情報セキュリティの取り組み
情報セキュリティマネジメントシステム
推進体制について
当社は、情報セキュリティおよび個人情報(特定個人情報を含む)保護を当社グループの重要なリスク管理対象として位置づけています。代表取締役社長のもと情報セキュリティ担当役員を任命し、その推進と責任体制を明らかにしています。また、具体的な全社活動の立案・計画・統括・評価については全社リスクマネジメントを所管する専任部署がおこないます。さらに当社の全部門に情報セキュリティ管理責任者(部門長)を置き、それぞれの部門活動を推進しています。万が一、事件や事故が発生した場合には、ただちに社長および情報セキュリティ担当役員に報告され、対策や公表などの意思決定を迅速に行う体制を整えています。
情報セキュリティマネジメント活動について
当社の各部門・支社において、全体の年度方針に沿ってそれぞれ情報セキュリティ活動の計画を策定し、年間を通じて活動を推進しています。
その進捗状況は、情報セキュリティ管理責任者(部門長)のほか、リスク管理部門が定期的に確認し、PDCAによるスパイラルアップを図っています。
| 情報セキュリティマネジメントレビュー | 年1回以上 | 社長および情報セキュリティ担当役員による当期活動評価と次期計画の決定 |
|---|---|---|
| 各部門・支社による活動 | 日々 | 各部門・支社において、情報セキュリティ管理責任者(部門長)を中心に、個人情報保護、情報セキュリティを日々実践、改善 |
規程体系の明確化
情報セキュリティ基本方針を最上位に置き、それに基づき基本的な規程を情報セキュリティポリシーとして定め、公表しています。
教育・啓発について
個人情報保護や情報セキュリティに関する取り組み姿勢、方針、規程、ルールをその背景からしっかりと理解し、常識として日々の活動において実践するよう、教育活動および啓発活動を常に行っています。当社で働く社員、パートナー全員を対象として、毎年1年に1回、確認テストを行うことで情報セキュリティ意識の向上と、ルールの徹底を行っています。
| 種別 | 集合教育 | 個別教育 | 社内確認テスト | その他 |
|---|---|---|---|---|
| 教育 内容 |
|
|
|
|
個人情報保護3原則
誰もが理解し判断できる簡潔な表現で、3つの原則を掲げ、日々の活動の基本としています。3原則は、「アイネス行動規範」に掲載しているほか、ポスターやシールにしてその普及と徹底に努めています。
【アイネスの個人情報保護3原則】
- 「持たない」個々人が勝手に個人情報を持たない
- 「預からない」個々人が勝手に個人情報を預からない
- 「運ばない」個々人が勝手に個人情報を運ばない
情報セキュリティ監査
全部門に年一回の情報セキュリティ監査を実施します。監査は、プライバシーマーク制度、ISMS制度を基準とし、リスク管理部門が監査計画に基づき実施します。結果は社長に報告され、改善点や指摘事項は、フォロー監査でその改善状況を確認しています。
物理的対策・技術的対策
アイネスでは、お客様の情報を取り扱うにあたり、取り扱える部屋をレベル分けして「セキュリティ区画」を整備しています。
レベル3と4が顧客データを取り扱える部屋で、個人情報取扱区画と言います。
セキュリティ区画の考え方をネットワークにも適用し、セキュリティレベル3と4の情報処理サービス等のためにお客様からお預かりしたデータを取り扱うネットワーク(業務LAN)と、セキュリティレベル2の一般業務で使用するネットワーク(事務系LAN)を分離しています。
| 狙い | 遮断化 | 個人情報は第三者、権限外者、ネットワークから遮断 |
|---|---|---|
| 特定化 | 個人情報を管理する場所と取り扱う人間を特定 | |
| 履歴化 | 個人情報の受理から返却・破棄までの取り扱いを記録 |