近年の急速な情報技術の発展は、当社の経営活動において重要な位置を占めている。これを踏まえ当社は、情報セキュリティ上の脅威から情報資産を適切に保護するための方策として『情報セキュリティポリシー』を策定し、情報セキュリティマネジメントの包括的な規定として位置付けることとする。これにより経営層を含む全社員は、情報資産を適切に維持・管理するために、情報セキュリティ手順書の内容を熟知・遵守し、必要な対策に最大限取り組むことを、ここに宣言する。
作成日:2004年4月23日
改訂日:2012年7月1日
株式会社 テー・オー・ダブリュー 代表取締役社長 江草 康二
現在、業務の情報化・ネットワーク化は加速的に進展し、情報システムへの依存性は高まるばかりです。同時にこれらの情報システムは、コンピュータウイルスや情報の盗用、不正アクセスなどの脅威に常にさらされています。加えて組織内の脅威も外部からの脅威と同様に無視できない状況になっています。
これまでは、入退館管理、ウイルス対策、ソフトウェアなどで対処してきましたが、現在では、一層、管理面での強化・対応がクローズアップされ、総合的・体系的な情報セキュリティシステムが組織の信用・安全に不可欠という認識が高まってきました。業界TOPであり、膨大な情報を日々扱うTOWとしても、このような動きを真摯に受け止め、情報セキュリティへの取り組みへの必要性を認識致しました。
そこで、2004年初春に委員会を設置し、ISMS及びプライバシーマーク認証取得への活動を開始致しました。
社内設備等の改善や文書審査、実施審査など、認証の取得には、通常1年半ほど要するをいわれておりますが、TOWは、起案からたったの半年で取得。
TOWがいかに情報管理を重要と捉えているか、その認識の高さと取り組みへの姿勢がご理解いただけると思います。
TOWでは、今後も個人情報、新製品情報をはじめ、お客様の大切な情報を、一層安全に取り扱うよう情報管理活動を推進してまいります。
ISMS(情報セキュリティマネジメントシステム)
【Information Security Management System】
企業などの組織が情報を適切に管理し、機密を守るための包括的な枠組み。
コンピュータシステムのセキュリティ対策だけでなく、情報を扱う際の基本的な方針(セキュリティポリシー)や、それに基づいた具体的な計画とその実施・運用、一定期間ごとの方針・計画の見直しまで含めた、トータルなリスクマネジメント体系のことを指す。
1999年にイギリス規格協会(BSI)がISMSの標準規格として「BS7799」を策定し、翌2000年、実践規範である「BS7799 Part1」が国際標準化機構(ISO)によって「ISO/IEC 17799」として国際標準化された。
国内では同規格に沿ったガイドラインが2002年に「JISX 5080」として標準化されている。
これを受けて、日本では、財団法人 日本情報処理開発協会(JIPDEC)が企業のISMSがISO/IEC 17799に準拠していることを認証する「ISMS適合性評価制度」を運用している。
JIPDECの定義によれば、ISMSとは「個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスク評価により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用すること」である。
近年では、不正アクセスやコンピュータウイルス、情報漏洩などに関する事件の多発から、企業の情報管理への対策急速に高まっており、ISMS認証を受ける企業も増加している。
なお、ISMSの国際規格ISO/IEC 27001:2005の発行に伴い、ISMS認証基準(Ver.2.0)は、ISO/IEC27001へ移行されます。
プライバシーマーク
日本情報処理開発協会(JIPDEC)が管理する個人情報取扱いに関する認定制度。JISQ15001に準拠したコンプライアンスプログラムを整備し、個人情報の取扱いを適切に行っている事業者を第三者機関であるJIPDEC(及びその指定期間)が評価・認定し、その証としてプライバシーマークの使用を許諾する。
その目的は、(1)個人情報の保護に関する事業者・従業員おのおのの意識の向上を図ること(個人情報を取扱う事業者、従業員がその重要性を認識し、適切に取扱えるよう教育等実施すこと)、(2)民間事業者の個人情報の取扱いに関する適切性の判断の指標を各人に与えること(情報提供者にその個人情報の取扱いについての説明を行い、適切であるかの判断ができるようにすること)、 (3)民間事業者に対してコンプライアンスプログラムへのインセンティブを与えること(コンプライアンスプログラムを整備し、個人情報の取扱いを適切に行っている事業者の社会的信頼を確保すること)である。
プライバシーマーク付与の単位は、事業者(法人)を原則とし、1回の認定によるプライバシーマーク付与の有効期限は2年間である。(以降、2年ごとに更新)