当事務所では、お客様からお預かりした情報資産を事故・災害・犯罪などの脅威から守り、お客様並びに社会の信頼に応えるべく「セキュリティ対策自己宣言(SECURITY ACTION)(独立行政法人情報処理推進機構(IPA))」の「★★二つ星」を宣言しました(2020年2月25日)。

「SECURITY ACTION」とは、中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度です。取組み目標に応じて「★一つ星」と「★★二つ星」のロゴマークがあります。

「★一つ星」では、「情報セキュリティ5か条」に取り組む必要があります。
「★★二つ星」では、「情報セキュリティ自社診断」をチェックした上で、情報セキュリティ基本方針を定め、外部に公開する必要があります。

「情報セキュリティ5か条」に関する当社の取り組み

  1. OS、ソフトウェアは常に最新の状態
    マイクロソフト社のWindows端末を利用しています。WindowsUpdateを自動更新設定にし、利用中のソフトウェアも定期的に更新しています。
  2. ウイルス対策ソフトの導入
    当社では、「ノートン360」(NortonLifeLock社)を導入しています。ウイルス定義ファイルは自動更新設定にし、プログラムをアップデートしています。
  3. パスワードを強化
    当社では、「長く」「複雑に」「使いまわしをしない」ようにしています。ノートンパスワード マネージャーを使用しています。
  4. ウェブサービスなどの共有設定を限定
    当社では、データ保管などのウェブサービスの共有範囲を限定しています。
  5. 脅威や攻撃の手口について情報収集
    当社では、独立行政法人情報処理推進機構(IPA)や内閣サイバーセキュリティセンター(NISC)などのウェブサイトで最新の脅威や攻撃の手口を把握しています。また、インターネットバンキングやクラウドサービスから提供される注意喚起を確認しています。

「情報セキュリティ自社診断」に関する当社の取り組み

電子メールのルール

不審な電子メールの添付ファイルを安易に開かないようにしています。また、URLのリンクに容易にアクセスしないようにしています。
電子メールを送る場合、内容を先に作成し最後に宛先を入力しています。送る前に送信先を再確認しています。
・重要情報・ファイルを送信する際は、必ずパスワードを設定しています。
・無線LANは、強固な暗号化方式(WPA2)を選択しています。

インターネット利用のルール

・「ノートンセーフサーチ」を設定し、セキュリティ上の問題があるWEBサイト利用を制限しています。

バックアップのルール

・故障や誤操作、ウィルス感染などでデータが消滅するリスクを避けるため、外付けHDD、クラウドへのバックアップを定期的に実施しています。

保管のルール

・重要書類は鍵付きの書庫(ロッカー)に保管しています。
・紛失、盗み見等を防ぐため、机の整理整頓を徹底しています。

持ち出しのルール

・パソコン、スマートフォンの利用にあたってパスワードを設定しています。また重要情報はクラウドサーバーに保管してパソコン上に残さないようにしています。
USBは紛失・盗難の危険性が高いため原則禁止しています。使用する場合は、使用後必ず中身を空にしています。
外出時(モバイルワーク)、パソコン作業の途中で席を離れたり、誰でも操作できるような状態にしないようにしています。また覗き込み防止のため、プライバシーフィルターを使用しています。
公衆無線LANの使用は原則禁止しています。使用せざるを得ない場合は、ノートンセキュアVPNをオンにして使用します。

事務所の安全管理

・防犯対策(監視カメラ等)として、入居ビルはセコム(株)により24時間体制で監視されています。
・不要となった重要書類はシュレッダーにより細断しています。また定期的に「事務所爽っきりサービス」(西濃運輸、エッサム)にて機密書類を処分しています。
電子データを消去する際は、データ消去ツール(Stellar社のBit raser)を利用して復元できないように消去しています。

情報セキュリティ教育

・定期的に、日本公認会計士協会、税理士会、中小企業診断士協会等の士業団体主催の情報セキュリティ研修を受講しています。また「情報セキュリティ・ポータルサイト (独立行政法人情報処理推進機構 (IPA)管理)」を確認しています。

お取引先様との情報管理

・情報漏洩を抑止するため、必ず書面で契約書を締結し、契約書内に秘密保持に関する条文を入れさせて頂いております。
お取引先様の情報セキュリティ対策を確認させて頂いております。「情報セキュリティ対策自己宣言」は費用もかからず、IT補助金の加点事由にもなりますので、推奨しています。
メールでファイル(Excel、Word、PDF等)のやり取りを行う際は、パスワードの設定をお願いしております。

セキュリティ事故発生時の対応

以下の手順で対応します。
1)発見・報告
2)初動対応
3)調査
4)通知・報告・公表等
5)抑制措置と復旧
6)事後対応

情報セキュリティ基本方針の策定

上記の取り組みにもとづく「情報セキュリティ基本方針」を策定し公開しています。

2021年1月23日現在

種山マネジメントコンサルティング株式会社
種山公認会計士・税理士事務所
代表取締役/公認会計士 種山 和男