セキュリティの強化

ウェルスナビでは、安心・安全なサービスの提供を実現するために、情報セキュリティの確保が経営の最重要課題の一つであると考えています。リモートワークに伴うセキュリティリスクの変化、サイバー攻撃の高度化、国内外の法律の改正など、社内外を取り巻く変化に迅速に対応することが必要です。そのために私たちは、お客様が信頼して、安心してサービスをご利用いただけるよう、以下の個人情報保護および情報セキュリティに関わる諸規程を定め、情報セキュリティ体制を構築し、様々なセキュリティ対策強化に取り組んでいます。

個人情報保護及び情報セキュリティのポリシー

ウェルスナビでは、個人情報の保護に関する法律などの法令諸規則に遵守し、当社が個人情報を適切に取扱うよう「個人情報等取扱規程」、「特定個人情報等取扱規程」、「個人情報・特定個人情報取扱細則」などを策定しています。お客様の個人情報の取り扱いについては、以下の通り公表しています。

個人情報の取扱いについて

また、個人情報をはじめとする情報資産を様々な脅威から守るために、「セキュリティポリシー」、「情報セキュリティ管理規程」及び「情報セキュリティ管理手順」などを策定しています。

情報セキュリティ管理体制

ウェルスナビでは情報管理統括責任者を任命し、セキュリティ対策の評価・改善など会社全体のセキュリティを統括して管理しています。また、各部門にセキュリティ管理責任者を設置し、情報管理統括責任者の管理のもと、自部門へのルールの周知徹底、施策の導入・運用を継続的に実施し、会社全体のセキュリティ強化に繋げています。

なお、情報セキュリティ上の重大な事象が発生した場合に備え、迅速に対応できる社内体制を整備するとともに、金融ISAC主催の訓練に参加するなどして、対応方法、関係者の役割、報告体制の点検・改善等にも積極的に取り組んでいます。

情報セキュリティ管理体制図

情報セキュリティ管理体制図

ゼロトラストセキュリティ対策

ウェルスナビでは、個人情報をはじめとした情報資産を守るためゼロトラストセキュリティ※の対策に取り組んでいます。ゼロトラストセキュリティを実現するため様々なアーキテクチャを導入し、またセキュリティ人材を積極的に採用することで、技術面・人材面でセキュリティ対策の強化に取り組んでいます。
※「ゼロトラストセキュリティ」とは、「社内は安全、社外は危険」の考え方を改め、「社内も社外も危険」という考え方で、情報資産を脅威から守るセキュリティの概念をいいます。

人的セキュリティ対策

ウェルスナビでは、情報セキュリティ対策や安全な個人情報の取り扱いを実現するためには、従業員一人ひとりの知識・スキルの向上が重要だと考えています。当社では、定期的に全従業員向けのセキュリティ研修や個人情報保護研修、理解度テストを行っています。また、新しく入社された方には、入社のタイミングでもこれらの研修を行っており、知識・スキルの向上に取り組んでいます。

物理的セキュリティ対策

ウェルスナビでは、お客様の個人情報の適切かつ安全な取り扱いのために物理的な制限エリアを設けています。このエリアに入室できる従業員を限定することに加え、個人情報が保存されているシステムにアクセスできる従業員も限定しています。また、このエリアには監視カメラを設置しており、犯罪や事故等の抑制とその原因の特定が可能となります。

サプライチェーン対策

事業活動を推進していくうえで、外部委託先や提携先などが提供するクラウドサービスの利用は欠かせません。当社は、これらの外部委託先などとサプライチェーンを築く一方で、適切なリスク管理が重要であると考えています。取引開始前のセキュリティリスク等の評価を実施し、対策が求められる事項はリスク低減策を求めるなど、サプライチェーン・リスクの低減に取り組んでいます。

セキュリティ点検・外部監査

ウェルスナビは、定期的にシステムを対象としたセキュリティ点検を実施しています。セキュリティの専門ベンダと協力して、脆弱性診断やペネトレーションテストなどを実施し、主体的にセキュリティホールを発見して対処しています。
また、定期的に独立かつ専門的な立場の監査人からシステム監査を受けることで、経営活動と業務活動の効果的・効率的な遂行に取り組んでいます。

国際規格の認証取得

情報セキュリティマネジメントシステム(以下、ISMS)の国際規格である「ISO/IEC 27001」認証と、ISMSクラウドセキュリティの国際規格である「ISO/IEC 27017」認証を取得しました。今後も、情報セキュリティ体制の改善と強化を続け、お客様に安心してサービスをご利用いただくための取り組みに尽力します。