こんにちは！CIOの道場です。

2回目の投稿となりますが、今回もセキュリティについてです。
前回はセキュリティに対する当社のこだわりをお伝えしようと記載しましたが、内容が少し専門的だったので、今回は少し目線を変えて医療従事者の皆様の大切な情報を管理するシステムを開発する中で、弊社が取り組んでいる基礎的なセキュリティ対策について記載します。

前回の記事はこちらをご覧ください。（少しシステムに寄った内容です）

ISMS認証/Pマーク取得について

ISMS認証

情報管理システムのセキュリティ強化の基準を示すISMS（情報セキュリティマネジメントシステム）の国際規格であり、第三者機関から、情報セキュリティに関する要件を十分に満たしていると判断された企業のみが取得できます。認証を取得すると、外部に対して自社のセキュリティの高さを示すことができます。

Pマーク

Pマーク（プライバシーマーク）は日本産業規格に準拠しており、個人情報を適切に扱っていることを第三者機関が調査・評価するものです。マークを取得すると、外部に対して自社が個人情報を適切に取り扱っていることを示すことができます。

どちらも医療従事者の皆様から大切な情報をお預かりする企業としては、取得しておきたい資格であり、当社はISMS認証/Pマークの両方を取得しています。

暗号化について

サイト暗号化

学会の入会フォームや参加登録フォームなど、ご利用者からの情報入力を伴うサイトの暗号化は必須です。フォームに入力された情報をサーバに登録する際など、サイトとサーバ間には通信が発生します。
暗号化をしていない場合、通信データを盗聴・改ざんされる危険性が非常に高く、個人情報の漏洩にも直結します。勿論ですが、当社のサイトは皆様からの情報取得の有無にかかわらず、全てのサイトを暗号化しており安全です。

データ保管時の暗号化

データを保管時に暗号化することも重要です。ストレージの暗号化とも言い、限定した利用者以外がデータを復元できない仕組みです。当社はクラウドサービスを利用しており、お客様からいただいたデータは全て暗号化した状態で保管しています。

外部専門家の協力について

セキュリティを企業内のみで完結するは非常に困難です。というのも、セキュリティは専門性が非常に高く、社員のみで十分なナレッジを貯めることは中小規模の企業では困難を極めます。

そのため、「ISMS認証/Pマーク取得の話」とも共通しますが、外部の専門機関の認証の取得や、外部専門家の協力は、セキュリティレベルを向上させるための非常に有効な手段と言えます。当社では、外部のセキュリティ専門家に、当社システムのセキュリティ対策に抜け漏れがないかご確認いただくことで、対策の向上に努めています。

システムの監視について

ご利用者の皆様の操作の一つ一つや、データの追加・更新、サーバとの通信など、全ての行動を人の目で確認することは困難です。そこでシステムで情報を収集し、日々エラーが発生していないか、不正が行われていないか監視を行う必要があります。当社でも様々な観点の情報を自動で収集し、システムのエラーや不正を監視し、万が一アラートを検知した場合、即時にシステム担当者に通知する仕組みを採用しています。

最後に

ここまで大切な情報をお預かりする上で当社が重要と考える取り組みを4点上げさせていただきました。当社では全ての取り組みを実施しており、さらに、前回記載したような「こだわり」をもってセキュリティ対策の向上に努めています。

これからも、安心・安全なサービスを皆様にご提供すべく取り組んでまいります。

その他、各種SNSでも情報を発信中です！よければこちらもチェックしてみて下さい！
✅Twitter
✅Facebook
✅Linkedin