情報セキュリティへの取組み

情報セキュリティへの取組み

正統な権限のない者による情報の不正アクセス、個人情報の紛失、破壊、漏洩など、個人情報に対する侵害へのリスクが高まる現在、個人情報保護や情報セキュリティの強化は社会的な責任と言えます。

ODKソリューションズでは、情報漏洩等のIT事故を未然に防止するため、ハードや技術面だけでなく組織的な運用を含めたセキュリティマネジメントシステムに取組んでいます。
情報セキュリティマネジメントシステムに関しては、国際認証規格制度である「ISO/IEC27001」及びクラウドサービスに関する情報セキュリティ管理策のガイドライン規格である「ISO/IEC27017」登録事業者の認証を取得しております。

また、個人情報保護に関しては、2001年に財団法人日本情報処理開発協会(現 一般財団法人日本情報経済社会推進協会)(JIPDEC)認定の「プライバシーマーク」を取得し、その信頼性を確保。IT社会の健全な発展のため、システムの安全性の確保に注力しています。

「ISO/IEC27001」及び「ISO/IEC27017」認証取得事業者

ODKソリューションズでは、情報セキュリティへの組織的・計画的な管理体制を確立、向上を図っています。
情報セキュリティ全般に関するマネジメントシステム規格である「ISO/IEC27001」の取組みを「ISO/IEC27017」で強化・補完し、クラウドサービスにも対応した情報セキュリティ管理体制を構築しております。

ISMS基本方針及び情報セキュリティ基本方針

  1. 当社は、「情報サービス事業を通じて顧客の繁栄・社会の発展に貢献する。」を経営理念として掲げ、「お客様の立場に立った真に使いやすいシステムを構築する」との視点から真心込めてシステムの企画・提案から開発運用、サポートに至るトータルソリューションを提供している。
  2. この理念を推進し、当社がお客様から信頼される企業として維持・発展するためには、情報及び資産を保護するセキュリティ対策を実施することが必要不可欠である。
  3. 一人の犯した過ちで、当社の社会的信用を失墜させ、事業継続を困難に陥らせることにもなりかねないことを肝に銘じて、一人ひとりが以下に掲げる「ISMS基本方針」及び「情報セキュリティ基本方針」をよく理解した上で、ISMS運営への積極的な取組を期待する。

ISMS基本方針

本ページは、双方向性のあるコミュニケーションの実現を目的とし、情報発信の場として運用するものです。利用者による本ページ上での表現その他の行為が以下のいずれかに該当する場合、投稿アカウントのブロックや投稿内容の削除等の防止措置を講じることがあります。

  1. 全般的認識及び原則
    当社は、前述の経営陣から発せられた言葉に則り、当社のISMSを日本工業規格(JIS Q 27001:2014 及び JIS Q 27017:2016 )に準拠して、構築、運営管理する
  2. 体制
    当社は、ISMS調整・推進組織としてセキュリティ実行委員会及び監査委員会を設置し、情報セキュリティを全社総合的に調整、推進する体制を整える。
    社長は、セキュリティ統括責任者としてマネジメントレビューを実施する。
  3. 法的要求事項の順守
    当社ISMSの確立及び運営管理にあたっては、事業上及び法令又は規制の要求事項、並びに契約上のセキュリティ義務を考慮する。
  4. ISMSの確立及び維持
    当社のISMSは本方針にしたがい確立及び維持する。また、当社の戦略的なリスクマネジメントの状況と調和を取る。
  5. ISMS目的と情報セキュリティ目的
    セキュリティ実行委員会は、経営陣から年度当初に発せられる「ISMS目的」を達成するために「情報セキュリティ目的」を策定し、組織全体への展開を図る。ISMS組織要員は、ISMS目的及び情報セキュリティ目的達成に向けて自らの活動を明確にし、積極的に活動するものとする。
  6. リスクマネジメント
    セキュリティ実行委員会は、リスクマネジメントを的確に行うために、リスクマネジメントについての手順書を定め、ISMS組織全員で順守する。
    セキュリティ実行委員会は、資産に対する脅威と脆弱性を識別し、判明したリスクを正当な規準を用いてリスク対応を評価する仕組みを確立し、定期的にアセスメントを実施するものとする。
  7. 情報セキュリティ基本方針
    経営陣は、セキュリティ実行委員会がISMS基本方針を情報セキュリティレベルに落として起案した「情報セキュリティ基本方針」をレビューし、承認する。ISMS組織要員はその基本方針を順守し、日々のセキュリティ向上に努めるものとする。

情報セキュリティ基本方針

  1. 資産の管理と取扱
    セキュリティ実行委員会は、組織の業務上で必要かつ重要な資産を明確化し、適切な保護及び維持の仕組みを構築するものとする。
    資産に対する権限は、業務上必要な者のみに必要な権限のみを与えるものとする。また、必要な情報を適時利用できるようにするために、適切な体制を構築するものとする。
    当社で取扱う資産は、管理責任者によって、適切に管理されなければならない。
    当社の事業上取扱う資産は、関連する法的又は規制及び契約上のセキュリティ要求事項と、当社の定める情報セキュリティに関連する規定に従い、適切に取扱わなければならない。
  2. 情報へのアクセス管理
    セキュリティ実行委員会は、情報のアクセスについて以下の管理を行う。
    ・情報の取り扱いに関して、各組織と従業員の職務権限を明確に定める。
    ・情報へのアクセス権限は、情報の種類及び業務に応じて真に必要な者に限定して付与する。
    ・情報へのアクセスの際は、パスワード等による本人の認証を行う。
    ・情報へアクセスした場合またはデータベースやプログラムに変更を加えた場合等は、その証跡を記録し、一定期間保有する。
  3. クラウドサービスの安全利用
    クラウドサービス特有の脅威に対して、適切なリスク対応を行い、クラウドサービスを安全に利用する。
  4. 入退館管理
    外部からの不審者、入退権限のない者の侵入等を防ぐため入退管理システム等により管理する。
  5. 委託先の管理
    委託は、情報保護・セキュリティの観点から業者選定基準を設け、十分な審査を経て適格な委託先を選定する。また、委託契約等において情報の適切な管理のための必要な措置、秘密保持、再提供の禁止、監査への協力等情報の管理に関する事項について定める。
  6. 情報の保有期間と廃棄
    情報の種類毎に保有期間を定め、保有期間を経過した情報は定期的かつ安全・確実に廃棄する。
  7. 教育・訓練
    ISMS組織の要員は、職務に応じて必要な情報セキュリティに関する教育を定期的に受講する。
  8. 内部監査
    ISMSについての内部監査を定期的に行い、是正等が必要な場合はそれらを積極的に実施する。
  9. セキュリティ事件・事故への対応
    情報セキュリティに関連する事件・事故が発生した場合は、発見者は速やかに連絡体制に従い対応しなければならない。
  10. ISMS組織要員に対する罰則
    ISMS組織要員が、本方針及び情報セキュリティに関連する規程、手順書、手引書、マニュアルの規程に違反する行為を発見した場合は、セキュリティ実行委員会に報告する。報告を受けたセキュリティ実行委員会は、報告内容を協議し、以下の対応を行う。

違反内容が軽微な場合
・セキュリティ実行委員長限りでの注意、指導、訓戒とする。

違反内容が故意、重過失の場合
・社員の場合は、当社が定める『就業規則』の定めを適用する。
・協力会社要員の場合は、契約書ならびに覚書等の記載事項の定めに従う。
・役員の場合は、役員会の審議にしたがって対処する。

違反内容が個人情報に関わる場合
・当社個人情報保護マネジメントシステムにおける『個人情報保護規程』の定めに従う。

プライバシーマーク使用許諾事業者

個人情報保護措置に基づく社内教育と運用実績によって認定される「プライバシーマーク(Pマーク)」を受け、個人情報保護を徹底しています。

個人情報保護についての詳細はこちら

当社は、『プライバシーマーク制度貢献事業者』として、一般財団法人日本情報経済社会推進協会(JIPDEC)より表彰されました。
今後も安心・安全なシステム提供に向け、個人情報保護管理体制のさらなる整備と強化に努めてまいります。

PAGETOP