CRM顧客管理ソフトSynergy! >> プライバシーポリシー >> 情報セキュリティへの取り組み

情報セキュリティへの取り組み

個人情報取り扱いの基本方針

規定

質問 情報セキュリティポリシーを整備し、責任者によって承認され、全社員に公表していますか。
回答 社内にて運用しています。

運用・監査

質問 基本方針には、定められた見直し手続きに従って基本方針の維持及び見直しに責任を持つ者が存在しますか。
回答 情報セキュリティ安全対策チームを設置し、コンプライアンスプログラムの見直し及び運用・監査を行っています。
質問 情報セキュリティポリシーの実施状況を、内部・外部の者がチェックし、見直していますか。(情報セキュリティの内部監査もしくは外部監査を実施していますか。)
回答 情報セキュリティ安全対策チームにおける横断的チェックと、組織単位でのチェックによる2重監査を行っています。

入退室 管理

管理方法

質問 建物や個人情報取り扱い場所などに、入館証、ネームプレートなど、部外者を識別できる入退館(室)管理をしていますか。
回答
  • 当社内における入退出は個人毎のIDカードでの管理を行っており、原則として部外者の入室が不可能になっております。
※発行:入社時
  • 返却:退社時
  • 有効期限:原則3年
  • 更新手続き:既存カード無効、新規発行
  • ログ取得:ID毎の入退出時間記録
  • データが格納されているサーバを管理しているデータセンタ内では、24時間365日、有人監視での入退出管理を行っております。(大手データセンタ)
質問 入館証等を発行する際の承認手続きは、どのようになっていますか。
回答
  • 当社内における入退出に必要な個人毎のIDカードについては、情報管理責任者からの発行以外は認めておりません。
  • データが格納されているサーバを管理しているデータセンタ内では、24時間365日、有人監視での入退出管理を行っております。(大手データセンタ)

一時的入退室

質問 一時的入退出希望者が入退出する際の管理手続きは、どのようになっていますか。
回答
  • 当社内においては、立ち入り場所を限定し、同行社員立会いのもと、入室から退室まで対応しております。
  • サーバ管理をしているデータセンタ内には、原則として一時的入退室を許可しておりません。

受渡

受渡方法

質問 個人情報データの受渡は、どのようになっていますか。
回答 媒体の授受記録を双方で保管し、データ削除時はデータ削除証明書を発行しています。
質問 受渡先の誤配付等を防止するため、どのような措置を講じていますか。
回答 方法を問わず、受渡を行う個人情報はすべて暗号化を施します。
  • 原則として配送会社ではなく、受渡側が直接当社に持ち込む方法で授受を行います。配送会社を利用する場合は、受渡証明可能なセキュリティ便等を利用いたします。
※インターネットメール添付での個人情報の受渡は原則として行いません。

アクセス管理

管理方法

質問 データ処理するサーバやパソコンへのアクセス制限は、どのように行われていますか。また、データへのアクセスログは取得していますか。
回答 業務上必要最小限の範囲で情報管理責任者がアクセス権限を付与し、権限を保有する社員のみがアクセスできるように管理しております。
※さらに、データセンタに設置のサーバには、アクセス権限保有者のみがVPN接続環境にてID+パスワード、及び128bit鍵によるクライアント認証を行います。
質問 データ処理する社員へのアクセス権限付与は、どのように行われていますか。また、作業記録は取得していますか。
回答 情報管理責任者が入力、閲覧、変更、削除、複写、複製、ダウンロードなど、アクセス権限者ごとの業務内容に応じ、付与する権限を限定します。また、作業時はアクセス権限者リスト及び管理表にて記録します。

監査

質問 データ処理するサーバやパソコンへのアクセス状況はどのように監視していますか。
回答 アクセスや変更、削除、複写、複製、ダウンロードなどの記録は、情報管理責任者が管理し、監視しております。

保管

保管方法

質問 サーバの設置について。
回答 データセンターによる入退室管理および施錠専用ラック内での運用による隔離対策を実施。入退室管理はNTTデータに委託の上、弊社管理者の許可なく入退室が行えないよう規則化。24時間有人監視を実施しています。
質問 どのように保管していますか。
回答
  • 業務上やむを得ずパソコンに保管する場合は、予め組織責任者の許可を得た上で、個人情報等重要情報を含む台帳、帳票、FD、MO、CD-R等について、施錠及びパスワードによるロックを施して保管します。
  • データセンタに設置し、個人情報を管理しているDBサーバは、Webサーバのみがアクセスできるセキュアな環境に保管しており、さらに2重のファイアウォール(侵入防護壁)とIPSによる外敵チェックを行うことでより強固に保管しております。

事故・災害対策

質問 盗難へはどのような対策を行っていますか。
回答 上記および24時間有人監視を実施しています。
質問 火災や漏水、停電、地震などの脅威へはどのような対策を行っていますか。
回答 DBサーバへの対策は、データセンター設備にて対応しています。
(火災対策)火災警報探知システムおよびハロン防災システム導入済み
(漏水対策)二重式金属製防水ドアの設置
(停電対策)自家発電装置による停電時自動供給
(地震対策)震度6〜7規模の大地震に耐え得る耐震構造

複製・複写バックアップ

質問 個人データの複製・複写は行っていますか。
回答 定期バックアップ以外の複製・複写は行いません。
業務上必要最小限の範囲で、あらかじめ情報管理責任者の許可が必要です。また、複製を必要とした業務終了後は、速やかに複製物を廃棄いたします。
質問 バックアップはどのように行っていますか。
回答 データセンタに設置のDBサーバのHDDは、バックアップ用HDDに保存し、障害等の個人情報の消失に備えております。バックアップは日次で行い、24時間おきに最新のバックアップデータ以外は完全に消去されます。また、その他媒体によるバックアップは行いません。

持ち出し

持ち出し方法

質問 データ処理するパソコンを持ち出す場合、どのような管理をしていますか。
回答 原則としてデータ処理するパソコンの持ち出しは禁止しています。

廃棄

廃棄方法

質問 データ処理したパソコン等の中にあるデータは、どのように消去していますか。
回答 廃棄の場合、物理的な破壊を行います。
質問 個人情報を含む書類はどのように廃棄していますか。
回答 個人情報を含む書類を廃棄する場合は、シュレッダー処理を行います。

媒体の再利用

質問 FD、MO、CD-R等を再利用することはありますか。
回答 一度個人情報等を保管したメディアを再利用して保管することはありません。

廃棄業務の委託

質問 個人情報を含むデータの廃棄を委託することはありますか。
回答 原則として廃棄業務の委託はいたしません。
業務上やむを得ず廃棄業務を委託する必要がある場合は、委託先の選定基準にプラスし、以下の条件を満たしていることを確認の上、委託いたします。
  • あらかじめ組織責任者の許可を得ること
  • 委託先と機密保持契約を締結すること
  • 廃棄確認書を取得すること
  • 廃棄の際に立会い、廃棄状況の確認を実施すること
  • 廃棄作業を実施するまでの過程のセキュリティを確保すること

事件・事故・誤動作への対処

ウィルス対策

質問 サーバやパソコンへのウィルス対策ソフト導入状況は、どのように把握・管理していますか。
回答 サーバ側(メールサーバ)でのウィルスチェック、各PCにインストールされたウィルスソフトでの2重管理。アップデート状況はシステム管理担当者経由で個別チェックしています。
質問 ウィルス対策ソフトのパターンファイルは、どのようにアップデートしていますか。
回答 システム管理担当者経由での通達及び個別チェックを行います。

報告

質問 セキュリティ事件・事故(個人情報漏えい、機密情報の外部への漏えいなど)は速やかに管理者へ報告されていますか。
回答 当社規定のコンプライアンスプログラムにてセキュリティ自己管理規定を定め、報告体制を整備しています。
質問 ソフトウェア誤動作発生時の報告先や報告手順(電話・FAX・書面等の報告の形式など)が明確となっていますか。
回答 当社規定のコンプライアンスプログラムにてセキュリティ自己管理規定を定め、報告体制を整備しています。

再委託

選定

質問 当社が委託しているデータ処理業務等を外部の業者に再委託していますか。
回答 原則として再委託はいたしません。場合により、個人情報の取り扱いを社外に再委託する必要がある場合は、委託元に対して再委託を確認の上、委託先選定基準を満たした企業に対し、機密保持契約を締結の上、再委託いたします。
質問 個人情報の取り扱いを委託する場合の選定基準は明確になっていますか。
回答 委託先は以下のいずれかの条件を満たしていることを基準に選定し、再委託先との機密保持契約を締結します。
  • プライバシーマーク、ISMSなど個人情報を適切に管理することが客観的に評価される認証を取得していること
  • 個人情報の取り扱いに関するルールおよび体制が整備され、かつ従業員への教育、監査が実施されていること
  • 必要に応じて、監査を行えること

監査

質問 委託先の監査はどのように行っていますか。
回答 半年に一度、委託先における個人情報の取扱状況の実態を把握するようチェックを行います。

派遣社員アルバイト

質問 派遣社員やアルバイト等が従事していますか。派遣社員やアルバイト等が従事している場合、個人ごとに機密保持契約に関する誓約書を受け取っていますか。
回答 派遣社員・アルバイト採用時は、機密保持契約に関する誓約書を必要とします。
ただし、原則として、派遣社員・アルバイトが受託した個人情報データの取り扱いを受け持つことはありません。

作業代行

アクセス方法

質問 個人情報を保管しているデータベースへどのようにアクセスしていますか。
回答 メンテナンス等の定期的なアクセス以外、御社アカウント(データベース領域)の個人情報データに対する直接的なアクセスは行いません。御社アカウントに保管の個人情報データを扱う作業については、委託契約を締結させていただきます。

作業代行方法

質問 配信作業やインポートなどの作業の代行委託を行った場合、どのような方法で作業していますか。
回答 当社に対し、御社アカウント(データベース領域)にアクセスするような作業(配信作業代行・インポート作業代行等)をご依頼いただく場合のみ、委託契約を締結させていただきます。アクセスを行う者は、当社情報管理責任者より権限を渡された担当者のみが行い、御社アカウントの最低限必要な部分に対するアプリケーションからのアクセスを行います。

教育

基本姿勢

質問 すべての社員及び情報処理設備を利用する外部委託社員は、機密保持又は、守秘義務を雇用条件の一部として同意し、契約書を取り交わしていますか。
回答 はい。
質問 貴社の従業員に対して、情報セキュリティに関する教育は、どのように実施していますか。
回答 6ヶ月に1度、集合教育で実施。運用に関しては、 プライバシーマーク基準 に準拠しています。
質問 データ処理するパソコン等には、パスワードで保護されたスクリーンセーバを設定していますか。
回答 離席時、すべてのパソコンにおいて、パスワードで保護されたスクリーンセーバの手動起動を徹底しています。

正確性

質問 入力ミス等を防止するため、どのようなチェックを行っていますか。
回答 入力業務は複数人での同時入力を行い対照させています。

監査

質問 情報セキュリティの社内運用状況をどのようにチェックしていますか。
回答 情報セキュリティ安全対策チームにおける横断的チェックと、組織単位でのチェックによる2重監査を行っています。
ページの先頭へ