情報セキュリティ対策
情報セキュリティ基本方針
人事関連サービスは、お客様の人事戦略に関する機密情報や、役職員の特定個人情報(マイナンバー含む)を大量に取り扱うため、情報漏えいリスクに対して細心の注意を払う必要があります。私たちは以下の基本方針にもとづき、強固な情報セキュリティ体制を構築しています。
- 情報漏えいリスクの未然防止(物理的に事故が起きないようにする)
- 情報漏えいリスクの最小化(漏えい事故が起きにくい運営体制構築)
- 事故発生時の被害の極小化(損害賠償保険による経済的損失の補填)
特定個人情報の管理体制(イメージ)
RWCでは、特定個人情報の取り扱いを、RWC社労士事務所の業務に限定し、また不特定多数との渉外をサイバー脅威に強いChromebookで、特定個人情報の収集およびe-Govでの届出作業を、独立したクラウドストレージおよび事務所に据え付けた専用端末で行っています。
図の赤色のゾーンは、当事務所と顧問契約もしくは業務委託契約を締結されたお客様しかアクセスすることができません。またご契約前の審査として、反社チェックも実施させて頂いております。
情報セキュリティの具体的な取り組み
1,物理的な対策(事故が起こりようのない環境づくり)
- オンラインサービスに特化(ペーパーレス化)して、書類の紛失事故を回避する。
- オンラインサービスに特化することで、USBメモリーなどの紛失事故を回避する。
- 特定個人情報は、独立した専用クラウドストレージと専用端末に限定して取り扱う。
- お客様とフォルダを共有する際は、最小限の関係者に限定してアクセス権を付与する。
- 検収までは、お客様側での共有ファイルの複製や印刷、ダウンロードなどを制限する。
2,運用上の対策(事故が起こりにくい業務フローの工夫)
- SRPⅡ認証を取得することで、プライバシーマークに準拠した事務所運営を行う。
- 特定個人情報(マイナンバー含む)は、社労士事務所の業務に限定して取り扱う。
- 原則としてPPAP1やFAXによる特定個人情報や機密情報の送受信を行わない。
- 特定個人情報の取扱業務を複数担当制とし、相互にチェック&フォローを行う。
- 当社/当事務所スタッフに対し、継続的な情報セキュリティ教育を実施する。
当事務所はSRPⅡ認証を取得しています
SRPⅡ認証とは、クライアントの特定個人情報(マイナンバー含む)を適切に管理できる業務体制を整備し、保持していることを全国社会保険労務士会連合会が認証する、いわば社労士版プライバシーマークです。お客様の役職員の特定個人情報を記載する労働法令・社会保険に関する届出や申請代行業務も、安心してお任せください。
3,情報漏えい事故発生時の対応(事故に対する姿勢)
- 事故が発生した時は、お客様および関係団体等へ、迅速かつ適正な報告を行う。
- 事故が発生した時は、お客様および関係団体等と連携し、事態の解決に努める。
- 事故が発生した時は、専門家や関係団体等の協力のもと、再発の防止に努める。
- お客様が損害を被った場合の適切な補償2に備えて、業務賠償保険3に加入する。
- PPAPとは、パスワードつきZipファイルをメールに添付して送信し、後からパスワードを別のメールで追送する方法で、ハッキングやマルウェア拡散、誤送信などのリスクが高いことから、大企業を中心に禁止する組織が増えています。 ↩︎
- 補償は当方に重過失があった場合に、顧問弁護士および保険会社と協議を行い、被害を被ったお客様の経済的損失の額に対して、適切と思われる金額にて行います。あらゆる事象に対する無制限の補償をお約束するものではありません。 ↩︎
- RWC合同会社(コンサルティング業務)は損保ジャパン、RWC社労士事務所(社労士業務)は東京海上日動火災の業務賠償責任保険に加入しており、どちらも情報漏えい賠償特約を付しています。 ↩︎
RWC合同会社/RWC社労士事務所のサービスを詳しく知りたい
🍀無料カウンセリングを受ける🍀
悩んだらまずはお気軽にお問い合わせください。
を大量に取り扱うため、情報漏えいリスクに対して細心の注意){kind=link}