サステナビリティ
情報セキュリティ
情報セキュリティの基本方針
情報セキュリティに関する基本的な考え方
LIFULLグループは、お客様からお預かりする情報および社内情報の安全な維持管理と活用を目指し、以下の情報セキュリティに関する方針を制定しています。また情報セキュリティ確保のための諸規定を定め、LIFULLグループ従業員等に周知徹底しています。
- 取り扱うすべての情報資産に対して、管理責任を明確にし、その重要性に応じた管理を行います。
- 情報がその目的に沿って適切に使用されるよう、業務上必要と求められる正当な情報の利用のみを許可し、情報の利用および保管に際して、その内容が正確および完全であるよう努めます。
- 関連法令、本方針および社内規定類を尊重し、遵守します。
- 情報セキュリティに関する教育・訓練を定期的に実施します。
- 情報セキュリティ上重大な事象が発生した場合は、迅速な原因の究明および対策の実施に努めます。
- 当社グループ従業員に対して、情報の取扱いに関する規程に関する誓約書の提出を義務付けます。
プライバシーポリシーに対する取り組み
LIFULLグループは、個人情報の重要性を認識し、個人情報保護の実現のため、個人情報の保護に関する法律、同法にかかるガイドラインその他関連する法令等を遵守します。
情報セキュリティの推進体制
推進体制
LIFULLグループでは、社内における情報管理の保全と向上を目的に機密情報管理委員会を設置しています。同委員会は情報セキュリティ全般について定期的に審議・承認を行うとともに、社内への情報共有、注意喚起、各組織長への情報セキュリティに関連する指示を行います。各組織においてその組織長は、自部署の情報および情報システムの管理者となり、その管理責任を担います。また、これらのISMSの構築・運用が適切かつ有効に機能しているかモニタリングを実施し、情報セキュリティの維持・向上に努めます。
情報セキュリティを担保するための取り組み
ISMS(Information Security Management System)認証の取得
LIFULLおよび一部子会社は、第三者機関の審査を受け、2006年より情報セキュリティマネジメントシステムの国際規格「ISO/IEC 27001」および国内規格「JIS Q 27001」の認証を取得しています。国内グループ会社は株式会社LIFULLの情報セキュリティルールに準拠し、同一のマネジメントシステムで情報セキュリティを運用しています。
コンピュータセキュリティインシデントに対する取り組みおよび社外との情報共有体制について
LIFULLグループは、セキュリティインシデントへの対応支援組織としてCSIRTを設置し、日本シーサート協議会に加盟登録しています。引き続き、当社グループのサイバーセキュリティを向上させ、セキュリティインシデント発生防止のための取り組みを行います。
今後は、グループ内だけでなく他社とも緊密な連携体制の構築を行い、セキュリティ対策を強化していきます。セキュリティインシデントが発生した際は、被害の極小化と収束に向けた対応を行います。
*1:シーサート(CSIRT: Computer Security Incident Response Team)とは、コンピュータセキュリティに関わるインシデント(事故や緊急事態)に対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動を行います。
サービス開発時のセキュリティ体制
■安全なサービスを提供するための取り組み
サービスの安全性確保を目的にセキュリティレビューを実施するための専門組織を設置しており、新しいサービスの開発においては要件定義段階で全て申請しなければならないフローとなっています。個人情報を取り扱うサービスについては、要件定義段階からセキュリティレビューの実施を必須とすることでセキュリティ上の問題を抑制しています。またリリース前にも脆弱性診断を実施する事により安全性が確保されていることを確認しています。
情報セキュリティ教育の徹底
LIFULLグループでは、グループ全体において業務上必要な情報セキュリティ知識を確認する情報セキュリティテストや、ルール等を理解し、実行できていることを確認するセキュリティチェック等の教育を実施しています。また、サイバー攻撃に備え、攻撃訓練を定期的に実施、あわせてインシデント発生時の報告フローの確認等を通じて、迅速なセキュリティインシデント対応への意識浸透を図っています。またLIFULLグループでは安心・安全なサービスをお客様にご提供するために、エンジニアを対象としたセキュリティ研修を行っています。