顧客情報の保護に関わる具体的な対策
2004年3月4日弊社では、今般の個人情報盗難問題に関して、全社的な情報管理体制の検証を行った結果、下記対策が最も重要であるとの認識に達しました。そこで、本年3月末までに実施する緊急対策として、下記の対策を早急に実施することといたしました。
本年3月末までの緊急対策
1. 組織的安全対策
-
(1) 情報セキュリティの責任を明確化し、確実に対策を推進する体制として、情報セキュリティ管理責任者(チーフ・インフォメーション・セキュリティ・オフィサー:以下「CISO」とする)に常務取締役 阿多 親市(アタ シンイチ)を任命した。
-
(2) 情報セキュリティポリシーを策定し、部門ごとの責任者を任命し徹底させる。
-
(3) 第三者からのアドバイスをうけるため諮問委員会(正式名称:個人情報管理諮問委員会)を設置した。
- 委員:
-
- 宮脇 磊介氏 (警察庁出身・初代内閣広報官・危機管理の専門家)
- 牧野 二郎弁護士 (「企業情報犯罪対策入門」執筆、情報管理の権威)
- 高橋 伸子氏 (生活ジャーナリスト・金融審議会などの委員を務める)
2. 物理的安全対策
-
(1) 情報システム開発業務は他の業務と切り離し個人情報データは一切使用しないのに加え、アクセス不可の環境下で業務にあたる。
-
(2) 情報システム運用業務、コールセンター業務は高セキュリティエリアで実施し、顧客情報は高セキュリティエリア内でのみ閲覧可能とする。
-
(3) 高セキュリティエリアを設定し、下記のような対策を講じる。
- 認証システム等による入室制限を行い入室者の社員ID、時間を記録し定期的に確認する(入室許可はCISOが承認する)。
- 高セキュリティエリアにある情報システム部門全てとコールセンターの一部の機器は、インターネット環境と物理的に接続しない。
3. 技術/運用的安全対策
-
(1) 顧客情報の取り扱いを次の通り大幅に制限する。
- すべての顧客情報に常時アクセス出来る権限者は、CISOが承認した最低限の人数とする(3名を予定)。また、常時アクセス権限者が、業務上必要と認められたその他の者に対し、期限付きパスワードを発行し業務に対応させる。
- 顧客情報のフィールドの一部を暗号化、および顧客情報を他記憶媒体へのコピー、印刷が出来ないようシステム的に対応する。
- 顧客情報にアクセスした時の、ユーザID、時間、アクションを24時間365日記録し、半永久的に保存する。
-
(2) 高セキュリティエリアからの情報の送出を次の通り制限する。
- ファイルを添付したEメールの送信を禁止する。
- 全ての外部記憶装置の持ち込みを禁止し、利用できない環境を整える。
- Eメール送信の監査ができる機能を追加する。
-
(3) 実績のあるセキュリティ対策専門会社数社とコンサルティング契約を締結し、外部から社内ネットワークへの侵入に対するセキュリティを大幅に強化する。
4. 人的/業務委託安全対策
-
(1) 全ての派遣会社および従業員に対し、個人情報保護教育を実施する。
(教育の内容:集合教育、Eラーニング、テスト等) -
(2) 全ての派遣会社および従業員と再度誓約書を締結し、情報セキュリティポリシーおよび運用ルールの違反者には処罰を与える。
-
(3) 業務委託先との契約をすべて見直し、契約書に次の項目を必ず含めて再締結する。
- 機密保持義務
- 再委託に関する事項
- 事故時の責任分担
- 契約終了時の個人情報の取り扱い
- 個人情報に関する取り扱い状況の監査権
また、企業としてのセキュリティ管理能力を高める、より本質的な活動を中長期的に継続して取り組んでいく所存です。具体的には下記の活動に取り組みます。
企業のセキュリティ管理能力を高める中長期的な活動への取り組み
「リスク対応の原則」、「セキュリティのデザインと実装の原則」、「セキュリティマネジメントの原則」に則り以下の対策を行う。
-
(1)全社でリスク分析を実施し、情報セキュリティに係るリスクに対応する。
-
(2)情報セキュリティに関する規定類を再整備し、周知徹底教育を継続的に実施する。
-
(3)顧客情報取り扱い業務のプロセスを全て見直す。
-
(4)全ての派遣会社および従業員に対し、個人情報保護教育を定期的に実施する。
-
(5)情報セキュリティ監査体制を強化し、早期に課題の発見、改善に努める。
-
(6)危機管理計画を策定する。
-
(7)以下の国内外の情報セキュリティスタンダードに準拠し、第三者の評価を得る。
発行元 ガイドライン名 総務省 - 情報通信ネットワーク安全・信頼性基準
- 電気通信事業における個人情報保護に関するガイドライン
経済産業省 - 情報セキュリティ管理基準
- 情報セキュリティ監査基準
財団法人日本規格協会(JSA) - JIS X 5080 情報セキュリティマネジメントの実施のための規範
- JIS Q 15001 個人情報保護に関するコンプライアンス・プログラムの要求事項
今回の事件を糧とし、今後、情報セキュリティにおいて国内外でも有数の企業となるよう決意し、取り組んでまいります。
以上
- プレスリリースに掲載されている内容、サービス/製品の価格、仕様、お問い合わせ先、その他の情報は、発表時点の情報です。その後予告なしに変更となる場合があります。また、プレスリリースにおける計画、目標などはさまざまなリスクおよび不確実な事実により、実際の結果が予測と異なる場合もあります。あらかじめご了承ください。