セキュリティ強化策の実施【2025年4月15日】
弊社では、お客様に高品質な商品・サービスを提供するため、また、その商品サービスを安心・安全にご利用していただくために、各規程に準拠したQPS活動(※1)を推進しています。先般、弊社で発生した情報漏えいに関する確報で再発防止策を報告していますが、更なるセキュリティ強化策を実施します。
<確報で記載した再発防止策>
①規程の見直し
本件事故の発生を厳粛に受け止め、弊社で運用している個人情報の取り扱いに関する規程(※2)やセキュリティに関する規程(※3)を2025年3月19日までに見直しました。見直した規程には、外部公開サーバー上で稼働しているシステムの利用方法や運用方法を変更する場合に、改めてセキュリティ要件に不備がないかをセキュリティ要件チェックリスト(※4)を利用して点検の上、システム管理者の承認を得るプロセスを追記しました。
②外部公開サーバーの総点検
改めて、弊社の外部公開サーバー上で稼働している全システムのセキュリティ要件を総点検しました。その結果、2025年3月25日時点で稼働している全てのサーバーは、今回と同様の事象が無いことを確認しました。なお、直ぐに情報漏えいにつながる状態ではありませんが、さらなるセキュリティ強化が必要なサーバーに2025年4月18日までにセキュリティ強化策を実施予定です。なお、お客様が利用しているサーバーについては、お客様と相談の上、2025年5月30日までに対応方針を確定します。詳細はサーバー一覧表(※5)を作成し、管理しています。
また、自社で検討したセキュリティ強化策に不足がある可能性もあるため、外部調査機関に調査を依頼することを検討しています。2025年4月30日までに対応予定です。
③教育の徹底
弊社役員と社員ならびにビジネスパートナーメンバーが、上述の規程に沿った行動を徹底できるように弊社内で臨時教育を実施し、2025年3月28日に完了しました。
④監査による確認の徹底
年2回の頻度で定期的に実施している内部監査で、上述の規程に沿った運用が行われていることを監査します。とくに、システム利用方法や運用方法の変更があった場合のセキュリティ要件チェックリストの点検結果を徹底的に監査します。さらに内部統制の強化策として、情報システム部門が年1回実施していたシステム監査(※6)を年2回に変更します。システム監査頻度を増やすことで、社内のセキュリティリスク軽減を図ります。
<更なるセキュリティ強化策>
⑤継続的な改善
再発防止策で規程したセキュリティ要件チェックリストのチェック項目は、システム監査のタイミングでIPA(独立行政法人情報処理推進機構)の情報セキュリティサイトを確認し、必要に応じて最新化します。また、セキュリティ要件チェックリストによるチェック結果の有効性評価として外部調査機関へ脆弱性診断を2025年4月30日までに依頼することも検討します。
⑥ファイル送信方法の変更
これまでは、ファイルをメールで送付する際に手動でZIP形式に暗号化し、パスワードを別メールでお知らせしていました。今後は、セキュリティ強化のため、システム的に添付ファイルをメールから分離し、ダウンロード用のURLを通じてファイルを取得する運用に2025年5月16日までに変更する予定です。
※1:弊社では、QMS(品質マネジメントシステム:ISO9001)のQ、ISMS(情報マネジメントシステム:ISO27001)のS、Pマーク(プライバシーマーク制度)のPを取って、QPSと呼んでいます。
※2 PMS(JISQ15001)個人情報保護の規程(PMS―J―01、PMS―A―01)
※3 ISMS(ISO27001)情報セキュリティに関する規程(SMS―D―05)
QMS(ISO9001)品質保証に関する規程(QMS―P―15)
※4 ISMS(ISO27001)セキュリティ要件チェックリスト(ISMS―L121)
※5 ISMS(ISO27001)サーバー一覧表(ISMS―L122)
※6 ISMS(ISO27001)ISMS実施規程(SMS―D―01)に記載
以上
<確報で記載した再発防止策>
①規程の見直し
本件事故の発生を厳粛に受け止め、弊社で運用している個人情報の取り扱いに関する規程(※2)やセキュリティに関する規程(※3)を2025年3月19日までに見直しました。見直した規程には、外部公開サーバー上で稼働しているシステムの利用方法や運用方法を変更する場合に、改めてセキュリティ要件に不備がないかをセキュリティ要件チェックリスト(※4)を利用して点検の上、システム管理者の承認を得るプロセスを追記しました。
②外部公開サーバーの総点検
改めて、弊社の外部公開サーバー上で稼働している全システムのセキュリティ要件を総点検しました。その結果、2025年3月25日時点で稼働している全てのサーバーは、今回と同様の事象が無いことを確認しました。なお、直ぐに情報漏えいにつながる状態ではありませんが、さらなるセキュリティ強化が必要なサーバーに2025年4月18日までにセキュリティ強化策を実施予定です。なお、お客様が利用しているサーバーについては、お客様と相談の上、2025年5月30日までに対応方針を確定します。詳細はサーバー一覧表(※5)を作成し、管理しています。
また、自社で検討したセキュリティ強化策に不足がある可能性もあるため、外部調査機関に調査を依頼することを検討しています。2025年4月30日までに対応予定です。
③教育の徹底
弊社役員と社員ならびにビジネスパートナーメンバーが、上述の規程に沿った行動を徹底できるように弊社内で臨時教育を実施し、2025年3月28日に完了しました。
④監査による確認の徹底
年2回の頻度で定期的に実施している内部監査で、上述の規程に沿った運用が行われていることを監査します。とくに、システム利用方法や運用方法の変更があった場合のセキュリティ要件チェックリストの点検結果を徹底的に監査します。さらに内部統制の強化策として、情報システム部門が年1回実施していたシステム監査(※6)を年2回に変更します。システム監査頻度を増やすことで、社内のセキュリティリスク軽減を図ります。
<更なるセキュリティ強化策>
⑤継続的な改善
再発防止策で規程したセキュリティ要件チェックリストのチェック項目は、システム監査のタイミングでIPA(独立行政法人情報処理推進機構)の情報セキュリティサイトを確認し、必要に応じて最新化します。また、セキュリティ要件チェックリストによるチェック結果の有効性評価として外部調査機関へ脆弱性診断を2025年4月30日までに依頼することも検討します。
⑥ファイル送信方法の変更
これまでは、ファイルをメールで送付する際に手動でZIP形式に暗号化し、パスワードを別メールでお知らせしていました。今後は、セキュリティ強化のため、システム的に添付ファイルをメールから分離し、ダウンロード用のURLを通じてファイルを取得する運用に2025年5月16日までに変更する予定です。
※1:弊社では、QMS(品質マネジメントシステム:ISO9001)のQ、ISMS(情報マネジメントシステム:ISO27001)のS、Pマーク(プライバシーマーク制度)のPを取って、QPSと呼んでいます。
※2 PMS(JISQ15001)個人情報保護の規程(PMS―J―01、PMS―A―01)
※3 ISMS(ISO27001)情報セキュリティに関する規程(SMS―D―05)
QMS(ISO9001)品質保証に関する規程(QMS―P―15)
※4 ISMS(ISO27001)セキュリティ要件チェックリスト(ISMS―L121)
※5 ISMS(ISO27001)サーバー一覧表(ISMS―L122)
※6 ISMS(ISO27001)ISMS実施規程(SMS―D―01)に記載
以上
