はじめまして。株式会社コプロシステムの取締役で情報セキュリティを担当している柘植と申します。
当社では、キャンペーンやファンクラブの運営サポート、カスタマーサービス代行事業等を行っています。顧客データやマーケティングデータは、企業の競争力を支える重要な資産です。また、各種情報が法令に則り、安全かつ適正に管理されていることは、持続的な成長と成功において欠かすことができません。そこで、当社の情報セキュリティと個人情報保護に対する取り組みの一部をご紹介します。
ISMS認証の取得
情報セキュリティとは、企業や組織の情報資産をさまざまな脅威から守ることです。一般的に情報セキュリティと聞くと、会員リストの盗難やサーバーへの不正アクセスなどによるデータ漏えいなど、情報の盗難を防ぐ対策(機密性)のことがすぐに思い浮かぶ方も少なくないと思います。ただ、それだけではありません。情報の破損や改ざんを防いで情報が正しい状態であることを保つ(完全性)ことや、定期的にバックアップを取ることなどで情報をいつでも使える状態で保持すること(可用性)も、情報セキュリティの大切な要素となります。
現在、当社が認証を取得している情報セキュリティについての制度は、「情報の機密性・完全性・可用性を維持するための仕組み」を適切に構築し運用している組織が評価されるISMS(Information Security Management System)認証になります。
情報セキュリティで維持すべき3つの要素を説明すると以下になります。
1.機密性(Confidentiality):情報へのアクセスを許可されていない者に対して情報を使用させず又は開示しない特性
2.完全性(Integrity) :情報が正確でありかつ完全であることを保持する特性
3.可用性(Availability) :情報へのアクセスを許可された者が要求した時にアクセス及び使用が可能である特性
プライバシーマークの取得
さらに当社は、クライアントの個人情報をお預かりして処理を行うことが多いため、個人情報保護に対する取り組みとして「個人情報を適切に管理している」事業者であることが評価されるプライバシーマーク制度の認証も取得しています。
個人情報の漏えい防止など個人情報を適正に管理する仕組みに必要な安全管理措置として、以下の4つの観点について適切な措置を講じることが義務付けられています。
| 組織的安全管理措置 | あらかじめ定めたルールに従って個人情報が適切に取り扱われる組織体制を整備する |
| 人的安全管理措置 | 従業者に対して個人情報の適正な取扱いを周知徹底するとともに適切な教育を行なう |
| 物理的安全管理措置 | 個人情報が入力、参照、格納される情報機器及び電子媒体等を物理的な方法によって保護する |
| 技術的安全管理措置 | 個人情報及びそれを取り扱う情報システムへのアクセス制限など技術的な管理策を講じる |
継続的な運用を確実に行うために
当社では、情報セキュリティと個人情報保護のための要求事項を含んだマネジメントシステムの運用・構築指針に準拠した社内規定を定め、従業者に教育を行い、それを実施する組織体制を整備して、日々の業務の中で予め定めたルールでチェックを行い記録として残す、という活動を行っています。その活動の中で特に重視しているのは、これらを「継続的に運用する」ということです。
なぜならば、年々技術が進化し、それと共に新たな攻撃手法や攻撃対象が増え、情報漏えいのリスクも年々拡大しています。それに伴ってセキュリティ対策も変化し法整備も継続的に行われているからです。
ISMSの要求事項となっているJISQ27001:2023の6.2(情報セキュリティ目的及びそれを達成するための計画策定)では、
情報セキュリティ方針やリスク対応計画の実施内容と整合した目的を確立して、それを達成する計画(目標)を決定し実施する。
ことが定められています。
さらに、プライバシーマーク制度の要求事項となっているJISQ15001:2023の9.1(監視,測定,分析及び評価)では、
組織は、個人情報保護マネジメントシステムが適切に運用されていることが組織の各部門及び階層において定期的に及び適宜に確認されるための手順を確立し,それを文書化した情報とし,実施し,かつ,維持しなければならない。
が定められていて、目的を達成する計画(目標)を実施することを、定期的に確認する手順を確立してそれを実施・維持しなければならないとされています。
当社において「継続的に運用する」ことを確実にするために策定し実施しているのは、情報資産台帳をリスクアセスメントした結果を元に作成したリスク対応計画書の内容を、毎月の自主点検と情報セキュリティ目標として実施する流れになります(下記、リスクアセスメントフロー図参照)。
具体的には、毎年、当社各部門ではその部門が取り扱う個人情報を含めた情報資産を情報資産台帳として洗出しを行い、リスク分析支援ツールで情報資産に対するリスク分析・評価(リスクアセスメント)を行って、その結果、リスクレベルが高く部門として対応すべきリスクについて、その管理策と対応方針をリスク対応計画書としてまとめています。
このリスク対応計画書にまとめられたリスクについての管理策と対応方針について、どのように実施して行くかを具体的に検討しなければならない項目については、それを情報セキュリティ目標として定めて毎月検討し、その検討記録をマネジメント事務局でチェックします。
リスク対応計画書にまとめられたリスクについての管理策と対応方針が、実施されていることの定期的な確認が必要とされた項目に対しては、毎月実施する自主点検の点検項目に設定して確認し、その確認記録をマネジメント事務局でチェックする流れを実施しています。
各部門が取り扱う情報資産のリスクアセスメント結果から作成されたリスク対応計画書の内容について、毎月検討又は点検確認することを行い、それをマネジメント事務局でチェックする流れを実施することで、マネジメントシステムを「継続的に運用する」ことを確実にしています。
マネジメントシステム運用・構築指針に準拠した運用体制を構築し、しっかりとしたセキュリティ対策を策定しても、それが確実に実施され続けなければ効果はありません。当社においてはセキュリティ対策の効果が確実に発揮され続けるように、上記のような「継続的に運用する」ための流れを策定し実施しています。
取締役 柘植 夏記
