プロネクサスについて

CSRの取り組み

2.当社CSR活動の骨格

法令遵守と機密保持

情報セキュリティ

情報セキュリティ方針とセキュリティ体制

当社事業が社会的なインフラとしての側面を持つことを認識し、お客様の開示前のインサイダー情報を含む機密情報を守り、安全に取り扱うため、「お客様の利便性や社員の操作性を守りつつ情報セキュリティ事故ゼロを実現する」というスローガンを掲げ、グループ全社員が従うべき10項目の行動指針を定めています。

行動指針
  1. 組織的かつ継続的な運用を可能とするため、ISMS委員会を設置し、ISMSの確立と維持を行います。
  2. 機密性、完全性、可用性の高い信頼性実現に必要なリスクマネジメントを構築し、且つ実施します。
  3. リスクを合理的に評価するための基準とリスクアセスメント構造を確立します。
  4. 情報セキュリティに関する法的又は規制法律事項を遵守します。
  5. 契約上のセキュリティ要求事項を遵守します。
  6. 基本理念、目標、および行動指針は全社に適用します。
  7. 情報セキュリティ事件・事故が発生した場合迅速に処理し被害の拡大を防止します。
  8. 情報セキュリティ管理策の有効性を測定し評価します。
  9. 情報セキュリティの教育、訓練を行い、啓蒙に努めます。
  10. 情報セキュリティに関する違反に対しては厳正な処分を行います。

体制としては、最先端のITを駆使した通信インフラ、ハードウェア、ソフトウェア、マネジメント体制を構築し、情報を安全に送受信・処理・保管するためのインフラを自社で構築・運用しています。経済産業省の基準をクリアする震度7対応の免震耐火構造のデータセンター、外部からの不正アクセス検知システム、サーバーの冗長化、災害に備えての遠隔サイトのデータセンターとの同期化、サーバールームの24時間監視等、金融機関レベルの情報セキュリティインフラを構築しています。2011年は、東日本大震災を契機とした地震・災害リスク対策、安全性確保、事業継続の観点から、本社とデータセンターとの間でファイルサーバーの適正配置を実施しました。
また、株式会社アスプコミュニケーションズが「PRONEXUS WORKS」のシステムオペレーション運用業務を登録範囲としたITサービスマネジメントに関する国際規格ITSMS(ISO20000)の適合認証を取得しています。 

当社の情報セキュリティ体制
データセンター運用の強化
インサイダー・情報セキュリティ活動の強化

情報セキュリティシステムの一環として、システムのIDを厳密に管理し、ID権限の変更に伴う申請処理をワークフロー化してデータ管理し、監査用データとしても活用しています。また、システムごとのIDの集約やID権限の変更処理の自動化率を高めています。
インサイダー取引未然防止のため、「インサイダー情報処理方針」を定めています。その一環として、アプリケーションに対するアクセス権の制御を行い、インサイダー情報は限定・認証されたIDからのみアクセスできるようにしているほか、アクセスログを解析して、履歴をチェックしています。2011年は、従来手作業で行っていたアクセス履歴のチェック業務をシステム化し、業務効率化と精度向上を図りました。 また、インサイダー情報を扱う業務を行うスペースは一般業務ラインから隔離し、そのデータを扱うファイルサーバーも一般のサーバーとは分離して運用しています。

全社員への情報セキュリティの啓蒙活動

社員が情報セキュリティの重要性を認識し、ルールを遵守できるようにするための啓蒙活動を継続的に推進しています。社員として守るべき必須項目を「プロネクサスグループ 情報セキュリティ10カ条」としてまとめ、グループウェア内および社内の各所に掲示し、適正な行動をうながしています。2011年は、例年実施している「ウイルス防災訓練」に加えて、eラーニングによる「ISO全社テスト」を実施し、情報セキュリティに関する社員の理解度確認と啓蒙を行いました。