個人データの安全管理措置
当社の安全管理措置について

1.基本方針

当社は、お客さまの個人情報を適正に取扱い、安全管理のための社内体制を整備し、適切な安全管理措置を講じます。

2.組織的安全管理措置

(1)個人情報保護および情報セキュリティに関する社内規程に基づいて個人データを取扱い、記録をとり、取扱い状況を監視し、確認を行います。具体的には、個人データの取扱責任者を任命し、担当部署と所属する社員の役割を明確化し、各社員の取扱い範囲を限定し、規律を徹底させます。運用にあたり、システムログを管理し、個人情報フォルダの出力状況と利用報告を徹底し、個人情報の削除・廃棄の確認を行います。

(2)お客さまの個人データの流出、紛失、漏えい、改ざん等のリスクを感知した場合は、ただちに事実確認を行い、なお被害事案等を確認した場合は、二次被害の防止および類似事案の発生防止のため、原因究明の行動を起こし、迅速に再発防止策を策定したうえで影響を受ける可能性がある当事者への通知、取引先等の関係各所への連絡、個人情報保護委員会等への報告、ならびに当社ホームページでの公表を行います。

(3)リスク発生にかかわらず、定期的に個人データの取扱い状況について点検・監査し、組織的安全管理措置の見直しと改善に取り組みます。

3.人的安全管理措置

(1)当社の役職員を対象に、個人データの取扱いについて定期的な研修等を行い、取扱いルールを周知徹底させます。

(2)入社時に個人による秘密保持を誓約させ、就業規則に秘密保持義務違反に対する懲戒を明文化しています。

4.物理的安全管理措置

(1)個人データを取扱うサーバ室やデータの管理・取扱区域は部外者の立入を禁じており、社員が使用するパソコン、電子媒体、書類等は施錠できるキャビネット・書庫等に保管またはワイヤーで固定させ、適切に管理します。個人データの区域外への持出しを禁止し、やむを得ない場合はパスワードの設定、データの暗号化やセキュリティUSBの使用等によりパソコン・媒体等の紛失・盗難時の安全確保に努めます。

(2)個人データを記載した書類はシュレッダー等で廃棄し、個人データを記録したことがあるパソコン・媒体等を廃棄する場合は、データを消去したうえで機器本体を復元不可能になる手段で廃棄させ、廃棄証明書等で確認します。

5.技術的安全管理措置

(1)個人データを取扱う社員を限定し、さらにその取扱い範囲を限定するために、個人別に適切なアクセス制御を行います。またユーザーID、パスワードを検証してアクセスした社員が正当なアクセス権者であるかの認証を行います。

(2)情報システムと外部ネットワークの接続箇所に隔壁を設置し、外部からの不正アクセスを遮断します。情報システム・機器にはセキュリティ対策ソフトをインストールして、不正ソフトウェアを検知します。また社員にはパソコンの自動更新機能を常に最新の状態に保つよう指導し、不正ソフトウェアへの警戒心を徹底させることで、当社の個人データベースを保護します。

(3)今後の新システム導入に当っては設計時に安全性を確保させ、既存システムについては脆弱性診断も行っていきます。個人データを含む通信の経路または内容は暗号化します。メール等により個人データを含むファイルを移送する場合は、当該ファイルへのパスワード設定を徹底します。

以上

2022年4月1日 最終改定