山下的信息安全措施
--保护客户信息--
1.我们公司的信息安全意识和获得ISMS认证的背景
我们山下在从事辅具租赁、销售业务以及亚麻材料供应业务的过程中,经常收到客户的重要信息。
特别是在辅具租赁、销售事业中,需要保管与护理相关的极其隐私的信息,需要更加严格的管理。此外,这些信息通常通过各种方式处理,例如电话,传真,文件等,这是行业特有的,并且需要处理随之而来的各种风险。
在此背景下,本公司认识到,安全处理客户信息对于在社会信赖的基础上推进企业活动是不可或缺的,责任重大。因此,本公司确立了信息安全管理体系,在改善和维持运用的同时,2024年针对辅具租赁、销售事业、总公司部门取得了ISMS (*) 的认证,符合信息安全的国际规格,并由外部审查员进行定期监查,从而构筑起更加坚固的信息管理体制。
今后,我们也将遵循本公司的企业理念“正确地生活,丰富地生活”,为了继续保护从客户那里收到的重要信息,我们将致力于不断改善信息安全系统,确保安心和信任。我们将继续成为一家能够做到的公司。
※ISMS是信息安全的国际标准 (ISO/IEC 27001),它定义了正确管理信息的机制和规则。我们接受了第三方机构的审核,以确保符合标准。通过这样做,我们不断维护和改善安全处理信息的系统。
2.公司内部结构
代表董事为首席执行官,并成立了信息安全秘书处。与各部门、营业所合作,在全公司实施信息安全管理的维持、运用、改善。
3.安全管理措施
根据以下4轴的对策,分别采取对策。
1
组织・人力对策
防止“人”造成的错误,提高意识
所有员工 (包括管理人员) 每年都参加两次信息安全培训。持续学习最新的威胁和遵守规则,提高每个员工的意识。
设置信息安全专职负责人,各部门、营业所配备负责人。整备了组织全体一体应对的体制。
2
物理、环境对策
通过“场所”和“物品”保护信息
包含客户信息的文档和重要数据只能在安全的指定位置/系统中处理。
在外出或访问设施时使用商用电脑时,安装防窥过滤器,防止第三方看到信息。
废弃资料时,会进行溶解处理及碎纸机等,以避免信息外泄的方式处理。
另外,本公司还制定了将含有客户信息的资料带出时的规则,采取了防止不正当带出、丢失的对策。
3
技术对策
多层防御应对数字威胁
从客户那里获得的信息仅限制对业务所需的员工的访问,并且在退休/转移时立即使访问权限无效,从而降低了取出信息的风险。
要访问公司内部系统,请使用多因素认证或两阶段认证来防止未经授权的访问。
PC或平板设备的硬盘已加密。此外,我们建立了一个系统,即使万一丢失或被盗,也可以快速识别/远程锁定终端并删除数据。
持续监控网络和终端,早期检测可疑访问和病毒活动并采取措施。
4
风险管理与持续改善
持续审视,持续进化的安全性
我们定期进行风险评估(分析使用和存储什么样的信息以及可以考虑什么样的风险),并根据评估结果审查管理措施。
为了应对社会环境的变化、新的威胁、法律修改,通过PDCA循环推进持续改善。
每年接受ISO/IEC 27001的外部审查,以第三者的眼光确认并改善本公司的措施是否妥当。
4.遵守法律法规和合同要求
本公司根据以下法律、指导方针、合同,进行适当的信息管理。
| 个人信息保护法 | 关于客户个人信息的获取、利用、管理、废弃,遵守法律规定的标准。 |
|---|---|
| 医疗护理领域的指导方针 | 根据厚生劳动省制定的医疗、护理领域的信息管理相关指导方针,妥善处理特别敏感的信息 (身体状况、护理信息等) 。 |
| 信息共享规则 | 与护理管理人员、医疗机构、护理设施等相关人员共享信息时,限定在必要的范围内。向那以外的第三者提供,没有本人的同意是不进行的。 |
| 按合同管理 | 遵守与用户、客户签订的合同中规定的信息管理要求事项。迅速应对法律修改和新方针,始终保持适当的运用。 |
5.违反及事故的应对
①
快速初始响应
在掌握问题的时候,为了阻止灾害的扩大,会立即进行初期应对。
②
及时向客户报告
我们会尽快联系可能受到影响的使用者和护理经理。
③
确定原因并防止再次发生
我们将调查并确定原因并采取措施防止同样的事情发生。
④
向行政机关的申报
适当地向个人信息保护委员会等法令规定的机构申报。
有关信息处理的咨询和咨询
请随时与负责营业所或以下窗口联系。
信息安全办公室电子邮件:010005_01@yco.co.jp (工作日9:00~17:00)
制定日期:2021年12月23日
上次修改时间:2026年3月24日
山下株式会社
代表取缔役山下和洋