コンプライアンスへの取り組み

当社は、SCSKグループの一員としてコンプライアンスを推進し、高い倫理感を持って事業活動を行っています。とりわけ、当社が手掛けるビジネスプロセスアウトソーシング(BPO)事業の業務特性に鑑み、情報セキュリティ強化を最重要課題として、さまざまな取り組みをしています。

情報セキュリティへの取り組みについて

1. 情報セキュリティポリシーの制定

個人情報保護法や監督省庁の情報セキュリティに関する各種ガイドライン等に準拠し、「情報セキュリティ基本方針」「情報セキュリティ管理規程」「情報システム管理規程」「個人情報保護方針」「個人情報保護規程」、その他関連する規程・規則類から構成される『情報セキュリティポリシー』を制定しています。

2. 情報セキュリティ体制の整備

各部門に個人情報管理責任者や個人情報管理担当者を設置し、組織における責任と役割を明確にして、セキュリティ強化のための体制を構築しています。

3. 情報セキュリティに関する外部認証の取得・維持

JIS Q 15001に基づく個人情報保護マネジメントシステムを整備し、2002年5月27日にプライバシーマーク(※)の認定を取得しました。その後も継続的にマネジメントシステムを改善し、認証を維持しています。

プライバシーマーク

(※)「プライバシーマーク制度」とは、一般財団法人日本情報経済社会推進協会(JIPDEC)が、日本工業規格「個人情報保護マネジメントシステム―要求事項(JIS Q 15001 )」に適合して、個人情報の適切な保護措置を講ずる体制を整備している事業者に対し、その旨の認定を示すプライバシーマークの付与を行う制度です。

ISO/IEC 27001:2013、JIS Q 27001:2014(ISMS)(※)の認証取得・維持にも取り組んでいます。

JQA-IM0760

申込書受付業務(Aクレジット事業会社)

  • 申し込み内容確認業務

  • エントリー業務

  • 申込書類原本管理業務(2009年10月登録)

(※)「ISMS制度」とは、国際的に整合性のとれた情報セキュリティマネジメントシステムに対して、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が認定する第三者適合性評価制度です。

4. 情報セキュリティ強化のための安全管理措置

情報セキュリティ強化施策として、4つの側面で安全管理措置(組織的、人的、物理的、技術的)を講じています。

組織的安全管理措置

  • 「コンプライアンス宣言」の策定
  • 情報セキュリティ体制の整備
  • 関連規程類や関連ルールの規定
  • 安全管理措置に関する方針書の作成・更新、およびレビュー制度の運用
  • 個人情報を管理する台帳の作成・更新
  • 全業務におけるリスクアセスメントの実施
  • オフサイトおよびオンサイトモニタリングの実施(定期的なコンプライアンス・セキュリティ点検、現場チェック・ヒアリング等)
  • 個人情報保護監査の実施
  • 委託先との機密保持契約や個人情報の取扱いに関する覚書の締結
  • 委託先の選定と定期的な監査の実施
  • インシデント(事故)発生時の報告・対応体制の構築
  • プライバシーマーク、ISMSの取得

人的安全管理措置

  • 全従業者からのコンプライアンス誓約書の取得(入社時/年1回/退職時)
  • 全従業者へのコンプライアンス・情報セキュリティ研修の実施(入社時、年1回、適時)
  • 全従業者への「情報セキュリティガイドブック」の配布
  • 情報セキュリティ関連資格の取得促進
  • コンプライアンス意識調査の実施(年1回)
  • イントラネットや社内掲示でのコンプライアンスや情報セキュリティに関する情報提供・啓発活動

物理的安全管理措置

  • 業務エリアのセキュリティレベルゾーニング
  • 入退室制御装置の設置(ICカード/生体認証装置、セキュリティゲート)
  • 入退室ログの取得
  • 監視カメラの設置
  • 私物保管ロッカーの設置
  • デスクトップおよびノートPCのワイヤーロック施錠
  • 電子メモボードの導入によるペーパーレス化 ※一部業務
  • 定期的なクリアデスクチェック
  • キャビネット等への転倒防止器具の設置

技術的安全管理措置

  • ユーザーのID・パスワードによる認証
  • ネットワークフォルダのアクセス権限制御
  • デスクトップおよびノートPCのハードディスク暗号化
  • USBデバイス使用制御ツールの導入とUSBポートの物理封鎖
  • 電子記録媒体および持出しPCの登録、利用申請・承認制の運用
  • マルウェア対策の実施
  • WEBフィルタリングの実施
  • メール誤送信防止ツールの導入(送信内容強制再確認、添付ファイル暗号化、宛先制限、送信保留等)
  • 各種ログの取得(ファイル操作、印刷、WEB閲覧、メール送受信履歴)

5. 継続的改善

全部門・業務において、月1回の自主点検を行い、PDCAサイクルを回し続けています。
また、監査部門が定期的に、情報セキュリティポリシーへの準拠性や個人情報保護マネジメントシステムの運用維持状況について監査を行っています。監査の有効性を高めるためにフォローアップ監査も行い、継続的に改善の状況を確認しています。

6. インシデント発生時の対応体制の整備

24時間365日受付体制の緊急連絡センターを設置し、インシデント(事故)発生時に迅速な対応が行える体制を整備しています。



ページトップへ