データプライバシーと
情報セキュリティ

基本的な考え方

当社グループが提供するサービスは、企業や個人のユーザーに対してさまざまなデータの管理や利用を促進するものであるため、情報の取り扱いや保護については経営の最重要項目に位置付けています。また、クラウドサービスの展開では多くのケースにおいて利便性とセキュリティは相反するものとなりますが、社会や経済の効率性・生産性の向上を実現するには、双方のバランスを高度にとっていくことが重要であるため、企業理念において「セキュリティと利便性を両立させる」というプレミス(サービス提供の前提条件)を掲げています。利便性を確保した上で、データプライバシーの保護や情報セキュリティ等のあらゆる対策を全役職員で講じることでセキュリティリスクを最小化し、安全性の高いサービス提供を安定的に行います。

主な取り組み

セキュリティの管理体制

プライバシーリスクやセキュリティリスクに対して迅速かつ全方位的に対処できるよう、執行役員がCISO*1、DPO*2及び個人情報保護管理者の役割を担っています。また、グループを横断する情報セキュリティに関する専門部署として、CSIRT*3を設置しています。そのほか、2007年の会社設立当初より、個人情報マネジメントシステムを構築しており、社内におけるデータ保護の取り扱いに関する環境を整備するとともに、最新セキュリティ技術を駆使して、さまざまな重要情報を24時間365日監視する体制を整えています。

  1. *1 CISO(最⾼情報セキュリティ責任者)
    情報システムにおけるセキュリティ及びリスク管理に関する責任と権限を有し、
    情報セキュリティリスクに関する⽅針や管理⽅法を統括します。
  2. *2 DPO(データ保護責任者)
    EU一般データ保護規則(GDPR)の遵守状況を監視することを主たる業務とし、
    データ保護に関する組織の管理業務を法令に基づいて監督します。
  3. *3 CSIRT(Computer Security Incident Response Team)
    情報セキュリティを脅かす可能性のある事象やシステムの脆弱性に関する情報、
    サイバー攻撃予兆等を収集し、対応⽅針や⼿順を策定します。

セキュリティに関する教育

全役職員に対して個人情報保護士の資格取得を義務付けており、入社から一定の期間が経過しても未合格の場合には、合格するまでは原則、昇給が保留されるルールを設けています。 また、入社時と年に一度、情報セキュリティと個人情報保護に関する研修を実施し、個人情報保護法の正しい理解と安全管理に関する体系的な知識習得の機会を設けています。そのほか、情報資産に関する取り扱い⼿順の運用を徹底しており、専門部署による情報システム内部監査及び個⼈情報保護監査を従業員1人ひとりに実施しています。

第三者機関認証の取得

第三者機関によるセキュリティ関連のさまざまな認定を受けています。

プライバシーマーク

プライバシーマーク制度は、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、事業活動に関してプライバシーマークの使用を認める制度です。当社は2007年に認定を取得しています。

SOC2 Type1

SOC2報告書とは、米国公認会計士協会(AICPA)が定めたトラストサービス規準に従ってセキュリティ、可用性、処理のインテグリティー、機密保持、プライバシーのいずれかに関しての財務報告に関連しない領域を含む内部統制に対して、監査法人が意見を表明した報告書です。有限責任監査法人トーマツにより、「Sansan」におけるType1の「セキュリティ」に関する内部統制について、報告書が発行されています。

ISO/IEC 27001/ISO/IEC 27017

ISO/IECは、セキュリティに関する国際規格です。当社グループが提供する「Sansan」「Bill One」において、情報セキュリティマネジメントシステム(ISMS)に関する国際規格であるISO/IEC 27001を2022年5月に取得しています。また、同時に「Sansan」において、クラウドサービスの提供や利用に対して適用されるクラウドセキュリティに関する国際規格であるISO/IEC 27017を取得しています。

電子取引ソフト法的要件認証

公益社団法人日本文書情報マネジメント協会(JIIMA)の「電子取引ソフト法的要件認証制度」とは、国税関係書類をコンピュータで作成し、電子的にやり取りする場合の当該取引情報の保存を行う市販ソフトウエア及びソフトウエアサービスが電子帳簿保存法第7条の要件を満たしているかをチェックし、法的要件を満足していると判断したものを認証するものです。「Bill One」及び「Contract One」において、令和3年改正法令基準「電子取引ソフト法的要件認証」を2022年4月に取得しています。

技術的な取り組み

第三者機関や社内専門部署によるサービスの脆弱性診断のほか、さまざまな技術的な取り組みを進めています。

セキュリティ専門会社による脆弱性診断

外部機関のハッカーを登用し、意図的にサイバー攻撃を行わせることで、システムのセキュリティレベルをテストし、強化につなげています。

データセンターへの通信は全て暗号化

外部からアクセスされたデータセンターへの通信は、ユーザー認証HTTPSによる高度な暗号化等を行っています。

紙書類のスキャン後、端末の画像を削除

名刺や請求書等の紙書類をスキャンした後、端末から画像データを削除しています。

サービスの高可用性

全てのサーバーは、ネットワーク機器の多重化等により負荷分散がなされており、障害発生時にはサービスを迅速に復旧させることが可能です。また、データセンターの二重化を行い、災害時の機能・サービス停止リスクを最小化しています。