お問い合わせ 資料請求

サイト内検索

お問い合わせ 資料請求
 

情報セキュリティ

1.情報セキュリティに関する基本方針

経営者メッセージ

 

経営者メッセージ

 

当社は、「“MEMBERSHIP”で、心豊かな社会を創る」というミッションのもと、気候変動や人口減少といった社会課題の解決へ事業を通じて貢献し、持続可能社会への変革をリードすることを目指しています。

この社会変革を牽引する上で、情報セキュリティは当社のサービス品質、そしてお客さまや社会との信頼関係を築くための揺るぎない基盤です。

現在、私たちは数千人のデジタル人材が伴走型で、お客さまのDX(デジタルトランスフォーメーション)やGX(グリーントランスフォーメーション)の取り組みを加速・拡大させています。この活動において、お客さまの機密情報、技術情報、そして私たちの知的財産を含むあらゆる情報資産を厳格に守り、正確に、そして適切な時に利用可能であることが極めて重要です。

当社では情報資産を企業価値の源泉と捉え、業界トップクラスのセキュリティレベルを構築・維持することを、全社的に取り組む基本的な方針として定めています。この方針を確実に実行するため、情報セキュリティ基本方針を策定しています。これは情報資産の機密性、完全性、可用性を確保し、その品質を保証するための、経営の根幹を成す指針です。

そして私たちは、変化し続けるサイバー攻撃の脅威に対し、情報セキュリティガバナンス体制の下、能動的かつ継続的な対策を講じ、これを実行してまいります。

役員・社員および全ての関係者が高い倫理観をもってこの基本方針を遵守し、透明性をもって事業を継続・発展させることにより、ステークホルダーの皆様の信頼に応え、社会への責務を果たしてまいります。

株式会社メンバーズ
代表取締役 兼 社長執行役員
髙野 明彦

方針

情報セキュリティ基本方針

事業の継続性と透明性を確保するため、情報セキュリティガバナンス体制の下、事業活動に関わる機密情報、技術情報、顧客企業のデータなどあらゆる情報資産に対し、脅威から守るための包括的なセキュリティ対策を策定・実行し、変化する脅威に対応し続けます。
https://www.members.co.jp/policy/information_security

 

個人情報保護方針/個人情報の取り扱いについて

透明性の高い事業活動と、顧客企業の安心と安全な社会の基盤への貢献を責務とし、業務で関わるすべての個人情報を、個人情報保護マネジメントシステムを通じた厳格な管理と継続的な改善により、法令および規範を遵守して適正に利用・保護することを徹底します。

https://www.members.co.jp/policy/privacy

 

2.情報セキュリティ体制

当社は、事業の継続性と透明性を確保し、社会の信頼に応えるため、情報セキュリティに関する法令その他の規範を遵守し、情報資産を厳格に保護するための情報セキュリティ管理体制を、経営戦略に直結する形で構築しています。この体制は、取締役会による監督と、経営者による最終責任のもとで運営されます。

 

体制図・事故報告フロー

 

経営層直下には、情報セキュリティ管理責任者と個人情報保護管理責任者を配置し、全社的なISMS(情報セキュリティマネジメントシステム)およびPMS(個人情報保護マネジメントシステム)のPDCAサイクルに責任を持つ体制を確立しています。全役員・社員は、制定された情報セキュリティポリシーを遵守し、与えられた役割と責任を果たすことで、体制を支えます。

万一インシデントが発生した際には、この体制に基づき、迅速な初動対応と原因究明を行います。重大な事態においては、経営層主導の緊急対策本部を設置し、社員からの事故報告フローを通じて情報連携を強化し、高い透明性をもって対応するとともに、法令に基づき速やかに報告を行います。

 

3.情報セキュリティ対策

情報資産の特定と保護

当社は、持続的な事業活動とステークホルダーからの信頼維持の観点から、情報資産の特定と保護を経営の重要課題としています。

Web/モバイル等のデジタルプラットフォームを活用した業務に関わるすべての物理的・論理的資産(ハードウェア、ソフトウェア、ネットワーク、書類、データ等)を厳格に特定・登録し、保護の対象としています。特に、顧客企業に関する機密情報、エンドユーザーに関するデータ、および個人情報は、当社の企業価値と社会的責任の根幹を成すものとして最重要情報と位置づけています。

これらの最重要情報を含むすべての情報資産について、機密性、完全性、可用性を保護の柱として明確に定義し、適切な情報セキュリティ対策を講じています。

なお、最重要情報の中でも個人情報については、情報セキュリティ管理体制と連携しつつ、個人の権利利益保護を最優先するため、個人情報保護マネジメントシステム(PMS)の適用範囲を明確に定めています。これにより、情報の取得、利用、提供、廃棄に至る各プロセスにおいて、高度なガバナンスを効かせた厳正な管理体制を敷いています。

情報セキュリティの技術的対策

当社の技術的セキュリティ対策は、リスクベースアプローチと多層防御を基本とし、情報資産の機密性、完全性、可用性を継続的に確保するために設計されています。

1. リスクベースの管理体制

当社の対策は、以下のリスクアセスメントプロセスを基盤としています。

  • 継続的なリスク評価: 毎年1回の定期的な評価に加え、組織変更や新規サービスの追加といった環境変化の際には臨時のリスクアセスメントを実施しています。
  • リスクレベルの特定: この評価プロセスでは、特定した情報資産に対し、脅威と脆弱性の組み合わせからリスクレベルを算定します。
  • 戦略的なリスク対応: 許容できないリスクに対しては、リスクの軽減、回避、または転化のいずれかの対応方針を決定し、国際標準であるISO 27001付属書Aの管理策を活用した多層的な防御コントロールを実装しています。これにより、セキュリティ投資の最適化とガバナンスの強化を実現しています。

2. 多層的な防御コントロールの実装

情報資産を複合的な脅威から保護するため、以下の多層的な技術的防御策を導入・運用しています。
  • 境界防御と内部監視:
    • 外部からの不正アクセスを防ぐための境界防御(ファイアウォール、IDS/IPSなど)を実装しています。
    • 万が一のシステムへの不正侵入に備え、内部での脅威拡大を早期に検知・抑制するための内部ネットワーク監視を実施しています。
  • エンドポイントセキュリティ:
    • 社員が使用する端末に対し、高度なエンドポイント監視・防御機能を導入し、マルウェアや不正な活動から情報資産を保護しています。
  • アクセス管理の徹底:
    • アクセス権限は最小権限の原則に基づき厳格に管理されており、職務上必要な範囲でのみ情報へのアクセスを許可しています。
    • 外部からの接続や重要システムへのアクセスにおいては多要素認証(MFA)を適用し、強固な認証基盤を確立しています。
  • 脆弱性管理:
    • システムのセキュリティホールを未然に防ぐため、脆弱性診断を定期的に実施し、特定された脆弱性に対して迅速に是正措置を講じています。

これらの技術的対策を連携させることで、変化するサイバー攻撃の脅威に対し、予防、検知、対応の各段階で情報資産を包括的に保護しています。

 

4.サプライチェーンセキュリティ

当社の情報セキュリティは、自社の社員に留まらず、業務を行うすべての外部供給者の社員(第三者)を対象とし、サプライチェーン全体を通じた情報セキュリティ水準の維持とリスクの軽減を図っています。

具体的には、「情報セキュリティに関するガイドライン」を定め、情報資産の安全な利用に関する遵守義務を外部供給者に課しています。外部サービスの利用に際しては、セキュリティ要件を明確化し、秘密保持契約等の締結を必須としています。

外部供給者の選定にあたっては、セキュリティ要件を明確化した上で、ISO 27001やその他の外部認証の取得を推奨要件としています。契約期間中も、供給者サービスの提供時におけるセキュリティレベルを継続的に監視し、定期的な状況報告を求めています。
特に重要な情報資産を扱う場合は、リスクレベルに応じてモニタリングを実施するための監査権を契約に規定することで、供給者における管理体制が当社の要求を満たしているかを確実にし、サプライチェーン全体の情報セキュリティリスクを包括的に管理しています。

 

5.人材育成と教育

教育・訓練の実施

当社は、情報セキュリティが最終的には人の意識と行動によって支えられるという認識のもと、全役員、社員、および常駐者に対し、情報セキュリティ意識の向上と最新の脅威への対応能力強化を目的とした継続的な教育・訓練を義務付けています。

この教育プログラムでは、ISMS(情報セキュリティマネジメントシステム)およびPMS(個人情報保護マネジメントシステム)に関する基礎知識を習得させる定期的な教育を実施しています。

さらに、万一のインシデント発生時に迅速かつ的確に対応できる実践的な対応能力と力量の継続的な向上を図るため、実際の脅威を想定した模擬訓練(情報セキュリティ事故を想定した訓練など)を計画的に実施しています。これにより、知識の習得だけでなく、有事の際の組織全体の対応力を高めています。

セキュリティ専門人材の育成

当社は、高度化するサイバー攻撃のリスクに対応し、情報セキュリティガバナンスを実効性のあるものとするため、組織全体のセキュリティ意識向上を目的とした人材育成に注力しています。

全社員向けの基礎教育に加え、情報セキュリティ管理責任者を中心とし、管理職、内部監査員、システム管理者などの専門的な役割を担う者に対して、リスクアセスメントや内部監査技術などの具体的な知識とスキルを習得させるための専門教育を強化していきます。
特に、内部監査員については、専門性と高い独立性を確保するため、自部門の監査を禁止する体制を敷いています。この体系的な教育と実践を通じて、セキュリティ専門人材の質の高い力量を継続的に向上させ、企業全体のセキュリティレベルを確実に引き上げてまいります。

 

6.インシデント対応と事業継続(BCP)

連携体制

当社は、情報セキュリティ事故、災害、または基幹サービスの障害発生時においても、被害の最小化を図るため、強固な連携体制を構築しています。

事故発見時、社員による直ちの報告義務を起点として、情報セキュリティ管理責任者を中心とした迅速な処置指示により初期対応を確立しています。これに加え、24時間365日の監視体制を活用した早期検知を組み合わせることで、脅威や障害発生時の迅速な初動を実現しています。

インシデント対応において、社員からの報告を起点とし、情報セキュリティ管理責任者から経営者への速やかな報告と指示系統を確立することで、組織内での迅速な意思決定と実行を可能にしています。さらに、法務担当や外部審査機関とも連携し、事故後の是正処置の実施と法令遵守を確実なものとする体制を整え、顧客企業と社会の信頼維持に努めます。

事業継続(BCP)

当社は、災害、情報セキュリティ事故、重大な障害といった緊急事態発生時においても、顧客企業へのサービス提供と社会的な責任を果たすため、事業の速やかな復旧と継続を確実にする体制を構築しています。

事業継続計画(BCP)では、緊急事態発生からの対応について明確に計画を策定しています。また、策定された計画が確実に機能することを保証するため、模擬訓練や技術的回復試験を通じてその有効性を定期的に検証し、継続的な改善を図っています。これにより、予期せぬ事態発生時でも事業の継続性を最大化し、社会に対する信頼を維持します。

 

7.第三者認証・外部評価

当社は、情報セキュリティと個人情報保護に対する取り組みの客観的な信頼性と有効性を担保するため、国際標準に基づく第三者認証を取得し、継続的な外部評価を受けています。
独立した外部審査機関による定期的な継続審査・評価を通じて、取り組みの有効性が客観的に検証されています。外部評価で得られた指摘事項や不適合については、情報セキュリティ管理責任者の指示のもと確実に対応し、その結果をマネジメントレビューのインプット情報として活用することで、管理体制の継続的な改善サイクルに組み入れています。

情報セキュリティマネジメントシステム(ISMS)

JIS Q 27001:2023(ISO/IEC 27001:2022)
認証機関:日本検査キューエイ株式会社
認証登録番号:I405
認証登録日:2016年12月15日

情報セキュリティマネジメントシステム(ISMS)

プライバシーマーク

JIS Q 15001:2023
認証機関:JIPDEC (一般財団法人 日本情報経済社会推進協会)
認証登録番号:10820382
認証登録日:2005年3月30日

プライバシーマーク

ページ上部へ