情報セキュリティへの取り組み

• 準拠フレームワーク・規格
• 情報セキュリティ委員会の設置
• 情報セキュリティ管理体制
• 内部監査及びサプライチェーンマネジメント
• 情報セキュリティ訓練・教育
• 情報セキュリティに関する第三者認証
• 個人情報保護

準拠フレームワーク・規格

NSSOLグループでは下記フレームワーク及び国内外の規格に準拠または一部参照し、情報セキュリティ及び個人情報保護に関する規程・社内基準を制定しています。

• 米国国立標準技術研究所 サイバーセキュリティフレームワーク（NIST CSF）2.0
• ISO/IEC 27001 情報セキュリティ，サーバーセキュリティ及びプライバシー保護―情報処理マネジメントシステム―要求事項
• JIS Q 15001 個人情報保護マネジメントシステム―要求事項
• プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針

また、補完的に下記フレームワークを参照し、具体的なセキュリティ対策要件や業務手順を定めています。

• NIST SP 800-53 組織と情報システムのためのセキュリティおよびプライバシー管理策
• NIST SP 800-171 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
• CIS Controls クリティカルセキュリティコントロール

情報セキュリティ委員会の設置

NSSOLグループ全体の情報セキュリティ活動にかかる意思決定を行うために情報セキュリティ委員会を設置し、NSSOLグループのミッションを踏まえたセキュリティ戦略・セキュリティ方針・セキュリティ施策の決定、情報セキュリティに関する年度計画、情報セキュリティマネジメントシステムの定期的な見直し、その他情報セキュリティに関する重要事項の審議を行っております。
また、取締役会に、情報セキュリティ活動年度計画、マネジメントレビュー実施結果、情報セキュリティ監査計画・結果、その他情報セキュリティに関する事項を定期的に報告します。

情報セキュリティ管理体制

NSSOLグループ全体の情報セキュリティを統括し、管理責任を負う情報セキュリティ統括組織を設置しています。情報セキュリティ統括組織は、事業成長を促進する全社最適視点で、セキュリティリスクへの対応を検討、判断、実行し、情報セキュリティリスク対策におけるPDCAサイクルを主導します。
また、下部組織としてSIRT部門を設置し、日常的な対応として、JPCERT/CCやその他専門機関などから発信された情報を収集し分析を行い、NSSOLグループの情報資産への影響を判断し、リスク軽減のために必要な対策を講じています。情報セキュリティインシデント発生時にはNSSOLグループ全体のマネジメントを主導し対応にあたります。

内部監査及びサプライチェーンマネジメント

毎年、当社の全部門及び国内外のすべてのグループ企業に対して情報セキュリティと個人情報保護に関する内部監査を実施し、情報セキュリティリスクに対する対策の実施状況や当社規定・基準の遵守状況を確認し、不備があった場合は改善を図っています。
加えて、サプライチェーンリスクに対する取り組みとして、新規取引開始時及び年1回、お取引先の情報セキュリティ対策に関する調査を実施し、リスク評価を行っています。

情報セキュリティ訓練・教育

NSSOLグループの全従業員、派遣社員、パートナー社員に対して入社時の情報セキュリティ及び個人情報保護に関する教育を実施しています。加えて、前述の従業員等と当社業務に従事する委託先様の社員に対して年1回の情報セキュリティ教育と理解度確認テストを実施しています。教育は情報資産管理や個人情報保護についての必要性・重要性への意識を高め、一人ひとりのリスク感度を高めることを目的としています。
また、標的型攻撃メールに備え、疑似的な攻撃メールによる訓練演習を定期的に実施しているほか、ランサムウェア感染など事業継続に影響が及ぶ事態を想定した重大サイバーインシデント訓練を社長以下経営層の参加の下で実施しています。

情報セキュリティに関する第三者認証

NSSOLグループでは外部の専門機関による第三者評価・認証取得を推進しています。以下の組織が情報セキュリティ及び個人情報保護に関する認証を取得し、審査機関による定期的な審査を受審しています。（プライバシーマーク：2年毎の更新審査、JIS Q 27001：3年毎の更新審査と毎年のサーベイランス審査）

個人情報保護

• プライバシーポリシー