様を保護。

ブラウザでの EV SSL証明書の表示(Internet Explolerの場合)

EV SSL

認証局世界最大手シマンテックの特徴
1996年に日本ベリサインとして国内で初めて商用 SSLサーバ証明書 の販売を開始し、幅広い業種・企業様に採用され続けています。
※シマンテックWebサイトより引用

常時SSLの採用

弊社のWebサイトは、全てのページをSSL暗号化するセキュリティ手法である「常時SSL」を採用しています。

常時SSL

現在、無料の公衆無線LAN(構内情報通信網)Wi-Fiのご利用が急増している中で、お客様のセキュリティを守ることは重要な課題だと考えています。

弊社では、個人情報・ID・パスワードなどを入力するWebページだけではなく、全てのWebページにSSL暗号化を採用することで、ご利用者の情報(Cookieなど)も盗聴から保護しています。

社内スタッフの情報セキュリティ対策

1.入退室管理

監視カメラ
  • ・オフィスの出入口に監視カメラを設置し、スタッフ及び外来者の入退室を録画しています。
  • ・オフィスの出入口に指紋認証を設置し、外来者が入室できないように管理しています。
  • ・業務エリアへの私物(鞄、モバイルデバイス、USBデバイス、ストレージデバイスなど)の持込みを禁止しています。

2.情報セキュリティ研修

情報セキュリティに関する研修を、入社時、毎年及び必要に応じて実施し、全てのスタッフと「秘密保持に関する誓約書」を交わしています。

3.情報セキュリティ内部監査

毎年内部監査を実施し、情報セキュリティ対策の遵守及び個人情報の取扱い状況を確認しています。

4.PC管理

全てのPCが、BIOSパスワード及び指紋認証でロックされており、あらかじめ承認したスタッフ以外は使用できません。

5.モバイルデバイス管理

全てのモバイルデバイスは、紛失事故に伴うリスクを回避するために、生体認証(指紋または虹彩)を搭載したものを使用しています。ただし、一部のPCではBIOSパスワードを使用し、タブレットではパスワードロックを使用しています。

6.アクセス管理

  • ・個人情報及び重要秘密情報の漏えい対策として、職務に応じたアクセス権限を定めて管理しています。
  • ・社外から弊社のサーバにアクセスできるモバイルデバイスは、あらかじめ承認したデバイスに制限し、管理しています。

7.ソフトウエア管理

不正なソフトウエアのインストールを防止するために、管理者が承認したソフトウエアのみインストールするよう制限し、管理しています。

8.業務PC監視システムの導入

SKYSEA
  • ・全てのPCに、業務監視システムを導入し、画面操作を全て録画しています。
  • ・承認されていないソフトウエアのインストールや、業務に不要なWebサイトの閲覧及び書込みなど、社内規定に違反する行為を感知したときは、管理者に警告が通知されます。
  • ・承認されていないデバイスが、社内のネットワークにアクセスされたときも、管理者に警告が通知されます。

9.社内ネットワークのセキュリティ対策

  • ・ゲートウェイに「IDS/ADS」を導入し、ファイヤーウォールを制御することで、不正アクセスの可能性があるものと不正アクセスを未然に防ぎます。
  • ・社内ネットワークを複数の区画毎に分けて通信許可の設定を行っていますので、万が一攻撃を受けた場合でも被害を最小限に抑えます。

10.ウイルスチェック・迷惑メール対策

  • ・メールサーバとゲートウェイで、ウイルスチェック及び迷惑メールのフィルタリングを行っています。
  • ・パターンマッチとヒューリスティック検知を用いたセキュリティ対策ソフトウエアを導入し、ウイルスチェック及び迷惑メールのフィルタリングを行っています。

パターンマッチとヒューリスティックチェック技術の違い
パターンマッチは一般的なウイルスチェック手法で、あらかじめ決められたパターン(定義ファイル)のウイルスのみをチェックします。ヒューリスティック技術は、特徴的な挙動を検知して自動的に調査する手法で、未知のウイルスや亜種にも有効です。

訪問サービスエンジニアの情報セキュリティ対策

1.情報セキュリティ研修

情報セキュリティに関する研修を、契約時、毎年及び必要に応じて実施し、全ての訪問サービスエンジニアと「秘密保持に関する誓約書」を交わしています。

2.情報セキュリティ監査

全ての訪問サービスエンジニアに対する監査を毎年実施し、情報セキュリティ対策の遵守及び個人情報の取扱い状況を確認しています。

3.モバイルデバイス管理

  • ・全てのPCが、BIOSパスワード及び指紋認証でロックされており、あらかじめ承認したスタッフ以外は使用できません。
  • ・全てのモバイルデバイスは、紛失事故に伴うリスクを回避するために、生体認証(指紋または虹彩)を搭載したものを使用しています。

4.アクセス管理

社外から弊社のサーバにアクセスできるモバイルデバイスは、あらかじめ承認したデバイスに制限し、管理しています。

5.伝票の電子化(サインタブレット導入)

サインタブレット

紙伝票の紛失・盗難などに伴う個人情報漏えいリスクを回避するために、サインタブレットを導入し、伝票を電子化しています。