セキュリティへの考え方
お客様の大切な情報資産をお預かりして業務を遂行している以上、徹底したセキュリティ環境の整備は事業展開における大前提となります。お客様が、安心してSHIFTに業務をご依頼いただけるようSHIFTが整備しつづけてきたセキュリティへの取り組みを以下に紹介させていただいております。なお、SHIFTの考えるセキュリティとは、技術的な措置のみならず、一人ひとりの「意識」レベルにまで落とし込まれた施策のことを指し、人為的なミスによる事故などの発生防止についても徹底的な対策を行っております。
セキュリティ推進体制
代表取締役を責任者とし、社内各部門の代表者で構成する「情報セキュリティ委員会」を設置し、情報セキュリティ向上に向けた諸活動を行っています。
SHIFTでは、ISMS(ISO/IEC 27001:2013)認証を取得しております。ISMS基準に基づき、人的・物理的・組織的・技術的対策の観点から、SHIFTのセキュリティ維持において必要と判断した事項を、ルール・規程化しています。加えて、基準で要求されている事項以外についても、個別で必要であると判断された事項については適宜対応しております。
セキュリティへの取り組み
SHIFTの業務内容を踏まえた特徴的なルール・規程の例としては、主に、以下事項が挙げられます。
生体認証
SHIFTの各オフィスでは、部外者の立ち入りを禁止するとともに、生体認証による入室規制を取り入れております。入室制限を物理的なセキュリティカードによる認証から、生体認証に変更することで、セキュリティカード紛失等による情報漏洩の可能性を極力低減し、また従業員のセキュリティ意識醸成にも活かしております。
執務室内における私物の持込制限と、可搬メディアの利用制限
SHIFTでは、入室者による情報漏洩の可能性を防ぐため、USB等の可搬メディアは勿論のこと、私用携帯/スマートフォンの執務室への持ち込みを禁止しています。また、従業員が業務に利用するPCはすべて会社貸与物であり、貸与PCによる可搬メディアの利用を禁止するよう制御・管理をしています。業務上必要な場合は、所定の社内稟議を経た上で限定的に利用する運用としております。
誤送信メール防止への取り組み
一般に発生している情報漏えいの多くがメール誤送信等の人為ミスにより起きていることから、社外にメールを送信する際は、誤送信防止のため、宛先や件名、本文内容などを再度確認しなければ送信ができないようなチェックツールを導入しています。 チェックツール導入に加え、契約形態や職務内容により、メールが送信可能な宛先を限定することで、定められた人のみがメールが送信できる環境を構築しています。
セキュリティ教育
SHIFTは、セキュリティ維持のためには、「セキュリティ意識の醸成と継続」が最も重要と考えています。この観点から、雇用形態を問わず全従業員に対して、入社時及び月次でセキュリティ教育(e-learning)を行っています。教育コンテンツについても、逐次見直しを行い、業務環境等の変化を踏まえた改善を行っています。また、セキュリティ教育終了後には理解度テストを行い、全対象者の正答率が100%になるまで徹底的な実施管理をしております。
月次で全従業員に対して実施しているe-learningについても、必ず受講するよう徹底管理しており、2018年の教育開始以来、受講率100%を維持し続けております。
点検・監査
各部門におけるセキュリティ対策の順守状況について、ISMS認証基準に基づく内部監査等にて、適宜、確認を行っています。
経営者による見直し
SHIFTにおける情報セキュリティ対策の実施状況について、代表取締役社長による定期的な見直しを行っています。情報セキュリティに関わる環境の変化や、内部監査結果等を踏まえた上で、継続的な改善活動を図っております。
ISMSの取得
SHIFTは、これらの取り組みについて、外部の審査機関に評価頂き、2012年10月より、ISMS認証を取得しております。
>>>詳細はこちら
ガバナンス体制
コンプライアンス委員会を中心に、セキュリティリスクを含む様々なリスクについて検討しております。
>>>ガバナンスへの取り組み