情報セキュリティへの取り組み
フォークは、お客さまに安全で安心な品質の良いサービスを提供し、お客さまとの高い信頼関係を維持・継続していくために、提供するサービスを通して知りえた情報及び、保有するシステム・情報資産を、不正アクセス、犯罪、過失、災害などの脅威から保護するため、物理的、技術的なセキュリティを強化していきます。
- 1.組織的安全管理措置
- 各種規程の整備(就業規則、情報セキュリティ関連規定、個人情報保護関連規定)
- 就業規則により違反者の懲戒処分を規定
- 情報の取扱区分の実施(区分:一般、社外秘・関係者外秘、秘密、極秘)
- 必要な役割・権限等を定めて設置(セキュリティ委員会、セキュリティ管理責任者/個人情報保護管理者、監査責任者、システム管理者、施設管理者 等)
監査(内部・外部)の実施
- 内部監査(年2回):内部監査員による監査 ※内部監査員には、監査員講習を実施。
- 外部監査(年2回):第三者認証機関による審査(ISMS・Pマーク)、FORTSサーバのプラットフォーム診断
- 代表者による定期的な見直し(年2回)
- テレワークに関するルール等、各種利用ルールの整備(テレワーク、クラウド、PC、スマホ、SNS等)
- IT業務賠償責任保険およびサイバー保険の加入(個人情報漏えいを含む)
- 2.物理的安全管理措置
- 入室システムによる施設への入室制限
- セキュリティレベルに応じたオフィスの区域分け
- オフィス内に防犯カメラを設置
- 機密情報及び個人情報を含む紙・記録媒体の施錠管理
- 機密情報及び個人情報を含む紙・記録媒体のシュレッダーまたは溶解での廃棄
- PC/サーバのハードディスクの選定業者による物理的破壊および廃棄証明受領
- 3.技術的安全管理措置
- 社内ネットワークにファイヤーウォールを導入、外部からの不正アクセスを防御
- ファイヤーウォールによりリモートでの外部からのサーバ接続を制限
- 外部サーバに対するIPアドレス等によるアクセス制限の有効性の定期監視
- 業務用PCのユーザー単位でのログインパスワードの設定
- 業務用PCへのセキュリティ対策ソフトの導入(ウィルス定義ファイルは毎日自動更新)
- ノートPC ハードディスクの暗号化の実施
- USB等の記録メディアのPC接続ログの取得
- PCデータ不要時にディスク初期化ツールを使用して情報を破棄
- 社内ファイルサーバへのアクセス制御及びログの取得
- 社内ファイルサーバの定期的なバックアップの実施
- 社内グループウェアにGoogle Workspaceを利用(メール、チャット、ストレージ、ビデオ会議、カレンダー、リモートデスクトップ等を社内で管理)
- Googleへのアクセス制御、データの保持、記録保持(Google Vault)
- Googleのアカウントを2段階認証プロセスで保護
- 4.人的安全管理措置
- 定期教育(年2回)及び入社時教育を実施
- 緊急時対応訓練の実施(年1回)
- 緊急連絡先・セーフティカードの携帯を義務付け
- 入社時及び退職時における守秘義務誓約書
- 全従業員を対象として理解度テストを毎月実施
個人情報保護に対する取り組み
- 1.組織的安全管理措置
- 機密度区分によるレベル分けと取扱ルールの整備(受託の個人情報は「極秘」)
- 個人情報管理台帳の整備
- 個人情報保護規程等で定められた運用
- 極秘の個人情報を扱う事務局への入退出等のルール整備
- 極秘の個人情報を記録した媒体を移送する際のルールを整備
- 2.物理的安全管理措置
- 極秘の個人情報の取扱いを事務局内に限定
- 事務局内に個人情報抽出専用端末等の各作業に応じた端末を設置
- 3.技術的安全管理措置
- 個人情報収集時はSSLでの暗号化通信を使用
- 個人情報検知ツール「P-Pointer」による不正保管が無いかをチェック
- 極秘の個人情報の作業・保管のためのファイルサーバ領域を設定
- 4.人的安全管理措置
- 個人情報保護士資格取得の推奨 (個人情報案件に有資格者を配置)
テレワークに対する取り組み
勤務体制は在宅勤務を基本としています。(セキュリティに必要なエリア等はオフィス設置)
- 会社貸与の端末を使用(セキュリティ対策ソフトを導入)
- 自宅以外での端末の持ち出しはNG(上長による許可制、ハードディスクは暗号化)
- 端末内への情報の保存はNG(会社が定めるストレージ等への保管)
- 無線LANは暗号化方式/パスワードの条件を定める(暗号化方式:WPA2以上 パスワード:英数字記号混在の8文字以上で設定)
- 紙や記録媒体等の保管や廃棄は会社内で行う
- 家族等にも端末を触れさせないようルールに明記
- 個人情報を扱う作業はNG(扱う際はリモートにより社内端末を操作)
2021年5月現在