情報セキュリティポリシー
LRM株式会社(以下、LRM)は、情報セキュリティコンサルティングを始めとした各種情報セキュリティサービスを提供する企業として、みなさんのお手本になるような情報セキュリティ体制を構築する義務があると自負しています。
以下では、Security Dietを掲げる会社として、みなさんにわかりやすいようLRMの情報セキュリティポリシーをご紹介していきます。
できるかぎりシンプルに書いていますが、説明責任を果たすためには、どうしても長くなってしまったり、わかりづらい表現が出てくることもあります。そのため、本ページをすべて読み込むのは大変かもしれませんが、最低限以下の点はご確認をいただけると嬉しいです。
LRMの情報セキュリティに対する考え方
LRMは情報セキュリティの重要性を認識していますか?
LRMは情報セキュリティサービスを提供する会社として、情報セキュリティの重要性を他のどの会社よりも理解しているつもりです。
そして、情報セキュリティに対する「業務効率を低下させるもの」というネガティブイメージを取り除くため、情報セキュリティと業務効率の両立をあらわす「Security Diet」という言葉を掲げ、その体現者となるべく、強固なセキュリティと効率的な業務遂行の実現を目指しています。
LRMではSecurity Dietの考えに基づき、全社で情報セキュリティのマネジメントシステムであるISMSと、個人情報保護のマネジメントシステムであるPMSを確立・実行し、継続的に見直し、改善しています。言い換えると、事業の中で取り扱うお客様の貴重な情報をはじめとする情報資産を、漏えい(情報が外部に漏れること)、き損(情報の内容が変更されたりして使えなくなること)、滅失(情報がなくなること)等のリスクから保護するために、本ポリシーに基づいて、あらゆる対策の実施、社内ルールの整備をおこなっています。
LRMの従業員は、情報セキュリティの重要性を認識していますか?
LRMの役員・従業員をはじめとするすべての従業者は、本ポリシーを遵守し、情報資産の機密性、完全性、可用性といった情報セキュリティを維持するための活動を実践しています。
日本で一番身近な情報セキュリティ会社を目指すLRMの事業者として、情報セキュリティの重要性を理解することは何よりも重要です。
そのためLRMでは、下記のような情報セキュリティ教育および啓発活動をおこなうことで、従業者に情報セキュリティの重要性を日々理解してもらっています。
| 教育の手段 | 頻度 |
|---|---|
| セキュリオのeラーニング機能を利用 した研修 |
月に1回 |
| セキュリオのセキュリティアウェアネス 機能を利用した研修 |
週に1回 |
| セキュリオの標的型攻撃メール訓練 機能を利用した訓練 |
不定期 |
また、LRMの従業者は、本ポリシー、情報セキュリティに関連する法令、規制その他の規範、およびお客様との契約事項を遵守して業務を遂行します。
LRMのセキュリティ体制は確立されていますか?
担当役員を中心とした情報セキュリティ体制を確立し、情報セキュリティに関する権限および責任を明確に定めています。
また、本ポリシーや社内ルールを策定し、それらが従業者のあいだで遵守されているか、情報資産が適切に扱われているかを確認するため、定期的なチェック(点検・監査等)もおこなっています。
| チェック方法 | 頻度 |
|---|---|
| プライバシーマーク付与適格性審査(外部監査) | 2年に1度 |
| ISMS維持審査(外部監査) | 年に1度 |
| ISMS更新審査(外部監査) | 3年に1度 |
| 内部監査 | 年に1度 |
| 社内担当者によるセキュリティ対策状況チェック | 月に1度 |
| セキュリオの社内アンケート機能を利用した セキュリティ対策状況セルフチェック |
月に1度 |
| セキュリオのセキュリティチェック機能を利用した ISMS規格への適応状況チェック |
年に1度 |
チェックした上で発見された不備や改善項目については、速やかに是正処置または予防処置を講じています。
LRMは自社のセキュリティリスクを把握していますか?
LRMは、自社の情報資産に存在する漏えい、き損、滅失等のリスクを分析、評価するため取り組み(リスクアセスメント)を毎年おこなっています。
また、新しい事業を始めるとき等、新しいリスクが発生する可能性があるときにも随時対応しています。
そして、その結果に基づき、必要かつ適切なセキュリティ対策を実施しています。
情報セキュリティ事故の発生を防ぐために、どのような取り組みをしていますか?
情報セキュリティ事故の発生を防ぐため、様々な予防処置を講じています。また、情報セキュリティ事故で業務を中断するような事態が発生した場合を想定し、業務継続のためのルール整備、定期的な復旧試験および見直しをおこなっています。
また、有事の際には被害を最小限に留めるため、ルールに則った速やかな対応、そして適切な是正処置を講じます。
LRMは情報セキュリティに関する認証を取得していますか?
LRMは、情報セキュリティに関する各種認証を取得しています。
 |
神戸・東京オフィスで、情報セキュリティマネジメントシステムの国際規格であるISO27001/ISMSの認証を取得しています。 |
|---|---|
 |
LRMは、個人情報保護マネジメントシステムの第三者認証であるプライバシーマークを取得しています。 |
 |
クラウドサービス『セキュリオ』の開発・運用において、ISO/IEC27001のアドオン認証である、ISO27017&ISO27701の認証を取得しています。 |
LRMの個人情報に対する考え方
LRMは個人情報を安全に管理してくれますか?
LRMは情報セキュリティサービスを提供する会社として、特定の個人を識別することができる情報(以下、個人情報)を適切に取り扱うことは義務であると考えています。そのため、個人情報に関して適用される法令、国が定める指針その他の規範を遵守するだけでなく、本ポリシーを確立し、個人情報保護体制の整備、継続的な維持・改善にも取り組んでいます。
なお、個人情報の漏えい、滅失、き損、目的外利用・提供などのおそれに対しては、個人情報の取り扱い規定を定める、組織体制・トレーサビリティ体制を整備するなど、必要かつ適切な安全対策を講じています。
LRMはどんな個人情報を取得し、どのように利用していますか?
LRMは、利用目的やお問い合わせ窓口等の情報を通知・公表等した上で、必要最低限の範囲で適法かつ適正に個人情報を取得します。また、お預かりした個人情報は事前に通知・公表等した利用目的の範囲内だけで利用し、適切な方法で管理します。
法令で認められた場合を除き、ご本人の承諾なくお預かりした個人情報を第三者に開示・提供することはありません。
万が一、利用目的の範囲外での利用が生じる場合は、下記のとおり対応しますのでご安心ください。
- 直接ご本人から取得した個人情報:ご本人へ利用目的を伝えた上で、改めて同意を取得します
- それ以外の手段で取得した個人情報:利用目的を公表した上で利用します
なお、目的外の利用や提供を防止するため、LRMでは規定・管理体制・トレーサビリティ体制を整備しています。
また、お預かりした個人情報は正確かつ最新の状態に保ち、個人情報への不正アクセス、紛失、破壊、改ざんや漏えい等を防止・是正するための措置を講じます。
LRMが取り扱う個人情報は、以下のとおりです。
| 取り扱う情報 | 利用目的 | 保有個人情報(※)への該当状況 |
|---|---|---|
| 情報セキュリティソリューションサービス(セキュリオ)業務に関わる個人情報 |
|
セキュリオに登録されたユーザ情報の管理権限は、LRMではなく各テナント管理者様にあります。そのため、保有個人情報には該当しません。 |
| 営業業務に関わる個人情報 (資料請求等により取得した個人情報を含む) |
|
該当する |
| コンサルティング中に知り得た個人情報 |
|
コンサルティング中に提供を受ける取引先の従業員情報等の管理権限は、LRMではなく取引先ご担当者様にあります。 そのため、保有個人情報には該当しません。 |
| コンサルティングサービスに関わる個人情報 |
|
該当する |
| ソリューションサービス提供に関わる個人情報 |
|
該当する |
| お取引先様に関わる個人情報 |
|
該当する |
| LRMが主催するセミナー・ イベントに関わる個人情報 |
|
該当する |
| 従業員・退職者に関する 個人情報 |
|
該当する |
| 採用応募者の個人情報 |
|
該当する |
(※)保有個人情報とは、LRMが開示、内容の訂正、追加又は削除、利用の停止、 消去及び第三者への提供の停止をおこなう権限を持っている情報のことです。
LRMが個人情報の処理を外部に委託することはありますか?
LRMは、個人情報の処理を外部へ委託することがあります。その場合、個人情報の漏えいや再委託をおこなわないよう、委託先とのあいだで契約を結びます。
また、委託先選定時および年に1度のタイミングで、委託先の個人情報保護体制を確認しています。
LRMが委託元から個人情報を預かることはありますか?
LRMは、委託元から個人情報をお預かりすることがあります。その場合、お預かりした個人情報は厳正な管理をおこない、契約の範囲内でのみ利用します。
LRMは取得した個人情報をどの国・地域に保管していますか?
LRMは、業務で各種クラウドサービスを利用しています。それらクラウドサービスの中には、データセンターを外国に置いているものもあります。そのため、下記のような国・地域に個人情報(個人データ)が保管される可能性があります。
- 日本
- シンガポール
- ベトナム
- オーストラリア
- アメリカ
- 欧州経済地域(EEA)
- ドイツ
- アイルランド
- オランダ
- Google Data Centers
LRMが自分のどんな個人情報を保持しているのか確認したいのですが?
LRMは、ご本人からの利用目的の通知、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止(以下、開示等)の請求を受け付けています。ご請求を受けた際は社内で調査し、遅延なく対応します。ご請求内容によっては開示等に応じられない場合もありますが、その場合はその理由をご回答します。
開示等をご希望される場合は、下記手順に沿って郵送にてご請求ください。請求内容に不備・不足事項等がある場合、請求を受け付けることが出来ない場合がありますので、ご注意ください。なお、開示等の請求にあたりお預かりした個人情報は、お問い合わせ対応にのみ使用し、それ以外に使用することはありません。
※個人情報の開示または利用目的の通知の請求にあたっては、1回につき事務手数料として1,000円を切手にてご負担いただきます。
| 本人が請求する場合 |
開示等の求めをおこなう場合は、以下の書類をご準備の上、配達記録郵便にてお送りください。
|
|---|---|
| 代理人が請求する場合 |
開示等の求めをおこなう方が、法定代理人もしくは本人が委任した代理人である場合は、前項の書類に加えて、それぞれ下記の書類を同封してください。
|
※開示等に関する詳細は、こちらにお問い合わせください。
LRMのCookie情報等の利用に対する考え方
LRMはCookie情報を利用していますか?
LRMが運営するウェブサイトでは、第三者配信の広告サービスとアクセス解析サービスを利用しており、こうしたサービスでCookie情報等を使用しています。
Cookieの提供を拒否することはできますか?
お使いのブラウザの設定を変更することで、拒否が可能です。設定方法はブラウザにより異なりますので、詳しい設定方法は、お使いのブラウザの「ヘルプ」メニューでご確認ください。
- 【主要ブラウザのCookie設定方法】
なお、すべてのCookieを拒否する設定を選択した場合、認証が必要なサービスを受けられなくなる等、インターネット上の各種サービスの利用上、制約を受ける場合がありますのでご注意ください。
取得されたCookie情報が広告配信に利用されることはありますか?
設定によっては、LRMのウェブサイトを利用した際のCookie情報が、広告配信事業者によって取得され、利用される場合があります。また、広告配信事業者によって取得されたCookie情報等は、広告配信事業者のプライバシーポリシーに従って取り扱われます。
Cookie情報の利用は、広告配信事業者のウェブサイト内に設けられたオプトアウトページにアクセスして、停止することができます。LRMが利用している広告サービスのプライバシーポリシーおよび利用停止の方法は、以下をご参照ください。
- 【Google広告】
- 【Yahoo!広告】
LRMはどんなアクセス解析サービスを利用していますか?
LRMは、運営するウェブサイトの利用状況を把握するため、以下のサービスを利用した解析をおこなっています。
- 【Google Analytics】
-
Google Analyticsにより収集、記録、分析された情報には、特定の個人を識別する情報は一切含まれません。
- 【Zoho SalesIQ】
-
Zohoにより収集、記録された情報は、CRM上で個人情報と紐づけ管理されます。
お問い合わせ
LRMの情報セキュリティ体制に関するお問い合わせは、どこからすればよいですか?
LRMに対して、個人情報に関する開示等請求や、その他LRMの情報セキュリティ体制に関する苦情・相談等を希望される場合は、下記窓口までご連絡いただければ、すみやかに対応いたします。
お問い合わせ窓口
| 会社名 | LRM株式会社 |
|---|---|
| 個人情報保護管理者 | LRM株式会社 マネジメントシステムチーム 管理責任者 |
| 本社所在地 | 〒650-0023 兵庫県神戸市中央区栄町通1-2-10 読売神戸ビル 5F |
| 電話番号 | 078-325-5600 |
| メールアドレス | info@lrm.jp |
制定日:2022年7月4日
(従来の「個人情報保護方針」・「個人情報の取扱いについて」・「情報セキュリティ基本方針」を統合して制定)
LRM株式会社 代表取締役CEO 幸松 哲也