株式会社IVP個人情報保護体制 (社内 PMS の抜粋) 平成 22 年 1 月 1 日 現在 株式会社IVPでは、個人情報保護計画、セキュリティ管理計画を立案し、実施、評価、改善を行って います。個人情報保護方針と、個人情報収集に関するお知らせを、弊社ホームページに掲載しています。 http://www.ivp.co.jp/privacy/index.html 又、個人情報保護についての全社的管理の第三者認証としてプライバシーマーク認定番号 第 10821115 (03)号を取得しております。それらの情報管理及び運営について当社データセンターでは第三者認証と して ISMS(ISA IS 0046)を当社データセンターが取得しております。 弊社では、個人情報保護のため、以下の対策を実施しております。 1 個 人 情 報 の 収 集 、 保 管 に つ い て □ 個人情報の収集は、目的を明確に定めてその目的の達成に必要な限度によって行っています。また、 特定の機微な個人情報は収集いたしません。 □ 個人情報の収集は、適法、かつ公正な手段によって収集目的の範囲内で、具体的な業務に応じ権限を 与えられた者のみが、業務の遂行上必要な限りにおいて行っています。 □ 個人情報は物理的に閉鎖された入退室管理をしている場所か施錠できる保管庫に常時保管していま す。また、電子化された個人情報は、個人情報管理サーバーのみに保管しています。 □ 弊社では、代表者によって選任された個人情報管理責任者が、弊社が保有するすべての個人情報を特 定し、危機を調査・分析するための手順・方法を確立し、維持しています。特定した個人情報に関す る危機(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えい等)を調査・分析の 上、必要な対策や内部規定を策定し、維持しています。 2 個 人 情 報 を 格 納 し た サ ー バ ー 、 個 人 情 報 を 格 納 し た サ ー バ ー に 接 続 す る P C に つ い て □ 個人情報管理サーバーのネットワークは、その他のネットワークと分離し、必要なアクセス管理をし ています。個人情報の管理(コンピュータへの入力・出力・保管など)は、個人情報取扱担当者が行 います。 □ すべての社員の PC にはコンピュータ起動時からワクチンソフト(マカフィーアンチウイルス コーポ レートエディション )を稼働させています。 □ す べ て の 社 員 の P C に は フ ァ イ ル イ ベ ン ト の ロ グ を す べ て 取 得 し 管 理 す る ソ フ ト ウ エ ア ー (Infotrace)を導入致しております。 □ 個人情報管理サーバー、専用PCには不要なソフトウェアをインストールいたしません。 □ 個人情報管理サーバーに接続するPCにはモデムやフロッピーディスクドライブ等を付けていません。 □ 未使用状態で一定時間(1分)を経過した場合にはPCの画面をクリアーし、アプリケーションを終 了したうえでネットワークのセッションが切れるように設定し、キーロック、パスワードの保護対策 を実施しています。 1 □ パスワードは、推測しやすい文字や連続文字、数字を使用せずに設定し、随時変更し、紙媒体等に記 述しておりません。 3 個 人 情 報 管 理 サ ー バ ー 、 個 人 情 報 管 理 サ ー バ ー に 接 続 す る P C の 利 用 に つ い て □ 個人情報の管理(コンピュータへの入力・出力・保管など)・利用は、個人情報取扱担当者のみが行 います。 □ 個人情報管理サーバーにアクセスできるコンピュータが無断で利用された形跡がないか、利用履歴等 を随時確認しています。個人情報管理サーバーにアクセスできるコンピュータを入力待ち状態で放置 いたしません。 □ 個人情報管理サーバーにアクセスする権限のないものは、個人情報管理サーバーにアクセスできるコ ンピュータを使用いたしません。 4 デ ー タ 内 容 等 の チ ェ ッ ク □ 個人情報を格納したサーバーへの不要なPC接続を制御(禁止)し、アクセス状況についてのログを 定期的にチェックして、結果を記録しています。また、バックアップは権限者だけが行い、バックア ップ媒体は権限者が施錠できる保管庫に保存しています。 □ 個人情報を利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しています。 5 個 人 情 報 保 護 に 関 す る 教 育 □ 全ての従業員に対して個人情報保護の重要性、個人情報保護法の内容、個人情報保護方針、コンプラ イアンス・プログラムの内容と役割分担、セキュリティ教育を定期的に実施しており、教育実施記録 を残しています。 6 個 人 情 報 保 護 に 関 す る 社 内 監 査 □ 個人情報の管理状況、コンプライアンス・プログラムが日本工業規格「個人情報保護に関するコンプ ライアンス・プログラムの要求事項」(JIS Q 15001)の要求事項と合致していること、及びその運用 状況について定期的に監査を実施しています。 7 個 人 情 報 保 護 に 関 す る 苦 情 ・ 相 談 窓 口 の 設 置 □ 個人情報及びコンプライアンス・プログラムに関しての苦情・相談を受け付けて対応する窓口を常設 し、この連絡先をホームページ上に掲載し、情報主体に告知しています。 8 事 業 所 構 内 の セ キ ュ リ テ ィ に つ い て □ 個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、「コン ピュータ不正アクセス対策規定」「コンピュータウィルス対策規定」「入退室管理に関する規定」を策 定し、実施、普及、評価、改善を行っています。また、情報システム責任者をおき、必要なセキュリ ティ対策を講じています。 □ 電子化された個人情報は、個人情報管理サーバーのみに保管し、個人情報管理サーバーのネットワー クは、その他のネットワークと分離し、必要なアクセス管理をしています。 □ 各担当者が随時利用するメールソフトのアドレス帳は、定期的に個人情報管理責任者へ提出し、管理 2 しています。 □ すべての社員の PC にはコンピュータ起動時からワクチンソフト(マカフィーアンチウイルス コーポ レートエディション )を稼働させています。 □ す べ て の 社 員 の P C に は フ ァ イ ル イ ベ ン ト の ロ グ を す べ て 取 得 し 管 理 す る ソ フ ト ウ エ ア ー (Infotrace)を導入致しております。 □ ユーザIDは、複数のシステムユーザで利用しません。また、パスワードを必ず設定しています。 パ スワードは、随時変更し、紙媒体等に記述しておりません。 □ システムを悪用されないため、PCを入力待ちの状態で放置はいたしません。離席時等、PC のスク リーンセーバーがかかった状態にし、再使用時にはログインしなければならない状態にしています。 □ ウイルスの被害に備えるため、各PCのファイルのバックアップを定期的に行い、保管しています。 □ 各 PC に pcview をインストールし、どの様な状態であるのか、情報システム責任者が把握できる状 態にしています。 □ 移動可能な機器は、ワイヤーと錠による盗難防止策を行っています。 □ ネットワーク接続機器の設置状況をあらかじめ記録し、ネットワークの管理体制を明確に管理してい ます。ネットワーク管理情報のセキュリティを確保し、外部ネットワークと接続する機器のセキュリ ティを確保しています。また、緊急時の連絡体制を定め、周知・徹底しています。 □ ウイルス対策を円滑に行うため、コンピュータの管理体制を明確にし、機器を導入する場合やコンピ ュータにソフトウェアを導入する場合は、権限者により許可を得、事前にウイルス検査を行います。 □ システム管理者及びシステムユーザの登録を、必要な機器に限定し、ネットワークを介して外部から アクセスできるユーザIDは、必要最小限にとどめています。 □ ネットワークを介して外部からアクセスできる通信経路及びコンピュータは、必要最小限にとどめて います。また、長期間利用しない機器は、システムに接続しません。 □ 情報システム責任者がシステム構成を常に把握し、セキュリティ上の問題点が解決済みの機器及びソ フトウェア以外は利用していません。また、セキュリティ方針、管理体制、管理手順、緊急時の連絡 体制及び復旧手順を確立し、周知・徹底しています。 □ システムのセキュリティ方針に基づいたシステムの動作履歴、使用記録等を記録しています。 改ざ ん、削除、破壊及び漏えいの防止措置を施し、記録したシステムの動作履歴、使用記録等を随時分析 しています。また、安全な方法で一定期間保管しています。 □ 応接室を除く施設への訪問者に関しては、入館時に身元および用件を確認の上、来客者入館帳に記入 した後、入館を許可し、施設内にあっては入館許可証を常時着用して頂いています。社員でないもの、 および入館許可証を着用していないものの施設への入館を原則として認めておりません。 主要な事業所オフィスには監視カメラを取り付け入退出の映像記録を行っております。 □ 施設の出入り口の鍵は特定の社員が管理しています。サーバー室の鍵に関しては、保守担当が保管し、 個人情報管理責任者が管理を行っています。サーバー室の入退室に関しては、カメラでの監視も行っ ております。 □ 施設の出入り口の解錠・施錠の時間および解錠者・施錠者の氏名を台帳等に記録しています。 9 個 人 情 報 の 廃 棄 等 □ 個人情報の廃棄は、シュレッダーにかけて読み取り不可能にした上で、適切に行っています。 □ 個人情報を記録したコンピュータ・記憶媒体を廃棄する時は、権限者の立会いのもとに特別のソフト 3 ウェアもしくはハードウェアを使用して個人情報を完全に消去するか記憶媒体を物理的に破壊した 上で適切に廃棄しています。 10 個 人 情 報 の 預 託 に つ い て □ 個人情報の預託は基本的に行っておりません。預託する場合には、定期的に弊社個人情報管理責任者 が預託先責任者との面接、預託先の情報処理施設の現場視察を実施し、個人情報保護及びセキュリテ ィ管理の水準が当社と同等以上であることを確認した預託先と守秘義務や個人情報の取扱に関する 基本契約を締結した上で実施いたします。 以 上 4
© Copyright 2024 Paperzz