プライバシーマークとISMS(JISQ 27001)
当社では、プライバシーマーク、ISMSの二つの規格を統合したマネジメントシステムを導入し、個人情報保護に努めています。
マネジメントシステムのPDCAサイクル
具体的な取り組み(安全管理措置)
組織的安全管理措置
- 個人情報保護方針及び情報セキュリティ基本方針の制定とホームページによる公開
- 個人情報保護管理責任者の設置など個人情報保護に関する社内管理体制の整備
- 人情報保護と情報セキュリティに関する規定類の整備と運用
- 情報システムの管理と利用に関する規定類の整備と運用
- 委託先の選定基準及び委託契約書の整備と運用
- 入退館管理に関する規定類の整備と運用
- 個人情報管理システムによる個人情報台帳の整備
- 監査計画に基づく監査(内部監査及び外部監査)と監査報告会の実施
- 緊急時等における代表者等への報告体制の整備
人的安全管理措置
- 従業者の採用時における「機密及び個人情報の守秘に関する契約書」への署名捺印
- 従業者の採用時における個人情報保護に関する入社時教育の実施
- 教育訓練計画に基づく従業者に対する定期的な教育訓練の実施
(年1回 研修後、テストも実施)
物的安全管理措置
[本社・テレコムセンター]- セキュリティロック設置(常時施錠)による入室管理
- 部外者の入退室管理の実施と記録
[フルフィルメントセンター]
- 正面入口にゲートとインターフォンを設置
- 倉庫内ゲート横に無線センサーライト通報機器を設置
- 個人情報の施錠保管と鍵管理の実施
- 離席時のパスワード付きスクリーンセイバーの起動実施
- サーバー機器類管理者用エリアの設置と鍵管理の実施
技術的安全管理措置
- ユーザー認証による個人データへのアクセス制限の実施
(個人データへのアクセス権限の適切な付与と対象者数の限定) - 個人情報データを格納した情報システムへの無権限アクセスからの保護
- アプリケーション起動時にユーザー認証を行うことによる個人情報データへのアクセス制限
- ファイアウォールやルータ等の設置による情報ネットワークへの無権限アクセスの防止
- 情報システムのアクセスログの収集と定期的なチェックの実施
- アプリケーション起動状況の監視
- データベースの監査機能を利用したアクセスログの収集と定期的なチェックの実施
- ウィルス対策ソフトウェアの導入とパターンファイルの自動更新設定
- オペレーティングシステムやアプリケーション等に対するセキュリティパッチの適用
- 個人情報データをネットワークで送信する際の暗号化対策
(通信経路の暗号化《SSL》、データの暗号化)
