情報セキュリティ

ソフトバンクグループで定める「情報セキュリティ基本方針」と「個人情報保護方針」に沿って、情報セキュリティと個人情報保護の取り組みを行っています。

情報セキュリティの取り組み

憲法で保障された「通信の秘密」を守り、お客さまからお預かりする個人情報を厳格に管理することは、各種通信サービス(移動通信サービス、ブロードバンド総合サービス、固定通信サービスなど)などを提供する企業として極めて重要な責務と考え、情報セキュリティ活動を推進する仕組みづくりや従業員への教育・研修など、「組織的対策」「人的対策」「物理的対策」「技術的対策」を主軸とした、情報セキュリティの強化に努めています。

社内には「CISSP(情報セキュリティ・プロフェッショナル認証資格)」、「CISM(公認情報セキュリティマネージャー)」、「CISA(公認情報システム監査人)」、「JGISP(日本行政情報セキュリティプロフェッショナル)」、「GIAC(Global Information Assurance Certification)」などのセキュリティ関連資格者を多数有しており、これら資格者を含めた専門的な知見の下、セキュリティ対策を進めています。

情報セキュリティの取り組みの一環として、情報システム部門やソフトバンクショップの直営店など多くのセクションで、情報セキュリティマネジメントシステムの国際規格である「ISO27001」の認証を満たした運営を実施しています。全国にあるソフトバンクショップでは、ショップ内における個人情報の保存を禁止し、顧客登録用のセキュリティの高い専用パソコンを開発し提供することで、ショップからの情報流出などを防止、ならびに情報の安全性の確保を実現しています。さらに、業務委託先においても当社と同等以上のセキュリティレベルを維持するよう定期的なセキュリティ調査を実施し、必要な指導・啓発を行うなど、情報セキュリティの向上に取り組んでいます。

[注]
  • 憲法で保障された「侵してはならない」重要な権利の一つ。通信の内容以外にも通信者の氏名や住所、通信の有無なども通信の秘密の保護対象となります。

情報セキュリティの4つの対策

情報セキュリティの4つの対策

組織的対策

組織的対策

「ソフトバンクグループ情報セキュリティ対策ガイドライン」に沿って、従業員が順守すべき「情報セキュリティポリシー」を制定するとともに、情報セキュリティ管理責任者(Chief Information Security Officer、以下「CISO」)を選任しています。
また、CISOを委員長とする情報セキュリティ委員会(ISC:Information Security Committee)を組織して、情報セキュリティ対策に有益な情報の共有と、環境変化や技術革新に適合した対策の見直しを行っています。

人的対策

人的対策

各種通信サービスなどを提供する企業として、お客さまの個人情報保護を最優先に据えて、情報セキュリティに取り組んでおり、個人情報に関する指針や開示の手順などを「個人情報の取り扱いについて」に定め、公表しています。
さらに日々の業務の中で、情報を適切に取り扱い、情報セキュリティ確保を実践できるよう、特に「個人情報保護」と「通信の秘密」を中心に、役員・従業員への集合研修、定期的なeラーニング教育などの活動を行い、情報セキュリティの知識およびモラルの向上に継続的に取り組んでいます。また、情報セキュリティに関する資料や啓発動画は、社内のイントラネット上に掲載されており、いつでも従業員が閲覧できる環境となっています。

物理的対策

物理的対策

実務環境においては、5段階のセキュリティエリアレベルを導入し、それぞれのレベルに応じたセキュリティ管理を進めています。特にレベル3以上を「高セキュリティエリア」と位置づけ、個人情報などはこのエリア内のみで取り扱うことを徹底しています。
例えば、高セキュリティエリアに指定されているカスタマーサポートセンターでは、警備員とカード認証による入退室管理をはじめ、禁止携帯品の持ち込み防止を目的とした透明袋の利用など、高セキュリティエリア専用のルールを設定し、徹底したセキュリティ管理を実施しています。

技術的対策

技術的対策

高セキュリティエリアの「Security Operation Center(SOC)」において、セキュリティレベルの維持・管理のため、業務パソコンの操作状況、社内ネットワークの利用状況、社内の各サーバーへのアクセス状況などを監視するとともに、社外からのサイバー攻撃による不正アクセスを、監視・防御しています。また、セキュリティレベルに応じてアクセス権限・使用するネットワークなどを分離・独立させています。
さらに業務用パソコンについては、業務に無関係なサイトの閲覧や利用を制限し、機密情報の社外持ち出しの抑止などを目的に、社内の業務エリアからウェブサイトへのアクセス規制やシンクライアント化を推進し、セキュリティの強化を実現しています。

情報セキュリティ委員会(ISC)

CISOを委員長として、各部門の情報セキュリティ管理担当者などで構成する情報セキュリティ委員会(ISC)を設け、全社的な情報セキュリティ施策の推進・管理に努めています。また、効果的なセキュリティ施策を実行するために、情報セキュリティ委員会事務局(以下「ISC事務局」)を設置し、全社に向けて迅速な情報セキュリティの施策や計画の推進・調整を行っています。

さらに、個人情報保護管理者を選任し、個人情報の取り扱いに関わる方針を定め、お客さま、ならびに従業員などの個人情報の保護に努めています。

役割

横断的な組織として全社的な情報セキュリティ活動の推進・管理に取り組んでいます。

  1. 情報セキュリティ活動に有益な情報の共有
  2. 情報セキュリティ活動に関わる全社的な施策・計画の共有
  3. 情報セキュリティに関わる全社的な状況の把握と改善
  4. 情報セキュリティ教育の推進・啓発
  5. 情報セキュリティ施策の各部署間の調整

情報セキュリティ委員会(ISC)