データプライバシーと
情報セキュリティ

基本的な考え方

当社グループが提供するサービスは、企業や個人のユーザーに対してさまざまなデータの管理や利用を促進するものであるため、情報の取り扱いや保護については経営の最重要項目に位置付けています。また、クラウドサービスの展開では多くのケースにおいて利便性とセキュリティは相反するものとなりますが、社会や経済の効率性・生産性の向上を実現するには、双方のバランスを高度にとっていくことが重要であるため、企業理念において「セキュリティと利便性を両立させる」というプレミス(サービス提供の前提条件)を掲げています。利便性を確保した上で、データプライバシーの保護や情報セキュリティ等のあらゆる対策を全役職員で講じることでセキュリティリスクを最小化し、安全性の高いサービス提供を安定的に行います。

主な取り組み

セキュリティの管理体制

プライバシーリスクやセキュリティリスクに対して迅速かつ全方位的に対処できるよう、取締役がCISO*1、DPO*2及び個人情報保護管理者の役割を担っています。また、グループを横断する情報セキュリティ、サイバーセキュリティに関する専門部署として、情報セキュリティ部を設置しています。情報セキュリティ部ではCSIRT*3機能を有するほか、SOC*4を内製して運用しており、継続的な監視、脅威の分析を行っています。そのほか、プロダクトセキュリティチームを設置し、自社プロダクトのセキュリティ強化と脆弱性への対応を行っています。また、2007年の会社設立当初より、個人情報マネジメントシステムを構築し、社内におけるデータ保護の取り扱いに関する環境を整備するとともに、最新セキュリティ技術を駆使して、さまざまな重要情報を24時間365日監視する体制を整えています。
情報セキュリティ部、各プロダクトの開発責任者はともにCISOの直下に配置され、CISOに統括されています。CISOは、経営会議に参加してセキュリティやリスク状況について定期的に報告し、経営層のレベルで情報セキュリティ及びサイバーセキュリティに関する重要な意思決定を行っています。また、CISOの諮問機関として、情報セキュリティ部長及びプライバシーにおけるコンプライアンスを統括する総務法務部長が出席する、情報セキュリティ・プライバシー委員会を隔週1回の頻度で開催し、会社を取り巻く環境等の脅威分析と対策、各種リスク対策等の検討、見直しを行います。

  1. *1 CISO(最⾼情報セキュリティ責任者)
    情報システムにおけるセキュリティ及びリスク管理に関する責任と権限を有し、
    情報セキュリティリスクに関する⽅針や管理⽅法を統括します。
  2. *2 DPO(データ保護責任者)
    EU一般データ保護規則(GDPR)の遵守状況を監視することを主たる業務とし、
    データ保護に関する組織の管理業務を法令に基づいて監督します。
  3. *3 CSIRT(Computer Security Incident Response Team)
    情報セキュリティを脅かす可能性のある事象やシステムの脆弱性に関する情報、
    サイバー攻撃予兆等を収集し、対応⽅針や⼿順を策定します。
  4. *4 SOC(Security Operation Center)
    専門チームがネットワークやシステムを24時間365日体制で監視し、
    ログ収集と分析、インシデントが発生した際の対応策の提案を行います。
体制図
CISO(塩見 賢治)の略歴

塩見 賢治

CISOの塩見賢治は、2007年に当社を共同創業し、それ以来、当社のプロダクト開発を一貫して主導してきました。その豊富な経験と専門知識を背景に、現在は技術本部長としてエンジニア組織を統括しています。また、当社の海外子会社である、Sansan Global Development Center, Inc.のCEOを務め、多様性のある組織作りにも力を注いでいます。
2023年には、CISO(最高情報セキュリティ責任者)に就任し、以後、プロダクトセキュリティの強化、ゼロトラストの推進、インシデント発生時の指揮等、当社グループにおけるセキュリティ強化に尽力しているほか、外部カンファレンスへの登壇等を通じて、業界全体のセキュリティ貢献にも努めています。また、DPO(データ保護責任者)として、データプライバシーの保護やコンプライアンスを推進し、組織全体のデータ保護戦略を策定・実施しており、セキュリティとプライバシーの両面で当社グループをリードしています。  

各種規程の制定と目的

情報セキュリティに関する規程やルールの整備、各サービス毎に定めたガイドラインを通じて、情報漏洩やサイバー攻撃等の想定される各リスクに対する管理体制や統制体制の強化を進めています。また、それぞれについて年に一度棚卸を行い、最新性を保っています。

「個人情報保護規程」

⽇本⼯業規格「JISQ15001」を当社が満たすことを⽬的に、個⼈情報の適切な取扱いに関する⼿続きを定めています。

「情報システム管理規程」

当社の情報資産を扱う情報システム管理業務に関する⼿続きを定めています。

「情報資産管理規程」

情報資産が適切かつ安全に管理され、有効に活用されることを目的に、情報資産の管理に関する手続きを定めています。

「情報システムの技術的安全管理に関するルール一覧」

情報システムの技術的安全管理に関するルールを定めています。

「プロダクトのセキュリティガイドライン」

備えておくべきセキュリティ機能とその運用についての指針を各サービス毎に定めています。

個人情報管理強化

各国での個人情報保護に関する法律の改正や新たな制定・施行に伴い、次の対応を進めています。

個人情報保護法改正に伴い、当社の個人情報保護基本規程を含む社内規則の改訂及び各種手続きの変更と厳格化を行いました。

海外子会社の個人情報保護については、会社所在地のシンガポール、フィリピン、タイにおける制度を把握した上で安全管理措置を実施しています。

海外への委託に関しては、フィリピン、ミャンマー、ベトナム、バングラデシュ、タイをはじめ、30か国以上の海外法制の調査を行っており、委託先における組織的・人的・物理的・技術的な安全管理措置を評価しています。

セキュリティに関する教育

当社では、さまざまな取り組みを通じて個人情報保護法と安全管理に関する正しい理解を促進し、全社のセキュリティ意識を高めています。

個人情報保護士の取得

全ての役職員に取得を義務付け、入社後一定期間が経過しても未合格の場合には、原則として昇給が保留されるルールを設定しています。

定期的な学習機会

入社時と年に一度、情報セキュリティと個人情報保護に関する研修を全役職員に実施しています。

役職員の意識向上

月に一度取締役CISOより、セキュリティに関する取り組みやトピックスを全役職員向けに発信しています。

情報資産取り扱い手順の運用徹底

情報資産の機密性に応じた区分を明確にした上で、各区分のリスクに応じた管理策を定義しています。また、管理策の実施を徹底する仕組みとして、社員からセキュリティ委員を指名し、社員間でセキュリティに関する相互監査を行っています。

セキュリティ人材の確保と育成

セキュリティ人材の確保
専任者の採用

セキュリティに関する知識やスキル、経験、対応力、特定分野における専門性等を評価し、グローバルでの人材採用を行っています。

内部からの専任者育成

特定分野の専門的知識や経験、スキルに優れ、幅広いセキュリティ分野への対応が期待できる人物を選抜し、有識者がマンツーマンでオンザジョブトレーニング(OJT)を行い、専門家を育成します。

エンジニアのCSIRT兼務

業務を通じて高いセキュリティ意識を醸成し、経験を積みながら、必要十分なセキュリティ対策が実現できる能力を身につけたセキュリティ人材の育成を目的に、各サービスの一部のエンジニアがCISRTを兼務しています。

高度セキュリティ人材の育成
人材育成制度

高度セキュリティ人材確保の一環として、社内で指定したセキュリティ高度資格の取得を推奨しており、自己学習を通じた知識獲得を促進しています。

セキュリティ高度資格保持者*5
2024年5月末時点
セキュリティ高度
資格保持者
9名
オンザジョブトレーニング(OJT)を通じた育成

有識者によるマンツーマンのOJTを経験し、社内のセキュリティに関する役割を独力で遂行できるようになるまで育成を行います。

  1. *5 情報セキュリティ部内の資格保持者を集計しており、セキュリティ高度資格の対象は以下の通りです。
    情報処理安全確保支援士(RISS)
    CISSP(Certified Information Systems Security Professional)
    CEH(Certified Ethical Hacker)
    OSCP(Offensive Security Certified Professional)
    CISA(Certified Information Systems Auditor)
    CISM(Certified Information Security Manager)

第三者機関認証の取得

第三者機関によるセキュリティ関連のさまざまな認定を受けています。

プライバシーマーク

当社の個人情報保護マネジメントシステム(PMS)の運用は、日本産業規格「JIS Q 15001:2017 個人情報保護マネジメントシステム-要求事項」をベースにした審査基準によって評価されており、2007年に認定を取得しています。PMSを導入することで、リスクを顕在化させないための取り組みや、万が一事故等が発生した場合の体制や対応手順の整備、緊急事態への適切な対応と再発防止による管理体制の強化をしています。

ISO/IEC 27001/ISO/IEC 27017

情報セキュリティマネジメントシステム(ISMS)に関する国際規格であるISO/IEC 27001、クラウドサービスの提供や利用に対して適用されるクラウドセキュリティに関する国際規格であるISO/IEC 27017を取得しています。なお、「Sansan」において、ISO/IEC 27701の取得を目指しており、世界標準のプライバシー保護マネジメントシステムの構築を進めています。

ISMAP for Low-Impact Use(ISMAP-LIU)

政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:ISMAP)は、調達時のセキュリティ水準の確保を図り、円滑な導入に資することを目的に、日本政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録する制度です。ISMAP-LIUは、リスクの小さな業務・情報の処理に用いるSaaSを対象とする仕組みの名称であり、管理基準は、JIS Q 27001、JIS Q 27002、JIS Q 27014、JIS Q 27017等を基礎として作成され、インシデント対応に関連する内容を中心に国際規格及び統一基準に含まれない観点については、SP800-53を参照して構成されています。2024年9月、当社はクラウドサービスとして初めてISMAP-LIUクラウドサービスリストに登録されました。

電子取引ソフト法的要件認証

公益社団法人日本文書情報マネジメント協会(JIIMA)の「電子取引ソフト法的要件認証制度」とは、国税関係書類をコンピュータで作成し、電子的にやり取りする場合の当該取引情報の保存を行う市販ソフトウエア及びソフトウエアサービスが電子帳簿保存法第7条の要件を満たしているかをチェックし、法的要件を満足していると判断したものを認証するものです。「Bill One」及び「Contract One」において、令和3年改正法令基準「電子取引ソフト法的要件認証」を2022年4月に取得しています。

脅威への防衛体制

複雑化しているサイバーセキュリティ、情報セキュリティ上の脅威に対し、ユーザーから重要データを預かり、安心安全なサービスの提供を行うため、防御、監視活動並びにそれを支える体制を構築しています。
ネットワークの通信制御を含めた多層防御のアーキテクチャを採用しており、各端末ではEDR*6を導入して、異常検知時には自社のSOCにて速やかに調査・対応を行える体制を整備しています。また、新設されたプロダクトセキュリティチームでは、各サービスの開発から一貫したセキュリティ向上に取り組んでいます。そのほか、CSIRTを組織し、インシデント発生時には即座に対応できる体制を整えています。

自社及び外部SOCによる24/365の監視活動

外部ベンダーと協力し、24時間365日のサイバー攻撃に対して監視活動を行い、異常検知時は速やかに調査・対応を実施しています。また、社内の情報機器に対する不正行為を予防する監視活動を行っています。

定期的な脆弱性診断、ペネトレーションテストの実施

外部機関のハッカーを登用し、意図的にサイバー攻撃を行わせることで、各サービスやシステムのセキュリティレベルをテストし、強化につなげています。その際、社内環境においてもペネトレーションテストを実施しており、役職員に対しては標的型攻撃メールやBCP*7訓練をしています。

外部セキュリティ専門会社による脆弱性診断、ペネトレーションテスト実施回数
(単位:回) 2021年5月期 2022年5月期 2023年5月期 2024年5月期
脆弱性診断 1 1 1 1
ペネトレーションテスト 1 1 1 1
脆弱性診断結果
ペネトレーションテスト結果
  1. *6 EDR(Endpoint Detection and Response)
    通信ネットワークに接続されたPCやサーバー等の端末・機器において脅威を継続的に監視して対応する技術
  2. *7 BCP(Business Continuity Plan)
    事業継続計画

技術的な取り組み

第三者機関や社内専門部署によるサービスの脆弱性診断のほか、さまざまな技術的な取り組みを進めています。

データセンターへの通信は全て暗号化

外部からアクセスされたデータセンターへの通信は、ユーザー認証HTTPSによる高度な暗号化等を行っています。

紙書類のスキャン後、端末の画像を削除

名刺や請求書等の紙書類をスキャンした後、端末から画像データを削除しています。

サービスの高可用性

全てのサーバーは、ネットワーク機器の多重化等により負荷分散がなされており、障害発生時にはサービスを迅速に復旧させることが可能です。また、データセンターの二重化を行い、災害時の機能・サービス停止リスクを最小化しています。

ゼロトラストセキュリティの採用

全社でゼロトラストセキュリティを採用し、社内ネットワーク内外で業務が安全に行われ、守るべき情報資産へのアクセスが可能な仕組みの全ての安全性を確保して事業活動を実施しています。ゼロトラストセキュリティ推進の1つとして、場所を問わず業務の実施が可能なゼロトラストベースの管理策を適用した環境で業務ができることを進めています。主な機能として、

  • IDaaS*8 (統合的認証基盤)を整備し、社内システムへのアクセス時に統一的なセキュリティポリシーに基づいた安全な認証を行ないます。
  • EDRを導入し、エンドポイントにおけるマルウェア等のサイバー攻撃や侵害活動の継続を阻止します。
  • UEBA*9 を導入し、通常の振る舞い以外の動きを検知して、ルールに組み込まれていない新たなサイバー攻撃を受けた場合でも素早く特定し、対応することを可能としています。
  • SIEM*10 基盤を整備し、幅広いログを収集して異常を検知し、サーバー攻撃の予兆を早期に発見して遮断する体制を構築しています。
  • 端末内のディスクの暗号化を実施することで、情報資産の保護を行っています。
  • 端末内の情報をオンライン時にクラウド上へ随時バックアップするとともに、紛失や盗難時には遠隔による端末のロックや端末内のデータ消去を実施します。
  1. *8 IDaaS (identity as a service)
    複数サービスで登録されたID・パスワード情報を一元管理でき、ID認証、シングルサインオン(SSO)、アクセス制御などを一元化する技術
  2. *9 UEBA (User and Entity Behavior Analytics)
    ユーザの行動を分析し、高度な分析を適用してネットワーク上のトラフィックパターンから異常な行動を検出するサイバーセキュリティの技術
  3. *10 SIEM (Security Information and Event Management)
    セキュリティ機器やネットワーク機器等、さまざまなIT機器のログを一元的に管理してリアルタイムに分析することで、セキュリティ上の脅威や問題を早期に発見する技術

リスクへの取り組み

リスク評価の基準を定め、リスク評価とリスク管理を行っています。

手順① リスクの発生可能性を評価する

「脅威エージェントの要素」と「脆弱性の要素」でリスク評価を行い、リスクの発生可能性(リスクが顕在化する確率)を定量的に算出し、高中低の三段階で評価します。

手順② リスクの影響度を見積もるための要素を評価する

「機密性 、 完全性 、 可用性を考慮した技術的な影響度の要素」と「ビジネス的な影響度の要素」でリスク評価を行い、リスクの影響度(リスクが顕在化した場合の影響の大きさ)を定量的に算出し、高中低の三段階で評価します。

手順③ リスクの重大度を評価し、管理する

手順①②で算出された値から、リスクの重大度の評価を行います。リスクは、致命的・高・中・低・留意に分類され、リスク受容判断が行われ管理されています。

情報セキュリティ部の取り組みと理念

情報セキュリティ部は、企業理念のプレミス「セキュリティと利便性を両立させる」の下、利便性を確保した上で、データプライバシーの保護や情報セキュリティ等のあらゆる対策を全役職員に講じることでセキュリティリスクを最小化し、安全性の高いサービス提供を安定的に行うことを目標にしています。加えて、「SaaS業界をけん引する存在になる」ことを目指すべき姿として掲げており、自社のセキュリティレベルを業界最高水準にすることに留まらず、ベストプラクティスや学びを社内外に積極的に共有し循環させていくことで、業界全体のセキュリティ水準を引き上げていくことを目指しています。
2023年には、新たな取り組みとして、プロダクトセキュリティチームを新設しました。各サービスや機能の開発プロセスでは、最終テスト段階での脆弱性診断だけではなく、セキュリティ・バイ・デザイン*11 の思想の下、設計の初期段階からセキュリティチームが関わっており、そもそも脆弱性のない安心安全なサービス開発を推進しています。また、毎年実施しているペネトレーションテストでは、2023年は、ほぼ侵害を許すことなく終えることができており、国内有数のホワイトハッカーにも侵害を許さない検知能力、防御能力は業界でも最高レベルであると自負しています。
コロナ禍以降、企業のDXが急速に進むことで社会全体のセキュリティリスクが高まっています。強固なセキュリティは、顧客や取引先に対して安心を提供するのみならず、デジタル社会の発展に不可欠なものであり、企業の枠を超えて社会全体に多大な利益をもたらします。私たちは、これからも積極的なセキュリティ対策を推進し、安全で信頼できるサービスを提供し続けます。そして、そうした私たちの取り組みは、社会全体のDXを支え、持続可能な未来を創造する原動力になるものと信じています。

  1. *11 プロダクトのセキュリティを企画・設計段階から確保するための方策