MAKE PEOPLE HAPPY. eWeLL.inc

情報セキュリティ基本方針

情報セキュリティ基本方針

株式会社eWeLLは、情報革命を活用して新しい価値を創造することを目指しています。そして、そのためには、取扱う情報を適切に管理することが重要であると考えています。この考えに基づき、私たちは、下記の事項を関係者に周知し、確実な履行に努めます。

(1) 当社は、事業で取扱う情報資産に関して、情報セキュリティの国際標準規格である「ISO/IEC 27001」に準拠した情報セキュリティマネジメントシステム(以下、「ISMS」)を確立し、維持・向上に取組みます。

(2) 当社は、情報セキュリティの管理体制を構築し、情報セキュリティにかかわるリスクアセスメントに基づき、情報セキュリティ対策を定め、教育により周知徹底を図ります。

(3) 当社は、お客様からの信頼を獲得・維持できるよう、定期的に内部監査やマネジメントレビューを実施し、ISMSを継続的に改善していきます。

ISMSへの取り組み

株式会社eWeLL(以下、「当社」といいます)は、当社が提供するクラウドサービスにおいて、各種情報をお預かりするとともに、その提供するサービスの信頼性が極めて重要なものと考えております。 ITの進化により、情報資産の脅威にさらされるリスクは急速に高まってきておりますが、当社が提供する訪問看護専用電子カルテ『iBow』も、最先端の領域で進化を続けております。当社の責務は、お客様からお預かりした情報の機密性を保持し、安定的なサービスを提供し、お客様の期待に応えることであると考えております。 その一つの安全管理体制として、情報セキュリティマネジメントシステム「ISMS(Information Security Management System)」を構築し、運用しております。

社内での活動内容

■当社は、ISMSに適用されるPDCAモデルを用いて、セキュリティの継続的改善を実践します。

《1》Plan(計画)
 組織の構造・環境及び目標に沿った結果を出すための、情報セキュリティ方針、規程を確立します。
《2》Do(実施)
 セキュリティ基本方針、規程及び計画を実施・運用します。
《3》Check(点検)
 セキュリティ基本方針、規程、計画の他に、実際の経験などからセキュリティ運用状況を客観的な観点で
 点検・評価し、改善のための報告・レビューを行ないます。
《4》Act(処置)
 マネジメントレビューの結果に基づき、セキュリティの継続的な改善を達成すべく、
 適切な是正・予防処置を講じます。

■ セキュリティ委員会の組織
ISMSを運用するためのセキュリティ委員会を組織し、定期的なセキュリティの順守状況や脅威に対する対策の制定、結果報告などの活動を行います。

■ リスク分析・対応計画
当社では、自社の設備、情報資産ならびにお客様からお預かりしている情報に対してリスク分析を行い、対策が必要な箇所には対応計画を作成、実施します。

■ 教育
社員に対してISMSの仕組み、順守すべき規程を教育し、ルールはもとよりセキュリティ意識を高めるようにします。また、運用する立場の者には技量を高めるための専門の教育を施します。

■ 内部監査
セキュリティ委員会で実践している内容が有効であるかどうか、被監査部門外の者による内部監査を実施し、気付きにくい脅威・脆弱性について評価を行います。

■ 事業継続計画
事業・業務の継続が困難な事象に見舞われても迅速に改善・復旧できるように、事前に障害を想定した継続計画の策定・及び訓練、テストを実施し、計画の有効性を確認します。

■ コンプライアンスの遵守
当社の事業に関わる法律、規制、ガイドラインをはじめ、情報セキュリティに関する規則を遵守し、お客様との契約についても、その重要性を認識し遵守します。

安全管理措置

■ 組織的安全管理措置

  • ・個人情報保護方針及び情報セキュリティ基本方針の制定とホームページによる公開
  • ・情報セキュリティ管理責任者の設置など個人情報保護に関する社内管理体制の整備
  • ・個人情報保護と情報セキュリティに関する規定類の整備と運用
  • ・情報システムの管理と利用に関する規定類の整備と運用
  • ・委託先の選定基準及び委託契約書の整備と運用
  • ・入退館管理に関する規定類の整備と運用
  • ・ISMSによる情報資産台帳の整備
  • ・監査計画に基づく監査と監査報告の実施
  • ・緊急時等における代表者等への報告体制の整備

■ 人的安全管理措置

  • ・従業者の採用および退職時における情報資産の守秘に関する「誓約書」への署名捺印
  • ・従業者の採用時における個人情報保護に関する入社時教育の実施
  • ・教育訓練計画に基づく従業者に対する定期的な教育訓練の実施

■ 物理的安全管理措置

大阪本社

・正面入口に指紋認証システムと顔認証システムを設置(常時施錠)による入室管理

・正面入口にwebカメラを設置し、モニタリングを実施

・個人情報の施錠保管と鍵管理の実施

・離席時のパスワード付きスクリーンセイバーの起動実施

・外出先でのパソコン利用時の覗き見防止フィルター使用の実施

東京オフィス

・スマートフォン管理によるセキュリティロック設置による入室管理

・室内にwebカメラを設置し、モニタリングを実施

・個人情報の施錠保管と鍵管理の実施

・離席時のパスワード付きスクリーンセイバーの起動実施

・外出先でのパソコン利用時の覗き見防止フィルター使用の実施

■ 技術的安全管理措置

  • ・ユーザー認証による情報データへのアクセス制限の実施
  • ・情報データを格納したサーバーへの無権限アクセスからの保護
  • ・アプリケーション起動時にユーザー認証を行うことによる個人情報データへのアクセス制限
  • ・ファイアウォールやルータ等の設置による情報ネットワークへの無権限アクセスの防止
  • ・情報システムのアクセスログの収集と定期的なチェックの実施
  • ・データベースの監査機能を利用したアクセスログの収集と定期的なチェックの実施
  • ・ウィルス対策ソフトウェアの導入とパターンファイルの自動更新設定
  • ・オペレーティングシステムやアプリケーション等に対するセキュリティパッチの適用
  • ・個人情報データを電子メールで送信する際の自動暗号化対策

認証登録内容

登録事業者   株式会社eWeLL
適用規格 JIS Q 27001:2014(ISO/IEC27001:2013)
登録番号 JQA-IM1489
登録範囲 地域包括ケアシステムおよびサービスの提供
登録組織 株式会社eWeLL(大阪本社・東京オフィス)
認証取得 2018年2月9日
審査機関 一般財団法人 日本品質保証機構

制定日:2017年10月1日
改定日:2018年4月27日
株式会社eWeLL
代表取締役 中野 剛人