情報セキュリティ・個人情報保護に関する考え方
当社が提供するサービスにおいては、ユーザーのお金に関するさまざまな情報を多くお預かりしており、安定した事業活動を継続するためには、適切な情報管理が当社の最重要課題であるとの認識のもと、継続的な情報管理の強化が必要不可欠であると考えています。
当社では、社内外、故意又は偶然のすべての脅威からユーザー及び当社の情報資産を保護を図るため、 「情報セキュリティ基本方針(セキュリティポリシー)」及び「個人情報保護方針(プライバシーポリシー)」を制定したうえ、情報を不正に取得することを目的とした悪意の第三者によるシステムへの不正アクセス等による漏えいリスクなどに対して適切な防御措置を講じています。
また、情報セキュリティ管理に関する運用ルールや個人情報保護に関する社内規程を定め、役員及び従業員を対象とした社内研修を実施することで、遵守すべきルールの理解と浸透に努めるとともに、ルール遵守を実効的に確保するため、違反行為を懲戒処分の対象としています。
加えて、ユーザーの人生を飛躍的に豊かにし、より良い社会創りに貢献していくためには、ユーザーのプライバシーを保護したうえでお預かりしているデータを活用することが重要と考え、「パーソナルデータステートメント」を制定し、個人情報の保護に関する法律に定義される個人情報・個人データといった個人を識別できるデータに限らず、一般消費者であるユーザーのクッキー情報・ IP アドレス・端末識別 ID などの識別子情報及び位置情報、閲覧履歴といったインターネットの利用にかかるログ情報などの取扱いに関する当社の理念を宣言しています。
情報セキュリティ実行体制
取締役会の決議により、CISO(Chief Information Security Officer・最高情報セキュリティ責任者)をセキュリティ管理関連業務の実行責任者として任命し、CISOの指導・監督の下、情報セキュリティ全般に関する事項を統括するCISO室が中心となって情報セキュリティ向上に向けた取り組みを行っています。
CISOから代表取締役及びCTO(Chief Technology Officer・最高技術責任者)に対して、月次でセキュリティについての対応計画、実施状況、リスク評価、インシデント発生状況などの情報セキュリティの運用状況が報告され、その妥当性や有効性の評価・指摘等が行われています。また、CISOは、取締役会に対して、月次レポートの内容を四半期に1回報告するほか、重要性の高い事項については随時報告しています。
役職員による社内規程違反、当社及び業務委託先における個人データの漏洩や紛失等の事案が発生している事実又は兆候を把握した場合には、各部門の責任者へ報告・連絡がなされ、責任者からCISO室やMF-CSIRTに報告・連絡がなされます。
情報セキュリティ・個人情報保護に関する主な取り組み
個人データの取い扱いルールの制定
当社では、個人データの取得、利用、保存、提供、削除・廃棄等の各段階における取扱い方法を定めた社内規程を策定しています。また、個人データを取扱う全従業者が、より適切な業務遂行ができるよう、詳細を定めた運用手順も別途整備しています。なお、個人データの取扱いに関する社内規程に違反する行為は、懲戒処分の対象となります。
セキュリティ教育の実施
当社では、情報セキュリティ維持のためには、当社の業務に従事する者が、当社が取り扱う情報の重要性と遵守すべきルールを理解し、実践することが重要であると考えています。この観点から、契約形態を問わず、全従業員(雇用社員、派遣社員、委託業務従事者)を対象として、情報セキュリティと個人情報の取扱等の理解と社内ITツールの理解に関する入社時オリエンテーションを実施しているほか、入社時及び定期的に、情報セキュリティ研修・個人情報保護に関するオンライン研修を実施しています。
また、情報セキュリティリスクの周知・啓蒙のために、CISO室が社内で起きた情報セキュリティ事故、ヒヤリ・ハット、社外の重要な情報セキュリティ事故を発信することで、類似事故の予防・回避・早期発見を図っています。
アグリゲーションサービスの情報保護
当社は、金融機関や事業会社のインターネット上の口座と自動連携するアカウントアグリゲーション技術を用いたサービス(アグリゲーションサービス)を展開しており、当該サービスに関連する情報の保護が非常に重要であると考えています。当社では、ユーザーの利用明細や残高等を表示するのに必要な連携先サービスの「ログイン情報」のみをお預かりし、 各サービスが取り入れている追加認証の情報、乱数表、クレジットカード番号、取引を行うためのパスワードなどログインに不要な情報はお預かりしていません。
また、アグリゲーションサービスの連携先と当社間の通信は、最高水準の暗号方式「2048bit」のSSL証明書を利用した方式を採用しており、お預かりするデータと連携先の認証情報は、異なるサーバに暗号化して保存するとともに、データへのアクセスについては制限を設けるなど厳重な管理・運用を徹底しています。
不正アクセスの予防・遮断など外部からの攻撃対策
サービスを提供するシステムや社内情報システム等に対して、システム開発時のレビューやファイアウォールの設置を行うことで、外部からの不正アクセスの予防を図っています。また、役職員貸与PCのウイルス対策ソフトの導入により、外部からの悪質なボットを通じた社内端末を経由した攻撃等による不正アクセスの遮断を図るとともに、入手金履歴等重要な個人データはすべて暗号化し、データの送受信もすべて暗号化する等適切なセキュリティ対策を実施したうえで、監視体制を強化しています。
これらにより、外部からの攻撃や外部への漏洩を防ぐとともに、EDRを利用したSOC(セキュリティオペレーションセンター)との連携による異変イベントの認識と緊急対応を実施することで、システムへの侵入や漏洩の可能性を検知した場合に速やかにアクションを取る運用を行っています。
外部のセキュリティ専門会社による診断
新規開発や既存サービスの大規模改修の際、セキュリティ観点での問題がないか、外部のセキュリティ専門会社によるアプリケーション脆弱性診断を実施しています。また、ペネトレーションテストを実施し、外部のシステム攻撃のプロ技術者による当社のシステムへの侵入成功までのやりづらさ、所要時間、侵入難易度などを評価を受けています。
会社貸与PC以外からのログイン制御
当社では、会社より必要なセキュリティ管理ツールを入れたPCを貸与し、当該PC以外での業務を禁止するとともに、システムの仕組みとして会社貸与PC以外からはアクセスができないよう、主要業務ツールへの制御を行っています。
アクセス制限及びアクセスログの保存
ユーザー向けサービス環境と役職員PC環境のネットワーク完全分離により、「役職員であってもユーザーの個人情報等へのアクセスができない環境」を基本とし、個人情報等へのアクセスが必要な場合は、VDI経由でのみ情報を取り扱うことができるようにしています。当該環境で操作ができるのは、CISO(最高情報セキュリティ責任者)が承認した最小限の従業員としており、業務ごとに最小限の権限を付与する運用としています。操作履歴は記録が残り定期的な評価により、データへのアクセスが適切であることを確認しています。そして、これらの運用を全社周知することにより不要なアクセスの抑止を図っています。
定期的な確認及び監査の実施
個人情報を取り扱う部門において、自部門での個人情報の取扱い状況のセルフチェックを実施しているほか、CISO室による本番環境における個人情報を含んだ操作ログの分析及び確認を定期的に行っています。また、内部監査室による情報取扱い全般を含めた業務監査を実施するとともに、監査役による情報取扱い全般を含めた監査を実施しています。
退職者による情報漏えいの防止
当社では各種SaaSを業務上利用することが多く、各システムへのログインIDをシステムごとに作成、権限付与、削除オペレーションを行うとメンテナンスが煩雑になり、対応漏れが発生した場合に退職者がシステムにアクセスできるリスクがあることから、役職員IDのSSO及び自動プロビジョニング化対応並びに統合ID管理を行うことで、退職者のIDの削除対応漏れによる当社システムへのアクセスを防止しています。
また、役職員が入社及び退職する際には、秘密保持に関する誓約書の提出を義務付けており、これらを実施することで、退職者からの情報漏洩の防止に努めています。
日本シーサート協議会への加盟
一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)に加盟し、様々なインシデント関連情報、脆弱性情報、攻撃予兆情報等を収集するとともに、当社のみの対応ではなく、社外に対して応援の体制を求めたほうが対応が円滑に進む場合には、日本シーサート協議会の各社に応援を求めることで、セキュリティインシデントが発生した場合に、迅速かつ適切な対応を行うこととしています。