入退室管理

管理方法

Q建物や個人情報取り扱い場所などに、入館証、ネームプレートなど、部外者を識別できる入退館(室)管理をしていますか。
  • 当社内における入退出は個人ごとのIDカードでの管理を行っており、原則として部外者の入室が不可能になっております。
    ※発行:入社時 返却:退社時
  • 更新手続き:既存カード無効、新規発行
  • ログ取得:IDごとの入退出時間記録
  • データが格納されているサーバーを管理しているデータセンター内では、24時間365日、有人監視での入退出管理を行っております(大手データセンター)。
Q入館証などを発行する際の承認手続きは、どのようになっていますか。
  • 当社内における入退出に必要な個人ごとのIDカードについては、情報管理責任者からの発行以外は認めておりません。
  • データが格納されているサーバーを管理しているデータセンター内では、24時間365日、有人監視での入退出管理を行っております(大手データセンター)。

一時的入退室

Q一時的入退出希望者が入退出する際の管理手続きは、どのようになっていますか。
  • 当社内においては、立ち入り場所を限定し、同行社員立ち会いのもと、入室から退室まで対応しております。
  • サーバー管理をしているデータセンター内には、原則として一時的入退室を許可しておりません。

受け渡し

受け渡し方法

Q個人情報データの受け渡しは、どのようになっていますか。
媒体の授受記録を保管し、データ削除時はデータ削除証明書を発行しています(希望時)。
Q受け渡し先の誤配付などを防止するため、どのような措置を講じていますか。
方法を問わず、受け渡しを行う個人情報は暗号化を施します。
※インターネットメール添付での個人情報の受け渡しは原則として行いません。

アクセス管理

管理方法

Qデータ処理するサーバーやパソコンへのアクセス制限は、どのように行われていますか。また、データへのアクセスログは取得していますか。
業務上必要最小限の範囲で情報管理責任者がアクセス権限を付与し、権限を保有する社員のみがアクセスできるように管理しております。
※さらに、データセンターに設置のサーバーには、アクセス権限保有者のみがVPN接続環境にてID+パスワード、および128bit鍵によるクライアント認証を行います。
Qデータ処理する社員へのアクセス権限付与は、どのように行われていますか。また、作業記録は取得していますか。
情報管理責任者が入力、閲覧、変更、削除、複写、複製、ダウンロードなど、アクセス権限者ごとの業務内容に応じ、付与する権限を限定します。また、作業時はアクセス権限者リストおよび管理表にて記録します。

監査

Qデータ処理するサーバーやパソコンへのアクセス状況はどのように監視していますか。
アクセスや変更、削除、複写、複製、ダウンロードなどの記録は、情報管理責任者が管理し、監視しております。

保管

保管方法

Qサーバーの設置について。
データセンターによる入退室管理および施錠専用ラック内での運用による隔離対策を実施。さらに24時間有人監視を実施しています。
Qどのように保管していますか。
データセンターに設置し、個人情報を管理しているDBサーバーは、Webサーバーのみがアクセスできるセキュアな環境に保管しており、さらに二重のファイアウォール(侵入防護壁)とIPSによる外敵チェックを行うことで、より強固に保管しております。

事故・災害対策

Q盗難へはどのような対策を行っていますか。
上記および24時間有人監視を実施しています。
Q火災や漏水、停電、地震などの脅威へはどのような対策を行っていますか。
DBサーバーへの対策は、データセンター設備にて対応しています。
(火災対策)火災警報探知システムおよびハロン防災システム導入済み
(漏水対策)二重式金属製防水ドアの設置
(停電対策)自家発電装置による停電時自動供給
(地震対策)震度6~7規模の大地震に耐え得る耐震構造

複製・複写バックアップ

Q個人データの複製・複写は行っていますか。
定期バックアップ以外の複製・複写は行いません。
複製・複写の必要が生じた場合は、業務上必要最小限の範囲で、あらかじめ情報管理責任者の許可のもと実施します。また、複製を必要とした業務終了後は、速やかに複製物を廃棄いたします。
Qバックアップはどのように行っていますか。
データセンターに設置のDBサーバーのHDDは、バックアップ用HDDに保存し、障害などの個人情報の消失に備えております。バックアップは日次で行い、24時間おきに最新のバックアップデータ以外は完全に消去されます。また、その他媒体によるバックアップは行いません。

持ち出し

持ち出し方法

Qデータ処理するパソコンを持ち出す場合、どのような管理をしていますか。
原則としてデータ処理するパソコンの持ち出しは禁止しています。

廃棄

廃棄方法

Qデータ処理したパソコンなどの中にあるデータは、どのように消去していますか。
廃棄する場合は、物理的な破壊を行います。
Q個人情報を含む書類はどのように廃棄していますか。
個人情報を含む書類を廃棄する場合は、シュレッダー処理を行います。

媒体の再利用

QFD、MO、CD-Rなどを再利用することはありますか。
一度個人情報などを保管したメディアを再利用して保管することはありません。

廃棄業務の委託

Q個人情報を含むデータの廃棄を委託することはありますか。
原則として廃棄業務の委託はいたしません。
業務上やむを得ず廃棄業務を委託する必要がある場合は、委託先の選定基準にプラスし、以下の条件を満たしていることを確認の上、委託いたします。

  • あらかじめ組織責任者の許可を得ること
  • 委託先と機密保持契約を締結すること
  • 廃棄確認書を取得すること
  • 廃棄の際に立ち会い、廃棄状況の確認を実施すること
  • 廃棄作業を実施するまでの過程のセキュリティーを確保すること

事件・事故・誤動作への対処

ウイルス対策

Qサーバーやパソコンへのウイルス対策ソフト導入状況は、どのように把握・管理していますか。
サーバー側(メールサーバー)でのウイルスチェック、各パソコンにインストールされたウイルスソフトでの二重管理。アップデート状況はシステム管理担当者経由で個別にチェックしています。
Qウイルス対策ソフトのパターンファイルは、どのようにアップデートしていますか。
システム管理担当者経由での通達および個別チェックを行います。

報告

Qセキュリティー事件・事故(個人情報漏えい、機密情報の外部への漏えいなど)は速やかに管理者へ報告されていますか。
当社規定のコンプライアンスプログラムにてセキュリティー自己管理規定を定め、報告体制を整備しています。
Qソフトウェア誤動作発生時の報告先や報告手順(電話・FAX・書面などの報告の形式など)が明確となっていますか。
当社規定のコンプライアンスプログラムにてセキュリティー自己管理規定を定め、報告体制を整備しています。

再委託

選定

Q当社が委託しているデータ処理業務などを外部の業者に再委託していますか。
原則として再委託はいたしません。場合により、個人情報の取り扱いを社外に再委託する必要がある場合は、委託元に対して再委託を確認の上、委託先選定基準を満たした企業に対し、機密保持契約を締結の上、再委託いたします。
Q個人情報の取り扱いを委託する場合の選定基準は明確になっていますか。
委託先は以下のいずれかの条件を満たしていることを基準に選定し、再委託先との機密保持契約を締結します。

  • プライバシーマーク、ISMSなど個人情報を適切に管理することが客観的に評価される認証を取得していること
  • 個人情報の取り扱いに関するルールおよび体制が整備され、かつ従業員への教育、監査が実施されていること
  • 必要に応じて、監査を行えること

監査

Q委託先の監査はどのように行っていますか。
1年に一度、委託先における個人情報の取り扱い状況の実態を把握するようチェックを行います。

派遣社員アルバイト

Q派遣社員やアルバイトなどが従事していますか。派遣社員やアルバイトなどが従事している場合、個人ごとに機密保持契約に関する誓約書を受け取っていますか。
派遣社員・アルバイト採用時は、機密保持契約に関する誓約書を必要とします。

作業代行

アクセス方法

Q個人情報を保管しているデータベースへどのようにアクセスしていますか。
メンテナンスなどの定期的なアクセス以外、貴社アカウント(データベース領域)の個人情報データに対する直接的なアクセスは行いません。貴社アカウントに保管の個人情報データを扱う作業については、委託契約を締結させていただきます。

作業代行方法

Q配信作業やインポートなどの作業の代行委託を行った場合、どのような方法で作業していますか。
当社に対し、貴社アカウント(データベース領域)にアクセスするような作業(配信作業代行・インポート作業代行など)をご依頼いただく場合のみ、委託契約を締結させていただきます。アクセスを行う者は、当社情報管理責任者より権限を渡された担当者のみが行い、貴社アカウントの最低限必要な部分に対するアプリケーションからのアクセスを行います。

教育

基本姿勢

Qすべての社員および情報処理設備を利用する外部委託社員は、機密保持または、守秘義務を雇用条件の一部として同意し、契約書を取り交わしていますか。
はい。
Q従業員に対して、情報セキュリティーに関する教育は、どのように実施していますか。
6カ月に一度、集合教育を実施しています。運用に関しては、プライバシーマーク基準 に準拠しています。
Qデータ処理するパソコンなどには、パスワードで保護されたスクリーンセーバーを設定していますか。
離席時、すべてのパソコンにおいて、パスワードで保護されたスクリーンセーバーの手動起動を徹底しています。

正確性

Q入力ミスなどを防止するため、どのようなチェックを行っていますか。
入力業務は複数人での同時入力を行い対照させています。

監査

Q情報セキュリティーの社内運用状況をどのようにチェックしていますか。
内部監査部門における横断的チェックと、組織単位でのチェックによる二重監査を行っています。