Smart Communication Design Company
ホーム > 会社情報 > CSRへの取り組み > CSRについての考え方 > 情報セキュリティ・個人情報保護への取り組み

情報セキュリティ・個人情報保護への取り組み

ミツエーリンクスは、2001年に、日本で初めて情報セキュリティマネジメントの英国規格BS7799(2001年当時の事実上の国際標準規格)の認証を取得しました。その後、ISO化とともにISO27001に切り替え、認証を維持しています。また2003年にPマークの認証を取得し、個人情報保護に取り組んでいます。

当社は、お客様のWebサイトが不正アクセスに遭い、個人情報を始めとする機密情報の漏えいやWebサイトの改ざんなどの被害を受けないようにすることは、Web制作会社の社会的責任であると認識し、対応しています。

主な取り組み

入退室管理

従業員は、セキュリティカードを常時携帯しています。従業員の事務室への入退室は、カードリーダーが備え付けられた扉を通じて行われます。事務室にお客様もしくは外部の方が入室する場合には、ゲストのネームプレートを付けていただいています。

受付や会議室などが設置された領域と事務室との境界にはパスワードロックがかけられた扉で仕切られており、従業員以外の解錠ができないようになっています。

コンピュータウィルス・迷惑メール対策

社内のすべてのPCにウィルス対策ソフトウェアがインストールされています。定義ファイルの配布管理は、集中管理サーバーで行われており、属人的なインストールのし忘れなどがないように管理されています。また迷惑メール対策をネットワークの上流で施しています。

社内ネットワークに流通する迷惑メールの数を減らすことで、ネットワークリソースのムダ使いや業務効率の低下を防いでいます。

クリアデスク・クリアスクリーン

離席後、一定時間が経過するとパスワード付きスクリーンセーバが起動します。また、机上の整理整頓のチェックを定期的に行っています。

アクセスログの監視

クライアントPCの不正利用をけん制するために、アクセスログの監視を行っています。サーバーおよびデバイスの利用状況、ならびにメールの送受信およびインターネットへのアクセス状況などのログを収集しています。

暗号化の実施

当社では、個人情報をお客様との受け渡しや保管する場合には、デジタルデータを暗号化しています。

Webアプリケーション脆弱性への対応

当社で制作されるお客様コンテンツでCookieが収集されるような場合、Webアプリケーションの脆弱性への対応として、当社品質マネジメントシステムと連動し下記のような対策を実施しています。

Webアプリケーションハイジャックの危険性への対応

Cookie盗聴への対応
  • (1)フォーム等の個人情報を入力されるような画面に関しては、入力するBOXの中ではタグが効かない設定になっているかを確認しています。
  • (2)お客様のご指定でCookieを利用される場合には、Cookieの中にIDやパスワードなど個人情報を含めない設定になっているかを確認しています。
Webサービスにおけるクロスサイトスクリプティング(XSS)の脆弱性

XSSへの対応も(1)と同様にタグを無効化する処置(サニタイジング)を行っています。

上記の対策の実施により、消費者の方が企業のWebページを閲覧される際に収集される個人情報などの秘密情報を含む場合は、リスクを減らす活動を行っています。

  • Cookieとは、個人情報の代わりに任意の文字が書かれた小さなテキストファイルのことで、Webサイト訪問時に、Webサーバーと閲覧者のインターネット閲覧ソフト(ブラウザー)との間でやりとりされ、閲覧者のコンピュータのハードディスクドライブに保存されるものです。

個人情報を取り扱うプロジェクトにおけるお客様への通知

当社では、個人情報をお客様からお預かりする場合や、個人情報が格納されたWebサーバーへのアクセス権限をいただく場合に、誰が個人情報にアクセスすることができるのか、個人情報やアクセス権限の破棄・返却の期日はいつかなどを当社内で明確にしておき、その情報はお客様にもお知らせし、管理の状況を共有しています。

個人情報管理状況の点検

当社では、定期的に個人情報の管理状況の点検を行っています。アクセス権限保持者の変更や保管場所、保管期限などに変更がないか、保管期限が過ぎたものが放置されていないかなどのチェックを行い、取り決め通りにライフサイクルが守られるように取り組んでいます。

従業員個人情報の管理

当社では、新たに入社する従業員を対象に、入社時に「個人情報の利用についての同意書」を渡しています。この同意書を通じて、労務や勤怠、社会保険など、社員としての個人情報の利用目的を確認し、同意書にサインをしています。当社は、同意書に明記された範囲内で情報を利用・管理しています。