セキュリティポリシー

組織的安全管理措置

個人情報の取扱いに関する事務取扱い責任者を設置するとともに、個人情報を取扱う従業者及び当該従業者が取扱う個人情報の範囲を明確化し、個人情報保護法や個人情報取扱い規程に違反している事実又は兆候を把握した場合の事務取扱い責任者への報告連絡体制を整備しています。

1. 組織体制の整備
   個人情報を安全に管理するため、個人情報保護管理者(CPO）や監査責任者をはじめ、各業務管理者を定め、責任と役割を明確化しています。


2. コンプライアンスプログラム（個人情報保護規定）の整備と運用
   個人情報保護の行動規範としてコンプライアンスプログラム（GDPRに基づき、日本が個人情報について十分な保護水準を確保していると決定した場合の定めに基づいての規定を含む）を定め、ユーソナーの業務に従事する全ての者への教育・研修を適宜実施し、周知徹底するとともに意識向上と啓蒙に努めています。


3. 預かりデータの取扱い状況を一覧できる手段
   預かり媒体管理書を活用し、取扱い状況を一覧化した体制を構築しています。またデータ預かりの際には、「顧客情報預かり書兼返却書」を発行し、アクセス制限のあるサーバに保管すると共に、媒体については施錠管理を行っています。


4. 評価と見直し及び改善(セキュリティセンターの設置と運用）
   個人情報に関わる責任者・担当者をアサインし、セキュリティセンター(管理委員会 委員長:代表取締役福富）にて、随時評価と見直し及び改善を実行しています。


5. 事故又は違反への対処
   万が一、事故又は違反が発覚した場合、セキュリティセンターにて、事実調査、原因の究明を行うとともに、影響範囲の特定や再発防止策を検討実施し、しかるべき対策を行うフローを構築しています。

⼈的安全管理措置

個人情報の取扱いに関する留意事項について、従業者に定期的な研修を実施し、個人情報についての秘密保持に関する事項を就業規則に記載しています。従業者に対する、業務上秘密と指定された個人情報の非開示契約の締結や教育・訓練等を行い、人的な安全管理措置を行っています。

1. 雇用時における従業者との誓約書の締結
   ユーソナーで働く社員・派遣社員・アルバイト全てに対し、機密保持についての誓約書を締結しております。なお家族を連帯保証人としています。


2. 業務委託時における外部委託先との契約書締結
   ダイレクトメール発送会社やデータ入力会社等に個人情報の取扱いの委託を行う際には、情報セキュリティや個人情報の保護体制が一定レベルにある事業者を選定しています。選定方法として受託事業者選定基準を社内規程として定め、調査記録し、業務委託契約書（秘密保持・再委託に関する事項・事故時の責任分担・契約終了時の個人情報の返却及び消去を含む）により受託者の責任（及び、免責の基準）を明確にしています。


3. 従業員に対する内部規定等の周知・教育・訓練の実施
   ユーソナーの新入社員及び中途社員・アルバイト・顧問に対して新人教育・中途採用教育として、入社研修プログラムで個人情報保護研修を実施しています。ユーソナーの社員に対しては、年1回以上、社内コンプライアンスプログラム及び個人情報保護法教育マニュアルの内容及び改善箇所、法律の変更事項等の臨時的な報告を行って周知しています。


4. 従業員の心理状態の分析
   従業員が記載する日報の感想から、テキストマイニングで心理状態を抽出し、ネガティブ度やポジティブ度を分析しています。


5. 派遣社員の特別な管理
   派遣社員は雇用主が異なるため、セキュリティ権限を社員よりも低く設定し、個人情報には物理的、技術的にアクセスすることができません。


6. 公正な評価、自己申告制度
   公正な評価を心がけ、自己申告制度等も活用し、従業員のモチベーションを維持するよう努めています。


7. 単独での顧客情報操作不能
   単独の作業者のみで機密度の高い個人情報を抽出できない体制（2名以上でないと抽出できない体制）を構築しています。

物理的安全管理措置

入退館（室）の管理、個人情報の盗難の防止等の措置を行い情報への不正アクセス、情報の紛失、破壊、改ざん、漏洩の予防等、物理的な安全管理措置を行っています。

1. 入退館（室）管理
   全ての扉に従業員のクレジットカードを活用した入退室管理システムを導入し、入退室の履歴管理と、入退室の制限を行っています。


2. 盗難等の防止
• 監視カメラ
  監視カメラにより、24時間・365日、不法侵入者・不正行為をチェックしています。監視カメラで録画した画像データは、最低でも3ヶ月間保存し、履歴管理を行っています。
• 電子媒体の施錠管理
  物理的に施錠管理するだけでなく、保管キャビネットがあるエリア入室は入退室管理システムにて、入室を制限しています。
• 夜間及び休日対応
  ビル警備員及び監視カメラや入退室管理等の監視機器併用による24時間×365日警備を実施しています。
• PC等の機器の社外持ち出しを禁止
  PC等の機器の社外持ち出しを禁止しています。例外処置としてCIOへの申請、及び承認手順を経た持ち出しは可能としています。
• 持ち物検査の実施
  抜き打ちの持ち物検査を実施することで、私物PCや記憶媒体、事前に申請されたもの以外のスマートフォン、刃物・危険物が社内に持ち込まれていないか定期的にチェックしています。

技術的安全管理措置

個人情報を取扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入しています。

1. データへのアクセスにおける識別と認証
   全ての端末に対して、リアルタイムで誰が何時、何をどのように操作したのかを全てログとして保存しております。


2. アクセス制御
• ログイン制御
  ユーソナーは、個人情報にアクセスする権限を限定された特定の社員にのみ付与しており、複製等行っておらず、かつアクセスログを保存し、監視しています。また、ユーソナーでは、個人の端末にログインする際のパスワードを各人で設定しています。電子的ドキュメンテーションは共有サーバにて管理され、フォルダ単位でのアクセス制御をシステム上で行っています。
• ID管理･削除
  異動・退職者に対してID、入退室カード等の権限変更・削除を即時実施しています。


3. ソフトウェア対策
• マルウェア対策
  既知・未知のマルウェアに対応するため、複数のソフトウェアを全端末に導入しています。
• ブラックリスト
  各ユーザーは端末に対しユーザー権限のみを有し、アプリケーションのインストールを実施することができません。利用を許可しないソフトウェアをブラックリスト化しており、万が一インストールされていても起動させないように制御しています。


4. 移送・送信時の対策
   ユーソナーのネットワーク、インターネット経由にて、送信される機密情報はTLSによる暗号化及び専任の担当者による送信承認を得たもののみが送信される仕組みとなっています。またメール添付にてファイル送信する場合、自動BCC機能により上司に通知されるようになっています。また専任の担当者により、定期的に適切な送信であったか確認を実施しています。


5. デスクトップのVDI（仮想デスクトップ）化
   VDI化により各自が利用しているクライアント端末（ノートPC含む）にはデータが残らない形式をとっています。その為、USBやBluetooth等のデータ持ち出し手段への対応が不要となっています。


6. 第三者によるセキュリティチェックの実施
   定期的にセキュリティ検査（情報漏洩チェック）を実施しています。結果、ユーソナーのセキュリティ体制が強固であると評価を頂いてます。

その他の対策については、セキュリティ上公開しておりません。詳細は、弊社までお問い合わせください。必要に応じてご説明させて頂きます。

個⼈情報保護指針の策定・個⼈情報の取扱いに係る規律の整備

• 個人情報の適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等について規程を策定しています。
• 取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱い方法、責任者・担当者及びその任務等について規程を策定しています。

ISO認証

ユーソナーは、３つのISO認証を取得しています。

1. 情報セキュリティマネジメントシステム - ISO/IEC 27001:2013

認証登録番号：IS 696370　　認証取得日：2018/09/25

2. ISMSクラウドセキュリティ - ISO/IEC 27017:2015

認証登録番号：CLOUD 731975　　認証取得日：2020/11/04

3. MANAGEMENT SYSTEM FOR PROTECTION OF PII IN PUBLIC CLOUDS ACTION AS PII PROCESSORS - ISO/IEC 27018:2019

認証登録番号：PII 731976　　認証取得日：2020/11/04