サイトマップ お客様情報流出の再発防止に向けた情報セキュリティ強化対策について〈別紙〉 ●I 再発防止策に関する考え方 次の4つの観点から、全社的な情報セキュリティの再点検を行い、「物理的セキュリティ対策」、「技術的セキュリティ対策」、「管理的・人的セキュリティ対策」のそれぞれについて、IIおよびIIIに示す強化策を策定した。 (1)  情報流出およびデータ抽出防止 (2)  証跡確保 (3)  情報セキュリティ対策の有効性測定、客観性確保 (4)  当社社員および業務委託先等社員に対する教育の徹底 ●II 速やかに実施する強化対策 (今年度内) これまでに実施してきた諸対策の一層の強化を図るとともに以下の諸施策を実施する。 (1)  物理的セキュリティ対策 1)  お客様情報システムを取り扱う高セキュリティエリアに加え、一部特別作業を行う執務室においても監視カメラおよび生体認証による入退室管理を実施する。 2)  全国の事業所においても、監視カメラおよびICカードによる執務室への入退室管理を実施する。 3)  以上の監視カメラ映像および入退室ログを永年保存する。 (2)  技術的セキュリティ対策 1)  PCのセキュリティ強化のため、社内の全業務用PCの端末デバイス規制 (USB、FD、CD-R等への書込み禁止) を徹底する。 2)  各種アクセスログを永年保存する。 3)  電子メールについて、お客様情報、機密情報の有無を含め監視を強化する。 4)  お客様情報システムの開発部門には既にThinクライアント端末を導入しているが、運用部門等にも拡大導入する。 5)  お客様情報を取り扱うシステムにフォレンジクス (注) ツールを導入し、証跡保全を強化する。 注)  情報セキュリティに関わる事故が発生した場合に高度なツールによって侵入経路、侵入者、被害範囲等を特定し、その証を収集記録するための技術 6)  お客様情報を取り扱う専用PCには、メール/インターネットの規制を徹底するほか、生体認証の導入や、アクセスログの取得強化等のセキュリティ対策を図る。 7)  業務委託先等とお客様情報ファイルの授受を行うために、セキュアなファイルサーバを導入する。 (3)  管理的・人的セキュリティ対策 1)  一部部門において取得済のISMS (情報セキュリティマネジメントシステム) 認証を早期に全社で取得すべく、その活動を促進する。 2)  一部の情報システムについて実施している、内部による情報セキュリティ監査の他、外部機関による監査を他の主要な情報システムについても順次実施する。 3)  全社員および業務委託先社員に対する情報セキュリティ・コンプライアンスに関するe-ラーニングや階層別研修を実施するとともに、業務委託先の情報セキュリティ責任者に対する研修を全国規模で実施する。 4)  派遣社員・委託先社員のデータベースシステムを構築し、一元管理を強化する。 ●III 中長期的な取組み (1)  お客様情報を利用する業務のプロセスについて、改善に関する企画・推進、監査、改善状況のチェック等を行うための体制をより高度化して整備する。 (2)  外部からの脅威や技術レベルの進展を踏まえ、情報セキュリティのレベルを継続的に見直し、向上させる。 (3)  情報セキュリティおよびコンプライアンスに関する当社社員および業務委託先等社員に対する教育を継続的に実施する。 戻る