Information security & personal data protection 情報セキュリティ・個人情報保護
情報セキュリティ・個人情報保護に関する考え方
当社が提供するサービスにおいては、利用者のさまざまな情報をお預かりしています。これらの情報を適切に管理することは、安定した事業活動を継続するのみに留まらず、今まさに後継者不足などで事業継続の危機に瀕している方々を守ることと密接につながっています。
そのため当社は、悪意や環境による社外要因、故意や過失による社内要因を含むすべての脅威から利用者情報及び当社の情報資産を守るため、「情報セキュリティ方針」及び「個人情報保護方針」を定め、情報漏洩及びデータ破壊、サービス停止等のリスクに対して適切な措置を行っています。
情報セキュリティ実行体制
当社では、CPO(Chief Product Officer)を情報セキュリティ管理業務の実行責任者とし、コーポレートIT部門が中心となって、CSIRT、PSIRT、各部門のセキュリティ担当者と連携しながら情報セキュリティ向上に向けた取組を行っています。
情報セキュリティ・個人情報保護に関する主な取り組み
個人データ、および機密データの取扱いルールの制定
当社では、個人データ、および機密データの取得、利用、保存、提供、削除・廃棄等の各段階における取扱い方法を定めた社内規程、および対外的な個人情報保護方針を策定しています。
なお、個人データの取扱いに関する社内規程に違反する行為は、懲戒処分の対象となっております。
セキュリティ教育の実施
当社では、入社時研修や定期的な研修、セキュリティ訓練を行っています。
| 入社時研修 | 全新入社員を対象に、コーポレートIT部門が講師となり、一般的な情報セキュリティ知識と対策、および社内のセキュリティルールを体系的に学ぶ対面形式の研修を実施します。 |
| 定期的研修 | 全従業員を対象に、一般的な情報セキュリティ知識と対策、および社内のセキュリティルールに関する啓蒙、確認を目的としたeラーニング形式の研修を実施します。 |
| セキュリティ訓練 | 全従業員を対象に、標的型攻撃メールの訓練や、インシデント発生時の対処法を確認する訓練を定期的に実施します。 |
セキュアなサービスを提供するための取り組み
お客様に安心してサービスをご利用いただくために以下の対策、対応を行っています。
- WAF、FW、IPS/IDSによる不正アクセスの予防・遮断など外部からの攻撃対策
- CRYPTREC暗号リスト(※)に準拠した、ディスクや通信への暗号化アルゴリズムの適用
- IPAの情報セキュリティサービス基準適合サービスリストに掲載されている外部の第三者機関による脆弱性診断の実施
- 災害等でデータが毀損した場合に備えたバックアップ
- プログラミング言語、ライブラリ、パッケージ等の脆弱性の監視、および検知時の対応等
情報漏洩対策への取り組み
お客様からお預かりしているデータを様々なリスクから守るべく、以下の対策、対応を行っています。
- EPP/EDRによる外部からの脅威、攻撃への対策
- MDMによる端末の統合管理、デバイスの不正使用の制御
- 覗き見防止フィルターの装着や、メール送信時のセルフチェックといった基本動作の運用の徹底
- 社員の退職時の速やかなアカウントの削除と、定期的なアカウントの棚卸
- 社内システムへの最小権限の原則の徹底、利用履歴の定期的点検等
情報セキュリティ認証の取得
サービス運営組織としてお客様に安心していただくため、ISMS認証を取得しています。
| 適用規格 | :ISO/IEC 27001:2022 |
|---|---|
| 対象範囲 | :M&A及び事業承継に関するプラットフォームの開発及び運用保守 |
| 登録事業所 | :株式会社バトンズ 本社、大阪支社 |
| 認証機関 | :SGS ジャパン株式会社 |