情報セキュリティ報告書

当社は常に「真摯一義」を信念に事業を遂行し、真のテクノロジーを提供することで社会に貢献してまいりました。
それは当社の理念である「信義耐」の精神のもと、
「お客様と社員が信用を築くこと」
「お客様と社員がルールとマナーを守ること」
「お客様と社員が忍耐づよく仕事をすること」
の姿勢で、お客様の戦略的パートナーとしてIT技術、人工知能、 付加価値サービスを提供しております。
Bacallanは、情報社会において重要な情報資産を新たな経営資産と位置づけ、情報セキュリティを強化し、情報漏洩などの事故を引き起こさないように努めます。

1.基礎情報

  • 1.1 基本理念

    • 社内で取り扱う情報は、個人の所有物ではなく、会社法人格の共有物である。お客様情報、個人情報、インサイダー情報も含めて、社員が業務で知り得た情報は、決して外部に漏らしてはならない。

  • 1.2 スローガン

    • 情報セキュリティは信義耐の精神と漏洩防止技術で衛ります。

2.経営者の情報セキュリティに関する考え方

  • 2.1 情報セキュリティに関する取組方針

    • 当社では、「お客様のビジネスを担うパートナーとして信義耐を追求する」という企業理念に基づき、情報セキュリティについて以下の2つの方向を基本方針としております。

(1) 個人情報保護

当社では、システム開発運用に関連してお客様の情報をお預かりすることがあります。したがって、お客様が安心して開発運用ができるよう、正確、安心・安全な情報システムの管理体制がお客様の信頼を得る事業遂行の基本であると認識しています。そこで、当社では、個人情報保護ポリシーに基づき、システム開発運用の遂行によるお客様の情報保護のための体制を構築・運用し継続的改善に取り組んでいます。https://bacallan.com/help/privacy

  • 個人情報の保護に関する法令等の遵守を前提とした個人情報保護ポリシーを策定し、全社に適用するとともに、その体制を構築・運用します。
  • 全従業員に定、法律遵守を周知徹底します。
  • 定期的に個人情報保護体制の評価を行い、その結果を対策に反映します。

(2) 事業継続

当社の使命は、お客様とエンドユーザーが、必要とするときに必要な情報や数理解析結果をリアルタイムに提供することにあります。そのため、当社はシステムを維持・運用していくために最大限努力いたします。しかし、当社の事業はシステム及び数理解析エンジンの存在を前提としているため、それらにトラブルが発生した場合、事業の継続が困難となるリスクを抱えています。したがいまして、そうしたリスクを踏まえた、トラブルに強い情報セキュリティ体制の構築・運用を実現いたします。

  • 事業継続計画の一環として情報セキュリティの方針を策定します。
  • 情報セキュリティの事件、事故等に対する危機管理体制を構築します。

  • 2.2対象範囲

    • 本報告書では、当社がシステム開発運用で開発運用上取り扱う情報及び情報システム全般を対象としています。具体的には、お客様情報及びお客様からお預かりした管理情報、製品情報、それらに関わる社外・社内システム、社内イントラネットが主な対象です。

  • 2.3 報告書におけるステークホルダーの位置付け、ステークホルダーに対するメッセージ

    • 当社は、現在のお客様のみならず、将来当社のお客様となられる皆様もステークホルダーとして捉えております。したがって、本報告書は、第一に、現在のお客様をはじめとする皆様にご覧頂くものとしてご報告いたします。本報告書を通じて、お客様から信頼を得ることこそ、当社の営業基盤を安定させ、株主の皆様のご期待にお応えすることと認識しています。また、当社が良好な取引関係を継続するためには、取引先の皆様の信頼を得ることが不可欠と認識しております。そこで、本報告書では、当社が、お客様にとって「安心なパートナー企業」であることに加え、取引先の皆様にとっても安心な「事業の維持・継続」にも重点を置いていることをお伝えいたします。

3.情報セキュリティガバナンス

  • 3.1 情報セキュリティマネジメント体制

    • お客様から頂く業務依頼に、対応することが私たちの使命であり、私たちのビジネスの基盤であります。したがって、私たちは以下の取組を通じて、開発運用を維持するために最大限努力いたします。

(1) 推進体制の構造と活動

<1>情報セキュリティ委員会

2015年4月には、「情報セキュリティ委員会」を発足いたしました。この委員会は、代表取締役を委員長、事業部責任者以上を委員とするメンバー構成で、情報セキュリティポリシーや各種規定・規則の策定、セキュリティポリシーの実践に向けた様々な取組について実施の承認を担当しています。情報セキュリティ委員会での決定事項は会社としての方針であり、各業務責任者を通じて、全社的に対応するよう指示されます。

<2>システム開発部

1 株主・従業員・取引先・顧客・地域社会等、企業が事業活動を通じて関係を持つ相手のことをさします。 システム開発部では、セキュリティポリシーの実践に向けた取組について、現場の実施状況を定期的に見直し、問題がある場合にはその改善策を検討した上で、その結果を情報セキュリティ委員会に報告します。 情報セキュリティ委員会は四半期毎に開催し、システム開発部の報告を踏まえ、改善策の実施について審議します。 情報システムのダウン、コンピュータウイルスやワーム、不正アクセス、情報漏えいといった事故が発生した場合には、事業継続計画に則り、システム開発部の主導で適切かつ迅速に対応し、問題の早期解決を図ります。

※本委員会の事務局はシステム開発部が担当し、各部間の連携を図る。
また、個人情報最高責任者(CPO)を1名おく。
(顧客情報担当CPO:本部長、社員情報担当CPO:代表取締役)

(2) 教育・研修

情報セキュリティポリシーに基づく社内ルールを定め、社員全員がいつでもアクセスできるようにイントラネット上の情報サーバで社内向けに公開しています。また、当社の社員は、入社時点から、情報セキュリティやコンプライアンスを含む実践的な情報システム利用研修を定期的に受講しており、そうした問題に係る十分な知見を有しています

(3) 関連法制への準拠状況

当社は、個人情報保護に係る日本の規格JISQ15001 を遵守する社内ルールを整備しており、プライバシーマークの認証も取得しています。同ルールでは、ソフトウェアの不正使用禁止や入退出管理への対応、違反に対する罰則を含む具体的な取組も明記しています。同ルールは、情報セキュリティポリシーに基づく項目もカバーしており、その内容に矛盾・競合する点はありません。管理面では、顧客データへのアクセスを技術的に監視・記録する仕組みを整備しており、社内ルールの遵守を裏付けています。

  • 3.2 情報セキュリティに関するリスク

    • (1) 重要なリスク

      当社は、基幹システム開発運用を行っていること、それに伴う顧客情報を保有していることから、以下のリスクを重要なリスクと考え対応を行っています。
    【顧客情報】
  • 個人名や連絡先等の情報

(2) 重要なリスクと事業活動の関連について

当社の開発運用しているシステムは、インターネットを介して取引の環境を提供することもあり、当社の事業は情報システムやインターネットに依存している状況もあります。このため、インターネット経由で不特定多数からの不正アクセスやサービス妨害等の攻撃を受ける可能性、あるいは、Webアプリケーションの不具合等により、インターネット経由で顧客情報が漏えいする可能性があります。よって、開発運営上、取り扱う主な顧客情報は、インターネットから物理隔離した媒体に保存し、物理的に施錠保管されております。また、開発運営上お客様の指示によって、データサーバーやクラウド環境に保持しなければならい場合は、ファイヤーウォール、ウィルス監視、SSL通信、ベーシック認証、暗号化等によって外部に情報が漏れないようにしています。開発用ハードウェアには、パスワードによるロックをかけ、物理的に持ち出しされないようにワイヤーで固定しております。ちなみに、当社の正社員比率は約4割程度であり、また、派遣社員、契約社員等を含めた従業者の離職率は5%と、ほぼ業界平均以上となっています。

(3) 発生した場合の影響

当社では、上記のリスクに対し必要と思われる対策を実施しておりますが、すべてのリスクの発生を100%回避あるいは防止し得るものではありません。昨今の状況としては、一般にシステムのダウンや顧客情報の漏えい事件等のIT 事故が発生しており、同業他社でも同様の状況です。したがって、不確実ではありますが、当社でもIT事故が発生する可能性は100%無いとは言い切れません。顧客情報が漏えいした場合、お客様へ再発防止策実施による費用負担や信用を失墜する社会的被害などの影響を受けることが想定されます。

3.3 情報セキュリティ戦略

(1) 個人情報保護

当社では、JIS Q 15001 : 2006をベースとした個人情報保護マネジメントシステムを運用し、独自に個人情報保護規程を定め、あらゆる漏洩リスクを想定し社内管理体制を確立しております。また、関係省庁の法規制を毎年見直しその規程に準じた運用を行なっています。

(2) 事業継続

システム開発運用事業を安定的に行う上で焦点の一つが、サーバシステムのセキュアな構築と運用です。そこで当社では、サーバの安全性・信頼性に重点を置くものとして、万が一サーバに問題が発生した場合にも、可能な限り迅速に復旧するための体制を社内外でシステム化された体制をとり、それに基づく対策を実施、トラブルに強いシステム・体制の構築に取り組んでいます。

4.情報セキュリティ対策の計画、目標

  • 4.1 アクションプラン

    • 当社では、目標達成のため、以下の取組に着手しています。

(1) 個人情報保護

当社では、2014年からリスクの最小化を実現するプロセスとそれを支える情報システムの構築に着手しており、さらなる充実に取り組んでまいります。また、当社では、社員の高いモラルを確保するため、入社時から定期的に顧客情報の管理に関する研修を実施しています。

(2) 事業継続

事業継続の観点からは、以下の取組が挙げられます。

  • リスクの最小化を実現するプロセスとそれを支える情報システムの構築
  • 情報システムの管理監督体制の整備
  • 定期的な訓練の実施

当社では、特に開発運用段階における情報漏洩が最もリスクの高いケースとして位置付けています。そこで、事業継続計画の検討においては、情報システムへのアクセス権限を最小限に限定し、最もリスクの高いリモートアクセス時に発生するリスクを想定し、ビジネスインパクト分析を行ってきました。2016年度は、そうした分析結果を踏まえ、必要となる情報システムのアクセス権限や固定IP登録の実施について見直し、リスクの最小化を検討することとしました。

4.2 数値目標

(1) 個人情報保護

4.1 に示したとおり、既存の仕組みについてさらなる改善を図るため、個人情報保護の観点から、リスクの最小化を実現するプロセスとそれを支える情報システムの構築に関する内部監査を一回以上実施することとしました。また、社員の年一回以上の個人情報保護研修の受講率の目標を100%としました。

(2) 事業継続

リスクの最小化を実現するプロセスとそれを支える情報システムの構築によって、情報漏洩、不正アクセス事故の発生率を0%と決めております。

5.情報セキュリティ対策の実績、評価

5.1 実績

(1) 個人情報保護

<1>顧客情報管理を前提とした業務プロセスと情報システムの設計と見直し計画に則り、4月から6月の2 ヶ月間をかけて、システム開発運用に係る業務プロセスとシステムに関する内部監査を実施しました。具体的には、社内の開発部エンデベッド事業部、及び社外の委託先であるデータセンターを対象とし、正式な業務プロセスと実際の作業フローとのギャップやシステムの実現している環境について検証し、改善すべき点を洗い出しました。

  • 基本的には安全性の高い管理環境を構築できている
  • システムは正式な業務プロセスを適切に反映しているが、作業上システムへの反映が後回しになるケースが見られた
  • データセンターからのシステムダウン報告にタイムラグがあり開発部内での共有にも時間差がある

<2>個人情報保護に関する教育の徹底

社員に対し個人情報保護研修の受講を指示し、年度末時点で在籍している社員の受講率は100%に達成しました。

(2)事業継続

<1>システムのバックアップ体制に関する見直し
バックアップとして必要な作業、通常時の運用・保守、データ転送の頻度、バックアップに要する時間と要員、復旧後の実機への移行工数等を検証した結果、バックアップについて専門のアウトソーシングサービスの活用が適切と判断し、自社運用から移行するケースもあります。

<2>事業継続計画訓練の実施
 リスクの最小化を実現するプロセスとそれを支える情報システムの構築に基づく訓練を実施しました。サービスを提供している実機にトラブルが発生したという想定のもと、サービスをバックアップシステムに移行、それに伴う各種データの受け渡しや保全、さらに復旧に向けた取組等を検証することを目的としました。ただし、実際にトラブルが発生する危険性を避けるため、訓練は、関係者が一同に集まり、ある想定をもとにそれぞれが役割や行動を確認する机上演習方式を採用しました。その結果、次の点が明らかになりました。

  • リスクの最小化を実現するプロセスとそれを支える情報システムの構築に基づく対処は、お客様にご迷惑をおかけしない水準で実施可能
  • スタッフ間、特に情報システム部と他部門の間の意思疎通にはさらに改善が望まれる
  • バックアップサイトのアウトソーシング化に伴い、計画に若干の改訂が必要
  • 停電が伴う事象の場合、各種対処工程に生じる影響についてさらなる検証が必要

<3>基幹システムのダウンに係る影響の縮小化
社内の基幹システムの停止に係るトラブルの発生は、一度もありません。

5.2 実績に対する評価

(1) 個人情報保護

個人情報保護については、委託先、情報環境、研修の観点から見て、高いレベルの環境を確保していることが確認できました。その一方、例外的なケースではありますが、いくつかの課題も明らかになり、継続的な見直しと改善が必要と考えられます。

(2) 事業継続

システムの監視体制の見直しにより、異常事態の効率化かつ正確な検出を実現しました。また、訓練の実施により、リスクの最小化を実現するプロセスとそれを支える情報システムの構築の実効性について検証できたと考えられます。 これは、当社の事業が、システムに大きく依存しているにもかかわらず、システムのトラブルに対し高い強度を有しており、競合他社に比べても信頼性の高い体制を敷いていると申し上げることができます。

5.3 事故報告

創業以来一度もありません。

6.第三者評価・認証等

当社は、2014年4月に一般財団法人日本経済社会推進協会より「プライバシーマーク」の認定を受けました。

  • プライバシーマーク付与認定概要

<1> 認定範囲:コンピューターシステム開発
<2>認定番号:第20001918(03)号
認定期間:平成26年4月1日から平成32年3月31日