基本的な考え方
昨今、インターネット空間におけるサイバー攻撃は世界的に高度化しており、コンピュータウイルスによるサイバーテロや大規模な情報漏えい、ビジネスメール詐欺などの脅威が高まっています。
i-PRO株式会社とその関連会社(以下、「当社」)は、「情報セキュリティ管理規程」に基づき情報セキュリティ管理体制を構築し、日常的に情報システムの機能向上や多層防御によるセキュリティ対策を講じています。なお、当社はISO27001の認証を取得しています。
情報セキュリティ宣言
当社は、お客様の個人情報をはじめとする情報資産を保護することの重要性を認識し、法令および技術標準を遵守し、それらの情報資産をリスクに応じて正確、安全かつ適正に取り扱い、利害関係者の皆様からの信頼に応えるべく以下の取り組みを実施します。
- 保有する情報資産の機密性、完全性、可用性の確保に努めます。
- 情報資産を、法的な要請等の合理的な必要性がない限り開示致しません。
- 情報資産の保護を目的に情報セキュリティ向上に取り組む専門組織を設け、情報セキュリティを確保するための施策を規程として定め、情報管理に関する教育、有効性の評価、監査および改善を行なうことによって、常に情報セキュリティの維持、向上に努めます。
- 全ての役職員が情報資産の機密性、完全性、可用性を損ねる行為を行った場合、所定の手続きに則り、厳格に対応します。
推進体制
当社の「情報セキュリティ基本方針」のもと、情報セキュリティに関する基本的な考え方を宣言した「情報セキュリティ宣言」に基づき、基本政策の立案・発議を行っています。 当社においては、情報セキュリティ事務局を推進実行者として、情報セキュリティに取り組んでいます。
当社の事業において、個人情報はサービスを提供するにあたって欠かせないものであり、お客様からお預かりした大切な資産と考えています。万一、個人情報の漏えいなど情報セキュリティに関わるインシデントが発生した場合には、発生部署の組織責任者を通じて情報セキュリティ事務局に報告することとしています。 重大なインシデントの場合には、危機対応体制を速やかに立ち上げ、社内外の関係先と連携しながら緊急事態に対応します。
<主な取り組み>
個人情報保護
近年、個人情報やプライバシーに関する法令が国内外で次々と制定されており、当社でもこれまで、欧州の一般データ保護規則(GDPR)、中国のサイバーセキュリティ法(CCSL)・個人情報保護法(PIPL)、米国のカリフォルニア州プライバシー権法(CPRA)、日本の改正個人情報保護法に準拠する取り扱いを行うべく、プライバシーポリシーや社内の関連規程の整備を行いました。また、これらの法令や社内の関連規程の教育を行うなど、お客様、株主様、取引先、従業員の個人情報を適切に取り扱うための取り組みを強化しています。
サイバーセキュリティ対策
当社は多層防御のサイバーセキュリティ対策を行い、その防御について24時間365日、監視し、インシデント発生時には迅速な対応を図れるようにしています。 また、サイバーセキュリティにはサイバー攻撃の早期警戒情報の活用が効果的であることから、業種内外から情報を早期に取得し予防対策に活用しています。
サイバーセキュリティにおいてインシデントは必ず起こるという前提に立って対策に取り組む一方で、従来のセキュリティ対策からゼロトラスト(=守るべき情報資産やシステムにアクセスするものはすべて信用せずに安全かどうかを検証するセキュリティ対策)の考え方を導入しています。あらゆる業種・業界とつながる社会におけるサプライチェーン間でのセキュリティ向上に向けて、関係省庁、経団連等の経済団体、ISAC等の民間のセキュリティ団体との連携を強化していきます。
専門人材の育成
外部機関と連携したセキュリティ専門人材の育成や、他企業との情報共有などを積極的に行い知見の向上を図るとともに、問題が発生した場合に備え、速やかに初動体制を構築し、各部署と連携して対策をとることで影響を最小限に留めるよう体制を構築しています。
教育の実施
個人情報保護を含む情報セキュリティの重要性やサイバー攻撃の脅威を理解し、情報資産を守る行動を確実に実行するために、全社員を対象にしたeラーニングの実施など、最新の事例などを取り込んだ知識付与を定期的に行っています。
情報セキュリティリスクアセスメントの実施
定期的に国内外の事業所に対して、情報セキュリティリスクアセスメントを実施し、第三者の視点から情報資産の管理状況を点検し、課題の抽出と改善を図っています。