情報セキュリティマネジメント
情報システムのセキュリティを確保し、当社の事業活動を円滑に行うことを目的に、「情報セキュリティ管理規定」及び「各種情報セキュリティ管理基準」を制定し、社員全員に周知徹底させています。
- 1お客様情報(個人情報)の保護
- 2知的財産権の保護
- 3守秘義務
- 4法令遵守、規程の遵守義務と罰則
- 5情報資産管理
- 6対策基準の制定(開発基準、運用基準、外部委託基準)
- 7モニタリングと監視
- 8ウイルス対策
- 9アクセス権限管理
- 10情報セキュリティ教育
- 1ML-net(社内ネットワーク)への接続管理
- 2電子メール利用ルール
- 3情報発信のルール
- 4社外ネットワークとの接続ルール
社内ネットワークの利用と運用については、「ML-net運用管理基準」で、具体的な遵守事項を定めています。
- 1利用ルール
- 2ML-net運用管理
- 3ML-net回線敷設
- 4クラウドコンピューティング利用手続き
また、各店情報システム課からLAN管理者を、利用部門の各課所からOA推進担当者をそれぞれ選任し、社内ネットワークの安全確保と有効利用を図っています。
そのほか、「個人情報保護方針・規則」「情報システム災害対策マニュアル」などを定め、お客様の財産の保護、システム障害対策や災害対策を充実させています。
情報セキュリティを向上させるための継続的な取組み
情報セキュリティのレベルを向上させるため、情報セキュリティ運用管理ツールを利用して全職員を対象に定期的なモニタリングを行っています。
一方、当社東京支店トランクルーム営業所及びダイヤ情報システム(株)(当社情報システムの開発・運用を行う子会社)では、情報セキュリティ管理システムの国際規格であるISO27001の認証を取得しています。トランクルーム営業所は、取り扱う書類、磁気テープなど情報記録媒体の集配送業務を行うため、情報セキュリティの維持・向上と、お客様の安心感向上に努め、ダイヤ情報システム(株)は、情報システムの利用、開発、運用に関する品質の維持向上に努めています。
- 1情報セキュリティ対策の適切かつ効果的な実施
- 2管理・運用の効率化と確立したPDCA(Plan Do Check Action)サイクルの継続
- 3各対策の有効性評価と問題点などの可視化
参考:
ダイヤ情報システムのPDCAサイクル
- 1.P(PLAN)
- 情報システム部門で運用対策、チェック項目を策定します。
- 2.D(DO)
- ML-net(社内ネットワーク)利用社員全員に、定期的に運用チェック項目を質問形式でメール配信し、回答を収集します。
- 3.C(CHECK)
- 回答結果を色々な角度から見た分析レポートを出力します。
- 4.A(ACTION)
- 情報システム部門で不備があるチェック項目に対して、ユーザーとコミュニケーションを図りながら、改善策を立案し指示をします。
個人情報保護の具体的対策
個人のお客様を対象としている当社東京支店トランクルーム業務を例にした、具体的なシステム対策は次のとおりです。
- 1個人情報の管理体制
トランクルーム営業所長が「セキュリティ管理者」として、システムのセキュリティ管理全般について責任を持って業務を遂行しています。日常のシステム運用管理業務は、「セキュリティ管理者」が任命した「システム管理者」が担当しています。
- 2個人情報へのアクセス管理
不正アクセスの防止と早期発見を目的に、システムでアクセスログを収集しています。また、個人情報データへのアクセスが大量に発生した場合は、自動的に「セキュリティ管理者」と「システム管理者」に警告メールを発信する仕組みをとっています。
- 3アクセス制限
システムへのアクセスを権限のある担当者に限定するため、個人別にIDを付与し、厳格な管理を行っています。
- 4モバイル端末の対策
モバイル端末全てにUSBキーによるアクセス制限を実施しています。また、万一の紛失などに備えて、端末を移動する際には、端末からUSBキーを抜いて本体と別々に携行しています。
- 5バックアップテープの管理
データのバックアップ媒体は、当社施設で安全に保管しています。