規程・設備について

規程体系の明確化

情報セキュリティ基本方針を最上位に置き、それに基づき基本的な規程を情報セキュリティポリシーとして定め、公表しています。
また、行動の原則・指針を小冊子「アイネス行動規範」にまとめ、全社員が常に携帯しています。

規程体系図

規程等で定められている主な対策

機器の持出し・持込み
●機器の持出しや持込みには責任者の承認が必要
●持出す機器には情報セキュリティ対策が条件
可搬メディアの使用
●メディア管理者の許可を得て、貸し出しを受けて使用。返却時はデータの完全消去が必要
廃棄
●PCやハードディスクはデータの磁気消去後に廃棄
●可搬メディアはシュレッダー裁断
●紙媒体はシュレッダー裁断、焼却、溶解
フリーソフトウェア ●当社で許可されていないフリーソフトウェアは使用禁止
SNS、Twitterの利用
●許可なく業務利用は禁止
●業務情報の書込み禁止
スマートデバイスの利用
●私有スマートデバイスの業務利用禁止
●当社から貸与されたスマートデバイスは業務に必要な情報のみを保存(極秘情報は保存禁止)
●私有スマートデバイスのメールアドレスへの会社メール転送禁止
情報処理サービス等のために
お客様からお預かりしたデータの運搬
●当社専用車に常時2名が乗る
●配送業者利用の場合は、セキュリティが確保されたサービスを利用
情報セキュリティ事故発生時の対応 ●あらかじめ定められた緊急連絡網に沿って連絡

参考

「情報セキュリティ実施手順」より一部抜粋

設備対策の基本はセキュリティ区画

アイネスでは、「情報へのアクセスコントロールとその取り扱いのトレーサビリティ(追跡性)」を確保するため、建物内におけるセキュリティのレベルを4段階とした「セキュリティ区画」を設け、個人情報保護ならびに情報セキュリティ環境を構築しています。これを基本に各種設備対策(ハードウェア系、ソフトウェア対策)を実施しています。

セキュリティ区画イメージ図

個人情報取扱区画

上図のセキュリティレベル3と4を「個人情報取扱区画」と位置づけています。個人情報はすべてこの中で管理されます。同区画内は、ネットワークから遮断されており、無許可の媒体はもちろん、携帯電話やカバンなど、情報の盗難や漏えいの疑いがかかる物の持込を一切禁止し、入室者の特定、作業内容の記録、入退室および室内映像を記録しています。
また、郵送物の開封作業やファクシミリ受信も同区画内で実施しています。

個人情報取扱区画の狙い 遮断化 個人情報を第三者、権限外者、ネットワークから遮断します
特定化 個人情報を管理する場所と取り扱う人間を特定します
履歴化 個人情報の受理から返却・廃棄まで取り扱った記録を残します

なお、お客様と当社間の個人情報ならびに機密情報運搬時も「個人情報取扱区画」の考えに沿った、輸送機関、運搬方法を取り入れています。 例えば、顧客データの運搬は、当社専用車に常時2名が乗車する体制で行っています。

技術的セキュリティ対策

アイネスでは、技術的セキュリティ対策を駆使して個人情報保護ならびに情報セキュリティ対策をより強固なものとしています。

主な対策
  • PC・サーバにはウィルス対策ソフトを導入

  • メールの送受信や外部ネットワーク接続時には自動ウィルスチェックを実施

  • USBデバイスの利用制限

  • PCの暗号化

  • IT資産管理ツールによるPC内のソフトウェア管理

  • アクセス権限管理、ログの収集・監視

  • ネットワーク経由の攻撃について、トラフィックを監視

  • スパム対策、URLフィルタリングを実施

  • 社内設置機器、ネットワーク接続機器の管理