ISMS認証取得

ISMS認証取得

弊社は、2007年3月9日付で情報セキュリティマネジメントシステム(ISMS: Information Security Management System)に関する国際規格である「ISO27001」(※1)を取得しました。弊社では機密性の高いお客様の個人遺伝情報を取り扱うサービスを提供しております。質の高い情報セキュリティマネジメントシステムを構築し、お客様からの信頼を得ることが認証取得の目的です。今後もお客様の信頼にお応えできるよう、さらに質の高い情報セキュリティマネジメントシステムの構築・維持に向けて取組んでまいります。


※1. ISO27001:情報セキュリティマネジメントの規格

認証登録概要

  • 事業所 :イービーエス株式会社
  • 登録範囲 :生体試料分析による遺伝子・ミネラルデータ及び顧客データ、サプリメント・健康食品販売における顧客データ、社内データ、ソフトウエア、ハードウエア、ネットワークのセキュリティ管理
  • 初回認証登録日 :2007年3月9日
  • 有効期限日 :2019年3月8日
  • 登録番号 :CI/8185IS(JP)
  • 規格正式名称 :ISO/IEC 27001:2013
  • 認証審査機関 : シー・アイ・ジャパン株式会社

[審査登録証]

審査登録証

[審査登録附属書]

審査登録附属書

情報セキュリティマネジメントシステム基本方針

当グループは、個々のお客様に適合するテーラーメードの健康づくりの支援や医薬品を安全に提供するための情報手段として、主に非浸襲性な生体試料である“爪と口腔粘膜”を検体として、収集、検査し、医療機関、健保組合等を通じ、また、自ら、顧客に対し、遺伝子情報を含む個人情報に基づいたサービスを提供する事業、並びに薬局においてかかる事業と併行して、処方箋を受理し医薬品等を提供する事業を行っています。この“爪と口腔粘膜”を用いた情報収集技術は、高水準かつ先進的であり、この技術を応用して、個々の医療健康サービスを行うため、大学、医療機関をはじめとした、多くの専門機関との連携をしています。

当グループの管理する情報の多くは、個人の病気や健康や体質にかかわるものであり、個人の健康に関するシステムの基礎となるものであるので、その管理は厳格に、そのセキュリティは、完全に確保されなければなりません。

また、かかるサービスをお客様第一に行うため、複数の拠点に分かれた体制になっています。各部署の責任者及び担当者は、そのことを自覚し、それぞれの役割を果たしていかなければなりません。
よって、社内体制を整備し、法令規定を遵守し、実施状況をレビューし、継続的に改善に取り組み、情報セキュリティポリシーに基づいたマネジメントを行うこととし、以下の目標及び方針を定めます。

情報セキュリティ基本方針:

  • 当グループは、収集した個人情報及び企業の機密情報、外部から預託された情報を厳正な管理の下、安全に蓄積・保管し、不正アクセス・紛失・破壊・改ざん・漏えいなどに対して合理的な安全対策を講じます。
    • 管理者の任命と義務
      当グループは、ISMSを推進する体制として、情報セキュリティ運営委員会を中心とした管理体制を整備する。情報セキュリティ運営委員会は、情報を不正な暴露・改ざんやサービスの妨害から保護・維持するために、情報セキュリティポリシー及びISMSの定期的な見直しを実施するものとし、実施責任者として、情報セキュリティ管理責任者を設置する。
    • 監査
      情報セキュリティ運営委員会は、情報セキュリティポリシー及びISMSが遵守されていることをシステム監査、内部監査、外部審査により定期的に検証する。
    • セキュリティ対策
      当グループは、取り扱う情報資産に応じて、適切な情報セキュリティ対策を実施する。
    • コンプライアンス
      当グループは、あらゆる側面で法規制遵守に基づく適正な業務を遂行することを、一人一人が自覚を持って取り組む。これらの法規制は単に情報セキュリティのみにとどまらず、国内・外の全ての該当法規制と、顧客との取り決め、諸契約や覚書等で取り交わした約束事などの、当グループが遵守しなければならない全ての規制を対象として考えること。
    • 従業員の義務
      情報セキュリティポリシー及びISMSで定められた規定は全従業員がそれらを確実に遵守できなかった場合及び違反した場合には、罰則を与えるものとする。
    • 情報の特定と対策
      情報セキュリティ運営委員会は、当グループにおける秘密情報や、プライバシー関連情報を特定し、その保護のために最適な情報セキュリティ対策を実施する。
    • 個人情報保護
      当グループは、個人情報保護法に準じて個人情報を取り扱うものとする。
    • 機密情報管理
      当グループは、個人情報保護法、薬事法、及び、経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドラインに準じて顧客及び当グループの秘密情報を管理するものとする。
    • 著作権保護
      当グループは、著作権法に準じて著作物を管理するものとする。
    • 情報セキュリティの推進
      当グループの情報セキュリティについては情報セキュリティ運営委員会で推進を図るものとする。
    • 情報セキュリティ教育
      情報セキュリティに関する教育・訓練活動は、情報セキュリティ運営委員会で推進を図るものとする。
  • 当グループはセキュリティポリシーの実効性を確保するため、又、不正アクセスされること及び不正アクセスによって他の情報処理システムに対して被害を及ぼすことを防ぐため、ネットワークの監視、セキュリティポリシーの遵守状況の確認などの必要な措置を取ります。また、障害及び緊急事態が発生した際の迅速な対応を可能とするための対策に努めます。
  • 情報セキュリティ確保の施策に関する教育、有効性の評価、遵守状況の監査を行うことによって、常に情報セキュリティの水準を維持、向上します。

イービーエスグループ
代表取締役 道下太英子

2012年10月1日 6版

↑