セキュリティ
お客さまに安心してお使いいただくために、組織と技術の両面からセキュリティ対策に取り組んでいます。
「組織的対策」と「技術的対策」の両輪で、セキュリティ対策を万全にしています
SmartHR社における「組織的対策」と、安全なサービスを提供するための「技術的対策」の両輪で、セキュリティ対策を万全にしています
組織的対策
安心安全なサービスを提供するためには、組織的対策が欠かせません。SmartHRでは、第三者機関による監査をはじめ、従業員や委託先が守るべきルールの策定、情報漏えいリスクを低減するオフィス環境づくりなどの対策に、組織全体で取り組んでいます。
ISO/IEC27001の取得
SmartHRは、情報セキュリティマネジメントシステムの国際標準規格「ISO/IEC27001」の認証を2016年3月22日に取得しています。さらに、定期的に開催される取締役会およびISMSマネジメントレビューによって、内部統制の整備と監督を徹底。情報セキュリティの3要素である機密性・完全性・可用性の維持と改善に、日々取り組んでいます。
SOC2 Type2保証報告書の受領
「SOC2 Type2保証報告書」は、米国公認会計士協会 (AICPA)が定めた「Trustサービス原則と規準」に準拠しており、「セキュリティ」に関わる内部統制のデザイン及び運用状況を一定の期間にわたり外部監査人が第三者の立場として評価したもの。厳しい要件をクリアした証明となるので、導入検討時の社内稟議などに使用する資料としてもお使いいただけます。本報告書はSmartHRをご利用中またはご検討中のお客さまに開示していますので、当社のセキュリティ体制の確認にご活用ください。
※
報告書の開示について
SOCの規約により、報告書は限られた範囲内のみでの公開となっております。開示を希望される場合は、弊社担当営業もしくは
お問い合わせ窓口
までご連絡ください。
情報セキュリティ基本方針の策定
SmartHRは「情報セキュリティ基本方針」を策定し、組織体制や各種規定、運用マニュアルに反映しています。お客さまの情報資産を預かる立場から、全ての従業員が情報セキュリティへの意識を高く持つように徹底。また、万が一情報が漏えいした際の体制構築や指針策定にも取り組んでいます。
オフィス内のセキュリティ対策
オフィス内にセキュリティ区画を設定し、機密情報流出を防ぐためのさまざまな取り組みを実施しています。入退出にあたっては専用の管理システムを導入し、定期的にログをモニタリング。機密情報書類の廃棄方法には施錠付き書類溶解BOXを採用し、情報漏えいのリスク低減に努めています。
セキュリティ研修・秘密保持契約
従業員に対しては、入社時に必ずセキュリティ研修を実施。また、全社員を対象として半期に1回以上の研修を実施し、セキュリティ意識の向上と継続を図っています。また、入退社時には全ての従業員に対して秘密保持契約を締結するなど、社員教育の面からも情報の漏えい・不正利用の防止に取り組んでいます。
従業員のアカウント管理
全ての従業員に対して、業務上利用するIDとパスワードを一元管理できるIDaaS、パスワードマネージャーを導入し、各種ログインによる認証時リスクの低減に努めています。また、各業務ツールの特権アカウントは必要最小限の人員にとどめ、定期的に利用者の棚卸しを実施しています。
従業員の端末管理
業務用PCへのアプリケーションのインストールや可搬記憶媒体(リムーバブルメディア)の使用にあたっては、利用ルールを定義したうえで社内教育を実施し、定期的なモニタリングも行っています。さらに、ウイルス対策としてNGAV・EDRを導入し、利用する端末を外部の危険から保護しています。
技術的対策
クラウドサービスの安全性を左右するのは、外部の危険から情報を守るための技術的対策の精度。常に安心してご利用いただくため、データや通信の暗号化を中心に、あらゆる脅威からお客さまの情報を保護する対策を講じています。
データ保護のための暗号化
お客さまのデータは、サーバーサイドで暗号化して保存しています。また、マイナンバーやアクセストークンなど、特に機微な情報はアプリケーションレベルでも暗号化しています。
常に暗号化された通信
SmartHRとの通信はSSL/TLSによって常に暗号化されており、悪意のある第三者によるデータの改ざんやなりすまし、通信内容の漏えいを防いでいます。
不正アクセスへの対策
サーバーへの不正アクセス対策としてDDoS保護、WAF、侵入検知、ファイアウォールなどを導入し、不正なアクセスからの防御および不審な活動の検知を行っています。
脆弱性への対策
ツールを使用し、定期的に脆弱性対策を実施しています。さらにセキュリティ専門会社による脆弱性診断を、年に一度不定期で実施しています。
なりすましメールへの対策
SmartHRから送信されるメールには、差出人のなりすましを防ぐDMARCや、正規の送信元からメールを受信したことをブランドロゴで視覚的に確認できるBIMIを導入。お客さまがフィッシングメールなどの被害に遭わないように対策しています。
セキュリティチェックシート
SmartHRがお客さまのセキュリティ基準を満たしているかをご確認いただけます
セキュリティを監査する情報システムをはじめとした各部門担当者の方々に向けて、SmartHRの導入検討に役立つセキュリティチェックシートを公開しています。このチェックシートは、経済産業省が公開している「クラウドサービスレベルのチェックリスト」と、情報処理推進機構が公開している「安全なウェブサイトの作り方 セキュリティ実装チェックリスト」に基づいて作成したものです。システムの運用や開発体制に関わるさまざまな観点から構成されており、SmartHRがお客さまのセキュリティ基準を満たしているかの確認にご活用いただけます。
