ホーム > CSR情報 > ガバナンス > 情報セキュリティの取り組み

情報セキュリティの取り組み

「仕事に厳しく、人に優しい職場づくり」に向け、社内のコミュニケーションを活性化し、活力ある組織体制を構築いたします。さらに、技術、プロジェクト管理、マネジメント、国際化などの面で高収益企業を支える幅広い人材の育成を進めます。

情報セキュリティマネジメントシステム

推進体制について

当社は、情報セキュリティおよび個人情報(特定個人情報を含む)保護を当社グループの重要なリスク管理対象として位置づけています。代表取締役社長を長とする「リスク管理統括委員会」のもとに、役員を委員長とした3つの委員会「情報セキュリティ委員会」、「コンプライアンス委員会」、「内部統制委員会」を設け、その推進と責任体制を明らかにしています。 また当社の全部門・全グループ会社に部門委員を置き、この部門委員がそれぞれの部門活動を推進しています。 万が一、事件や事故が発生した場合には、ただちにリスク管理統括委員長および各委員長に報告され、対策や公表などの意思決定を迅速に行う体制を整えています。

自律性をもったアイネス社員の成長をサポートするため、目標を定め主体的にスキルアップできる環境として、ITスキル標準を活用しています。

推進体制について

委員会活動について

当社の各部門・各グループ会社において、全体の年度方針に沿ってそれぞれ情報セキュリティ活動の計画を策定し、年間を通じて活動を推進しています。
その進捗状況は、部門委員のほか、委員会事務局が定期的に確認し、PDCAによるスパイラルアップを図っています。

リスク管理統括委員会 全体会議 年1回 全部門・グループ会社の部門委員全員による会議、 前期活動結果と当期計画を報告
リスク管理統括委員会 年2回 リスク管理3委員会の当期活動結果と次期計画の報告と審議、及び 統括委員長(社長)による評価と計画の決裁
マネジメントレビュー 年2回 リスク管理3委員会の各委員長による当期活動評価と次期計画の決定
情報セキュリティ委員会会議 月1回 情報セキュリティ委員により、活動進捗の確認と課題等の検討
部門委員による活動 日々 各部門において、部門委員を中心に、個人情報保護、情報セキュリティを日々実践、改善

規程体系の明確化

情報セキュリティ基本方針を最上位に置き、それに基づき基本的な規程を情報セキュリティポリシーとして定め、公表しています。また、行動の原則・指針を小冊子「アイネス行動規範」にまとめ、全社員が常に携帯しています。

規程体系の明確化
規程体系の明確化

教育・啓発について

個人情報保護や情報セキュリティに関する取り組み姿勢、方針、規程、ルールをその背景からしっかりと理解し、常識として日々の活動において実践するよう、教育活動および啓発活動を常に行っています。当社で働く社員、パートナー全員を対象として、毎年1年に1回、定期的に試験を行うことで情報セキュリティ意識の向上と、ルールの徹底を行っています。

種別 集合教育 個別教育 社内資格制度(※) その他
教育内容
  • 全社員向け集合研修
  • 新入社員向け集合研修
  • 管理職向け集合研修
  • 外部講師による講演
  • e-ラーニング
  • ビデオ研修(学習)
  • e-テスト
  • 個人情報取扱資格認定試験
    (初級・中級・上級)
  • 標的型攻撃メール対応訓練
  • 情報セキュリティミーティング
    (各部門別に開催)

個人情報保護3原則

誰もが理解し判断できる簡潔な表現で、3つの原則を掲げ、日々の活動の基本としています。3原則は、「アイネス行動規範」に掲載しているほか、ポスターやシールにしてその普及と徹底に努めています。

【アイネスの個人情報保護3原則】

  • 「持たない」個々人が勝手に個人情報を持たない
  • 「預からない」個々人が勝手に個人情報を預からない
  • 「運ばない」個々人が勝手に個人情報を運ばない
個人情報保護3原則

情報セキュリティ監査

全部門に年一回の情報セキュリティ監査を実施します。監査は、プライバシーマーク制度、ISMS制度を基準とし、内部監査部門が監査計画に基づき実施します。結果は社長に報告され、改善点や指摘事項は、フォロー監査でその改善状況を確認しています。

物理的対策・技術的対策

アイネスでは、お客様の情報を取り扱うにあたり、取り扱える部屋をレベル分けして「セキュリティ区画」を整備しています。
レベル3と4が顧客データを取り扱える部屋で、個人情報取扱区画と言います。

セキュリティ区画の考え方をネットワークにも適用し、セキュリティレベル3と4の情報処理サービス等のためにお客様からお預かりしたデータを取り扱うネットワーク(業務LAN)と、セキュリティレベル2の一般業務で使用するネットワーク(事務系LAN)を分離しています。

物理的対策・技術的対策
狙い 遮断化 個人情報は第三者、権限外者、ネットワークから遮断
  特定化 個人情報を管理する場所と取り扱う人間を特定
  履歴化 個人情報の受理から返却・破棄までの取り扱いを記録