情報セキュリティへの取り組み
当社は、SCSKグループの一員としてコンプライアンスを推進し、高い倫理感を持って事業活動を行っています。とりわけ、当社が手掛けるビジネスプロセスアウトソーシング(BPO)事業の業務特性に鑑み、「情報セキュリティ」を最重要課題としています。
リスクを敏感に捉え、さまざまな取り組みを通じて、絶えず情報セキュリティレベルの維持・強化に努めています。
- 1. 情報セキュリティポリシーの制定
- 2. 情報セキュリティ体制の整備
- 3. 情報セキュリティに関する外部認証の取得・維持
- 4. 情報セキュリティ強化のための安全管理措置
- 5. 継続的な改善サイクル
- 6. インシデント発生時の対応体制の整備
1. 情報セキュリティポリシーの制定
個人情報保護法や監督省庁の情報セキュリティに関する各種ガイドライン等に準拠し、「情報セキュリティ基本方針」「情報セキュリティ管理規程」「情報システム管理規程」「個人情報保護方針」「個人情報保護規程」、その他関連する規程・規則類から構成される「情報セキュリティポリシー」を制定しています。
2. 情報セキュリティ体制の整備
各部門に管理責任者を、全業務毎に管理担当者を任命し、組織における責任と役割を明確にして、情報セキュリティ強化のための体制を構築しています。社長を委員長とする「コンプライアンス委員会」では、情報セキュリティを重点テーマの一つとし、さまざまな施策に取り組んでいます。
情報セキュリティ体制図
3. 情報セキュリティに関する外部認証の取得・維持
JIS Q 15001に基づく個人情報保護マネジメントシステムを整備し、2002年5月27日にプライバシーマーク(※)の認定を取得しました。その後も継続的にマネジメントシステムを改善し、認証を維持しています。
(※)「プライバシーマーク制度」とは、一般財団法人日本情報経済社会推進協会(JIPDEC)が、日本工業規格「個人情報保護マネジメントシステム―要求事項(JIS Q 15001 )」に適合して、個人情報の適切な保護措置を講ずる体制を整備している事業者に対し、その旨の認定を示すプライバシーマークの付与を行う制度です。
情報セキュリティマネジメントシステム(ISMS)※の国際規格である「ISO/IEC 27001:2013」、およびその国内規格である「JIS Q 27001:2014」の認証取得・維持にも取り組んでいます。
| 登録証番号 | JQA-IM0760 |
|---|---|
| 登録事業者 | SCSKサービスウェア株式会社 多摩センター |
| 登録活動範囲 | クレジットカード入会申込書受付に関わる業務
|
| 認証登録日 | 2009年10月16日 |
| 登録証番号 | JQA-IM1707 |
|---|---|
| 登録事業者 | SCSKサービスウェア株式会社 横浜センター |
| 登録活動範囲 | コンタクトセンターサービス(カード会員サポートデスク、ECサイトユーザサポート、お客様相談室デスク) |
| 関連事業所 | 大分センター コンタクトセンターサービス(カード会員サポートデスク) |
| 認証登録日 | 2020年06月26日 |
(※)「ISMS(Information Security Management System)」とは、国際的に整合性のとれた情報セキュリティマネジメントシステムに対して、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が認定する第三者適合性評価制度です。
4. 情報セキュリティ強化のための安全管理措置
「個人情報の保護に関する法律についてのガイドライン」(個人情報保護委員会発行)で求められている4つの側面(組織、人的、物理的、技術的)から、各安全管理措置を講じています。
組織的安全管理措置
- 「コンプライアンス宣言」の制定
- 情報セキュリティ体制の整備
- 関連規程類やルールの整備
- 安全管理措置に関する方針書の作成・更新、およびレビュー制度の運用
- 全業務におけるリスクアセスメントの実施
- 定期的なコンプライアンス・セキュリティ点検、監査の実施 等
人的安全管理措置
- 全従業者からのコンプライアンス誓約書の取得(入社時、年1回、退職時)
- 全従業者へのコンプライアンス・情報セキュリティ研修の実施(入社時、年1回、適時)
- 全従業者への「情報セキュリティガイドブック」の配布
- 標的型攻撃メール訓練の実施(適時)
- 情報セキュリティ関連資格の取得促進
- コンプライアンス意識調査の実施(年1回)
- イントラネットや社内掲示でのコンプライアンスや情報セキュリティに関する情報提供・啓発活動 等
物理的安全管理措置
- セキュリティレベルにもとづくセンター設計
- 入退室制御装置の設置(ICカード・生体認証装置、セキュリティゲート)
- 入退室ログの取得
- 防犯カメラおよび防犯モニタの設置
- 私物保管ロッカーの設置
- 電子キャビネットの設置
- デスクトップおよびノートPCのセキュリティワイヤー施錠
- 電子メモボードの導入によるペーパーレス化 ※一部業務
- 定期的なクリアデスクチェック 等
技術的安全管理措置
- 受託業務と社内業務ネットワークの分離
- 不正端末の接続不可設定
- デスクトップおよびノートPCのハードディスク暗号化
- USBデバイス使用制御ツールの導入とUSBポートの物理封鎖
- マルウェア対策の実施
- WEBフィルタの実施
- メール誤送信防止ツールの導入
- 各種ログの取得、メールの全文保管、PC操作画面の録画 等
5. 継続的な改善サイクル
自部門や専門部門による点検・監査を定期的に行い、その結果にもとづき確実に改善を図ることで、PDCAサイクルを回し続け、情報セキュリティ強化に努めています。
- コンプライアンス・情報セキュリティ点検(自部門)(月1回)
- オンサイトモニタリング(コンプライアンス担当部門)(年1回、適時)
- 個人情報保護監査(監査部門および自部門)(年1回)
- フォローアップ監査(監査部門)(年1回) 等
情報セキュリティマネジメントサイクル
6. インシデント発生時の対応体制の整備
24時間365日受付体制の緊急連絡センターを設置し、インシデント(事故)発生時に迅速な対応が行える体制を整備しています。
ICカードによる入退室管理
社員は、ICカードを使用して業務エリアの入退室を行い、そのすべての入退室ログが記録されています。
入退室の権限は、担当業務エリアに限定され、アンチパスバック機能により、入室記録がなければ退室できない仕組みになっています。
防犯カメラ
不正な行動を抑止し、侵入者や不審者の監視・記録をするため、防犯カメラを設置しています。
防犯モニター
防犯カメラの映像はリアルタイムで確認できる仕組みを整備しています。すべての映像は録画保存されています。
電子キャビネット
業務で利用する文書・機材は、電子キャビネットに収納しています。一部の担当者のみが開閉できる権限を持ち、入退室管理システムと連動して、入室記録がない場合は開閉できない仕組みになっています。キャビネットの開閉ログはすべて記録されています。
USBポート封鎖
USB接続機器の利用は禁止しています。未使用のUSBポートを物理的に封鎖し、機器が接続できないようにしています。
(専用ソフトウェアを導入することで、技術的にも接続を制御しています。)
電子メモ
メモ用紙やペンの持ち込み・利用は原則禁止し、電子メモを利用しています。
ボタン一つで書いた内容が消去でき、業務エリア内での利用に限定することで、紙媒体による不正な情報持ち出しを防止しています。