ホーム » 会社概要 » 個人情報保護の取り組み

個人情報保護の取り組み

アークウェブはPマーク（プライバシーマーク。財団法人日本情報処理開発協会による認可精度）の認定は受けておりませんが、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に基づく社内・受託案件の個人情報データ保護体制の整備とそのPDCAサイクルを確立し、また継続的な努力をしています。
以下、弊社の取り組みについて説明いたします。

基本方針 個人情報保護方針
個人情報保護規程
- 運用細則
  - 一般ユーザ（自社プロジェクト、自社Web経由の取得情報管理）
  - 外部パートナーへの委託
  - 顧客からの受託（受託開発、ユーザ情報）
  - 社員情報
- 計画
  - システム監査
  - 社内教育
- その他の規程
  - 罰則規定（社員就業規則）
  - 苦情対応ルール
  - CP・運用の見直しルール
組織組織体制図
安全対策
- 入退管理規定
- コンピュータウイルス防止に関わる細則
- データベースアクセス管理細則
- システム管理者
- パスワード管理規定
- 電子媒体の管理規定

入退室管理・盗難防止

社内フロアを、受付/会議室/居室（受託個人情報を扱う区画）の3エリアに分け、エリアごとの入退室管理ルールを定めています。
毎日のオフィスへの入退出時刻と施錠状態をチェックシートへ記録し、取締役によるチェックシートの定期確認で管理しています。
来客者の入退出を来客記録チェックシートとネームプレートで管理・記録し、取締役によるチェックシートの定期確認で管理しています。
個人情報が記載されている書類、媒体等は特定の保管庫で施錠管理しています。
個人情報が記載された書類を廃棄する際は、溶解処理（クロネコヤマト）やシュレッダー等の方法で、特定の個人が識別できない状態にして廃棄しています。

開発環境のセキュリティ施策

通常業務に使用する端末（ローカルPC）から受託個人情報を扱うサーバーへのアクセスは公開鍵認証方式でのみ可能とし、アクセスの必要性がなくなった際は、直ちに公開鍵を無効化することをルール化しています。
受託個人情報を扱うサーバーへのアクセスは特定の担当者のみ許可し、担当外案件のサーバーへはアクセスできないよう公開鍵の有効化ルールを定め体制を整備中です。
業務利用する端末（個人所有PCを含め）の所有者・機種を管理対象リストに記録し、定期的に見直しを行っています。
通常業務に使用する端末にはウィルス除去ソフトの導入を徹底し、導入されていないコンピューターの使用を禁じています。
通常業務に使用する各端末は、一定時間経過するとパスワード入力を要する待機状態になるよう設定しています。実施状況はチェックシートに記録し、定期的に見直しをしています。
ノートPCなどの持ち出し可能な端末にはパスワードでロックをかける等、持ち出し時のデータ保護をルール化しています。
サーバーやローカルPCを廃棄・転用する際は、ハードディスク内を完全に消去する特別なプログラムを適用しています。
従来の開発サーバー上の既存プロジェクトを、よりセキュリティの高い開発サーバーへ移設中です。

個別受託案件の個人情報データ保護

受託案件（プロジェクト）ごとの「個人情報特定シート」により、個人情報データおよびデータ所持者の特定と受け入れ/廃棄タイミングを記録・管理しています。個人情報特定シートは、プロジェクト管理ツール「Redmine」上でチケット化することにより実施状況を見える化しています。
外部スタッフとの間に守秘義務契約を締結しています。
お問い合わせフォームなど個人情報保護上重要なWebプログラムに関し、テスト手順を定め漏れのないチェックが行えるようルール化を進めています。

社員や外部スタッフの個人情報の保護

社員および外部スタッフ、採用面接者等の個人情報についても、書類は特定の保管庫で施錠管理を、また社内サーバー上の情報は認証のかかったエリアに置いています。

社内教育

年2回個人情報保護の定期勉強会を開催し、個人情報保護の重要性や社内ルールの再確認を行っています。また、新しいルール追加時など必要に応じて臨時勉強会を開催しています。
全社員参加の個人情報保護メーリングリストにより、セキュリティ情報共有を図っています。
新入社員に対しては、教育期間に情報セキュリティ教育を設けてレベルの統一を図っています。