ウ件数 6,860 件エ原因公式ショッピングサイト ハワイアンズモール ( 以下 ハワイアンズモール といいます ) のロードバランサー ( 負荷分散装置 ) に使用していた OpenSSL の脆弱性を利用した 外部からの不正アクセスによるものでした (2) 本件の原因弊社によるシステムフォワード社

Similar documents
平成21年10月14日

上記 1のお客様のうち ログインパスワード :38 件基本的にパスワードは暗号化しておりましたが PCF の最終報告書により 上記 38 件については暗号化前のパスワード平文が流出したことが特定されました パスワード平文が流出した上記 38 名のお客様については 個別にご案内させていただいております

= SaaS型総合決済サービス = 「PGマルチペイメントサービス」のご案内

14個人情報の取扱いに関する規程

特定個人情報の取扱いに関する管理規程 ( 趣旨 ) 第 1 条この規程は 特定個人情報の漏えい 滅失及び毀損の防止その他の適切な管理のための措置を講ずるに当たり遵守すべき行為及び判断等の基準その他必要な事項を定めるものとする ( 定義 ) 第 2 条 この規定における用語の意義は 江戸川区個人情報保

6 当社は 反社会的勢力に対しては一切の関係をもたず 不当要求を受けた場合等の 事案発生時には 総務部を対応統括部署として警察および顧問弁護士等と連携し毅然とした態度で対応する (2) 取締役の職務の執行に係る情報の保存及び管理に関する体制 1 当社は 取締役の職務の執行に関する情報 ( 株主総会議

PowerPoint プレゼンテーション

プライバシーポリシー 発効日 :2017 年 12 月 本ポリシーはウルルン河口湖が所有し 運営する に適用されます 本ポリシーは ユーザーが のウェブサイトで提供する個人情報を当施設がどのように

JCROA自主ガイドライン第4版案 GCP監査WG改訂案及び意見

程の見直しを行わなければならない 1 委託先の選定基準 2 委託契約に盛り込むべき安全管理に関する内容 (2) 個人データの安全管理措置に係る実施体制の整備 1) 実施体制の整備に関する組織的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

岩手医科大学医学部及び附属病院における人を対象とする医学系研究に係るモニタリング及び監査の実施に関する標準業務手順書 岩手医科大学医学部及び附属病院における 人を対象とする医学系研究に係る モニタリング及び監査の実施に関する標準業務手順書 岩手医科大学 第 1.0 版平成 29 年 10 月 1 日

1 検査の背景 (1) 日本年金機構における個人情報 情報システム及び情報セキュリティ対策の概要厚生労働省及び日本年金機構 ( 以下 機構 という ) は 厚生年金保険等の被保険者等の基礎年金番号 氏名 保険料の納付状況等の個人情報 ( 以下 年金個人情報 という ) について 社会保険オンラインシ

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

metis ami サービス仕様書

中小企業向け サイバーセキュリティ対策の極意

氏名等の特定の個人を識別することができる情報は記載しないこと 4. 発生年月発生年月についてな場合は と記載すること 5. 発覚年月漏えい事案等の事故が発覚した年月を記載すること 6. 漏えい等した情報の内容漏えいした情報の種類 内容及びその数 ( 機微 ( センシティブ ) 情報を含む場合は その

Webエムアイカード会員規約

<93C18B4C8E64976C8F9195CA8E862E786C73>

<4D F736F F D D A2E8A4F959488CF91F590E682CC8AC493C295FB96402E646F63>

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

中小企業向け サイバーセキュリティ対策の極意

特定個人情報等取扱規程

はじめてのマイナンバーガイドライン(事業者編)

平成 26 年 3 月 6 日千葉医療センター 地域医療連携ネットワーク運用管理規定 (Ver.8) 千葉医療センター地域医療連携ネットワーク運用管理規定 第 1 章総則 ( 目的 ) 第 1 条この運用管理規定は 千葉医療センター地域医療連携ネットワーク ( 以下 千葉医療ネットワーク ) に参加

情報セキュリティ基本方針書(案)

4 保護管理者は 次の各号に掲げる組織体制を整備する (1) 職員 ( 臨時職員を含む 以下同じ ) がこの訓令に違反している事実又は兆候を把握した場合の保護管理者及び監査責任者への報告連絡体制 (2) 保有個人情報等の漏えい 滅失又は毀損等 ( 以下 情報漏えい等 という ) の事案の発生又は兆候

エ事務部門 (9) 利用者 教職員 学生等及び臨時利用者で 本学情報システムを利用する者をいう (10) 教職員 本学に勤務する常勤又は非常勤の教職員 ( 派遣職員を含む ) をいう (11) 学生等 本学学則に定める学部学生 大学院学生 大学院研究生 科目等履修生及び聴講生 等をいう (12) 臨

Microsoft Word - 円滑化開示資料目次.doc

Microsoft Word - 内部統制報告書の訂正報告書の提出に関するお知らせ(リリース)

(Microsoft Word - \201iAL\201jAG-Link\227\230\227p\213K\222\350.doc)

文書管理番号


<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

8. 内部監査部門を設置し 当社グループのコンプライアンスの状況 業務の適正性に関する内部監査を実施する 内部監査部門はその結果を 適宜 監査等委員会及び代表取締役社長に報告するものとする 9. 当社グループの財務報告の適正性の確保に向けた内部統制体制を整備 構築する 10. 取締役及び執行役員は

<4D F736F F D FAC94848BC CA94CC A83498ED05F E646F63>

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

<4D F736F F D CC2906C B835E82CC8EE688B582A282C98AD682B782E98B4B92F68CC2906C2E646F63>

マイナンバー制度 実務対応 チェックリスト

安全管理規程

他者から収集した情報 弊社はお客様から直接収集した個人識別情報の他に 第三者から個人の情報を入手するこ ともあります 弊社は 取得した情報を自ら収集した情報と同じように取り扱い このプ ライバシーポリシーで許諾される場合を除いて かかる情報を第三者と共有しません 個人情報の利用目的 ご購入 ご登録い

<4D F736F F D208CC2906C8FEE95F182CC8EE688B582C982C282A282C E646F6378>

Microsoft Word - 内部統制システム構築の基本方針.doc

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

ロボットショップポイントサービス利用規約

個人情報保護方針の例

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

agenewsプライバシーポリシー_0628_テキスト形式

<4D F736F F D2095BD90AC E93788CC2906C8FEE95F182CC8EE688B582A282C982A882AF82E98E968CCC95F18D902E646F63>

(3) 利用 保管方法 要介護認定情報等の申出にて発生する厚生労働省 大学内での倫理審査の文書 研究方法のマニュアル等は 研究室で適切に管理する 厚生労働省より提供を受けた要介護認定情報等の保存媒体の保管場所は 研究室の戸棚に保管し 施錠する 要介護認定情報等の利用場所は 研究室のみとする サーバ室

2 物理的対策関連サーバ故障時にあってもサービスを継続させるため 主要なサーバおよび接続機器は 別な物理サーバによるアクティブ - コールドスタンバイ構成による冗長構成とする (1) データ多重化ストレージ ( ハードディスク ) 故障時にあってもサービスを継続させるため 主要なサーバにおけるストレ

7iD 会員情報の取扱いについて 株式会社セブン & アイ ホールディングス ( 以下 当社 といいます ) は セブン & アイグループ個人情報保護基本方針にもとづき 当社が取扱う個人情報の保護を経営および事業における重要課題ならびに社会的責任として 全役職員が取組む義務と位置づけております 当社

KARTE セキュリティホワイトペーパー KARTE セキュリティホワイトペーパー 2.1 版 株式会社プレイド 1

Microsoft Word - 06_個人情報取扱細則_ doc

目次 1. はじめに サービス概要 決済手段概要 契約体系 エンドユーザー向け購入手順 エンドユーザー向けサービス利用条件 エンドユーザー向け決済時認証方法..

2010年2月3日

目次 1. 目的と適用範囲 定義 原則 使用機器 審査資料交付システム タブレット端末 管理運用体制 電磁的記録管理運用責任者の役割 電磁的記録管理運用担当者の役割

資料 2-1 クレジットカード取引に関する消費者問題についての建議 ( 案 ) 平成 26 年 8 月 26 日 消費者委員会 クレジットカード取引に係る消費者からの相談の件数 ( 注 1) は 全国消費生活情報ネットワーク システム ( 以下 PIO-NET という )( 注 2) によれば 平成

特定個人情報の取扱いの対応について

5) 輸送の安全に関する教育及び研修に関する具体的な計画を策定し これを適確に実施する こと ( 輸送の安全に関する目標 ) 第 5 条前条に掲げる方針に基づき 目標を策定する ( 輸送の安全に関する計画 ) 第 6 条前条に掲げる目標を達成し 輸送の安全に関する重点施策に応じて 輸送の安全を確 保

事務ガイドライン ( 第三分冊 )13 指定信用情報機関関係新旧対照表 Ⅰ-2 業務の適切性 現行改正後 ( 案 ) Ⅰ-2 業務の適切性 Ⅰ-2-4 信用情報提供等業務の委託業務の効率化の観点から 内閣総理大臣 ( 金融庁長官 ) の承認を受けて信用情報提供等業務の一部を委託することが可能とされて

う ) において定めた民間事業者が確保すべきサービスの質の達成状況に対する当機構 の評価は 以下のとおり 評価事項 測定指標 評価 業務の内容 対象公共サービスの内容に示す運用業務を適切に実施すること 月次報告による業務内容を確認したところ 運用業務は適切に実施されており サービスの質は確保されてい

制定 : 平成 24 年 5 月 30 日平成 23 年度第 4 回理事会決議施行 : 平成 24 年 6 月 1 日 個人情報管理規程 ( 定款第 65 条第 2 項 ) 制定平成 24 年 5 月 30 日 ( 目的 ) 第 1 条この規程は 定款第 66 条第 2 項の規定に基づき 公益社団法

特定個人情報取扱要領 ( 目的 ) 第 1 条この要領は この組合の 個人情報保護方針 および 特定個人情報取扱規程 ( 以下 規程 という ) に基づき この組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条

特定個人情報の取扱いの対応について

組織内CSIRTの役割とその範囲

4.7.4 プロセスのインプットおよびアウトプット (1) プロセスへのインプット情報 インプット情報 作成者 承認者 備 考 1 開発に関するお客様から お客様 - の提示資料 2 開発に関する当社収集資 リーダ - 料 3 プロジェクト計画 完了報 リーダ マネージャ 告書 ( 暫定計画 ) 4

JMAS Customer Services Policy and Procedures

Ⅰ. マイナンバー制度概要 マイナンバー法の厳しい罰則規定 ( 民間企業 個人に係わるもの ) 行為懲役罰金 1 正当な理由がなく マイナンバーファイルを 提供 4 年以下 200 万円以下 2 不正な利益を得る目的で マイナンバーを 提供 盗用 3 年以下 150 万円以下 3 不正アクセス等によ

はじめに オービスライブダウンロードの動作環境 オービスライブダウンロードは インターネット接続可能なパソコンに 該当するパソコンリンクソフト ナビスタジオ をインストールして行います ナビスタジオの動作環境については以下の URL からご使用のナビゲーションに対応した対応機種の ダウンロードはこち

11. 不測事態 とは 情報セキュリティの確保及び維持に重大な影響を与える災害 障害 セキュリティ侵害等の事態をいう 12. 役職員等 とは 当組合の役員 職員並びにこれに準ずる者( 嘱託職員 臨時職員 パートタイマー アルバイト等 及び当組合との間に委任契約又は雇用契約が成立した者 ) をいう 1

個人情報保護規定

1. ネット取引の拡大とクレジットカード利用の増加 1 ネット取引の急拡大に伴い 近年 クレジットカード取引高は一貫して増加 直近では 46 兆円 ( 消費全体の約 16%) を占める ( 参考 ) 主要各国のカード利用率韓国 :73% 中国 :56% 米国 :34% ( 出所 ) 日本クレジットカ

第 1 章総則 ( 目的 ) 第 1 条本規程は 日立国際電気企業年金基金 ( 以下 基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本規程において 個人情報 とは 個

監査に関する品質管理基準の設定に係る意見書

Microsoft PowerPoint - U-7 関西3G_アニメーションなし.pptx

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

PowerPoint プレゼンテーション

目 次 第 1 はじめに 2 1 ガイドライン策定の目的 2 2 ガイドラインの対象となる防犯カメラ 2 3 防犯カメラで撮影された個人の画像の性格 2 第 2 防犯カメラの設置及び運用に当たって配慮すべき事項 3 1 設置目的の設定と目的外利用の禁止 3 2 設置場所 撮影範囲 照明設備 3 3

当社サーバーへの不正アクセスに関する中間報告書

目次 1. はじめに サービス概要 決済手段概要 契約体系 エンドユーザー向け購入手順 エンドユーザー向けサービス利用条件 エンドユーザー向け決済時認証方法..

平成 27 年 9 月 14 日 情報通信審議会答申 加入光ファイバに係る接続制度の在り方について の中で ~ 略 ~ NTT 東西において 1 光配線区画を分割 縮小する事例を類型化した上で 公表することが適当である また NTT 東西においては 事後的に分割 縮小される光配線区画等について 接続

10 配当 剰余金の分配及び基金利息の支払調書作成事務 11 不動産の使用料等の支払調書作成事務 12 不動産等の譲受けの対価の支払調書作成事務 13その他の支払調書作成事務 2 利用の範囲を変更した場合は 本人に通知 または公表する 第 2 章取得 ( マイナンバーの提出依頼 ) 第 5 条事務取

特定個人情報取扱細則 ( 目的 ) 第 1 条この細則は 当組合の個人情報保護方針及び特定個人情報取扱規程 ( 以下 規程 という ) 等に基づき 当組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条この細則で

ネットワーク保守サービス 契約約款 2016 年 4 月 関西国際空港情報通信ネットワーク株式会社

1

別紙(例 様式3)案

目次 2 1. 実施内容 スケジュール ご依頼事項 加盟店様への影響 購入者様への影響 07 6.TLS1.2 未満使用停止の背景 08 7.FAQ 09

<4D F736F F D E518D6C C A95CA93595F8CC2906C8FEE95F182CC8EE688B595FB906A816982D082C88C60816A2E646F6378>

【PDF】MyJCB利用者規定(セブン銀行用)

<93648EA593498B4C985E82C98AD682B782E E838A F E315F C668DDA95AA292E786C7378>

3 治験実施計画書目的 当該治験について 治験実施計画書が手順書に従い適切に作成及び改訂されていることを確認する 次の事項を調べる (1) 治験実施計画書の記載項目 ( 再生医療等製品 GCP 省令第 7 条第 1 項に規定する項目 ) (2) 治験実施計画書の作成 改訂の手順と日付 (3) 治験計

<4D F736F F D2088E397C388C091538AC7979D8B4B92F E81698F4390B3816A2E646F6378>

公益財団法人岩手県南技術研究センター特定個人情報取扱規程 平成 28 年 4 月 1 日制定 規程第 14 号 第 1 章目的等 ( 目的 ) 第 1 条この規程は 公益財団法人岩手県南技術研究センター ( 以下 センター という ) が 行政手続における特定の個人を識別するための番号の利用等に関す

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

Ⅱ. 防犯カメラの設置及び運用に当たっての留意事項 1 設置の目的防犯カメラの設置者は 犯罪 又は事故を防止するなどの目的を明確にし その目的を逸脱した運用を行わないようにしてください 2 撮影の範囲と設置場所防犯カメラで撮影された映像は その取扱いによっては 撮影された個人のプライバシーを侵害する

SiteLock操作マニュアル

ETCスルーカード規定

日商PC検定用マイナンバー_参考資料

Microsoft Word - 農業者年金記録管理システム(2018年8月改訂版)

Transcription:

記 1. 事案の概要 (1) 流出したお客様情報平成 29 年 7 月 12 日にご報告させていただきました通り 情報流出の可能性が判明した後 弊社は直ちに外部調査会社 Payment Card Forensics 株式会社 ( 以下 PCF 社 といいます ) に調査を依頼し 平成 29 年 6 月 30 日に同社から以下の調査結果の報告を受けました ア対象平成 29 年 2 月 10 日 ~ 平成 29 年 5 月 25 日の間に公式ショッピングサイト ハワイアンズモール ( 物販 eチケット 施設内リストバンド決済の申込み ) において クレジットカード決済が行われたお客様情報イ項目カード会員名 カード番号 住所 カード有効期限 セキュリティコード ( なお パスワードは含まれておりません ) 1

ウ件数 6,860 件エ原因公式ショッピングサイト ハワイアンズモール ( 以下 ハワイアンズモール といいます ) のロードバランサー ( 負荷分散装置 ) に使用していた OpenSSL の脆弱性を利用した 外部からの不正アクセスによるものでした (2) 本件の原因弊社によるシステムフォワード社に対するヒアリング調査により 以下の事実が本件の原因であることが判明しました 1 本件サービス開始時において 当時としては安定稼動していた OpenSSL の旧バージョンを使用したこと そのため脆弱性問題が該当しないと誤信し 旧バージョンのまま放置したこと 2 その後ロードバランサーの OS のバージョンアップと同時に OpenSSL のバージョンアップを実施したが その際 脆弱性の対策がなされた最新バージョンがあることを確認せず 脆弱性の含まれた旧バージョンのままであったこと 3 前記 1 2に対応する手順を定めた規範がなく セキュリティ情報を逐次更新する体制も存在しなかったこと 4 ペネトレーションテストや脆弱性診断をした事実がなく そうしたルールも存在しなかったこと こうした事実関係から 本件の原因は同社の過失によるものであるとともに そうした過失を未然に防止し 点検 監督する体制もなく 継続的にセキュリティ情報を確認し安全性を高めるという体制が不十分であったことが より本質的な原因であると考えています (3) 弊社と運営委託先との関係本件は ハワイアンズモールで利用するクレジットカード情報の取扱いをシステムフォワード社に委託していた案件であり システムの脆弱性を放置した同社に主要な原因があるものの 弊社において適切な委託先管理を実施してこなかったことが その脆弱性放置という状況につながった点において 本件の一因を作り出していたことも明らかです 弊社は 地元企業であるシステムフォワード社との相互信頼は揺るぎのないものと認識しており 同社が弊社のために最善を尽くしているものと過信しておりました このような状況から 弊社はシステムフォワード社に対し特段の注意を払うことなく セキュリティチェックを初めとするセキュリティ対策をおろそかにしていた事実がありました 2. 流出への対応の経緯 (1) 平成 29 年 5 月 25 日 クレジットカード決済代行会社 ( 以下 決済代行会社 といいます ) より クレジットカード情報流出の可能性があるとの指摘を受け ハワイアンズモールの クレジットカード決済の利用を停止いたしました また 不正アクセスの全容解明及び被害状況の把握に向け 社内調査を進めるとともに PCF 社に依頼し 調査を実施しました (2) 平成 29 年 6 月 30 日 PCF 社から最終調査結果報告書を受領しました 同社の報告により 不正アクセスによりクレジットカード情報等が流出したことが判明しました (3)(2) の報告を受けて 弊社では直ちに以下の通り対応を行いました 1 ハワイアンズモールでのクレジットカードの利用停止 2 不正アクセスの監視強化 3 クレジットカード会社に対する不正利用モニタリングの実施要請 2

4 関係官庁 ( 個人情報保護委員会他 ) への報告 5 警察への報告及び相談 3. 再発防止に向けた対策 弊社は 本件判明直後から 事業の再開復帰に向けた対応を行うとともに 再発防止対策を立案し 実施してまいりました 再発防止対策は (1) 委託先のシステム変更及び監督 管理の徹底強化 (2) 弊社自身の セキュリティ対応の強化からなります まず 本件の直接的原因が システムの決済接続方式にあり クレジットカード決済情報が委託先 であるシステムフォワード社のサーバーを経由する方式であったため 弊社では 当該情報が利用者 から直接決済代行会社に接続する方式へと変更いたしました それとともに 委託先事業者の セキュリティ対応の点においてもその一因があったことから 委託先監督 委託先のセキュリティ対応 の徹底を図るものとしました 次に 本件を踏まえて 弊社全体の管理体制を見直し さらに強化する対応を 再発防止対策の重要な柱として強化することといたしました (1) 委託先のシステム変更及び監督 管理に向けた取り組みハワイアンズモールのシステム変更と運営委託先に対する委託先監督が重要な再発防止対策と位置づけました ア決済接続方式の変更これまで ハワイアンズモールでのクレジットカード決済処理は システムフォワード社のシステムで入力を受け 同社サーバーに格納し 当該情報を同社から決済代行会社に送信する方式 (API 型 ) であったため 今回同社システムが脆弱性を有していたことにより 同社サーバーに格納されていた情報が流失したものです このため 弊社では クレジット決済情報を直接決済代行会社のサイトで入力する方式 ( リンク型 ) へ変更いたしました この変更により ハワイアンズモールでのクレジットカード利用の際には クレジットカード決済情報が利用者から直接決済代行会社に提供されるようになりました 弊社としては ハワイアンズモールからのクレジットカード決済情報が流出する可能性は消失したと考えておりますが 今後も同システム リンク方式が安全に運用されていることを随時確認してまいります イ事前監査委託先であるシステムフォワード社が提供するシステムが平成 29 年 8 月 22 日の時点で PCIDSS 準拠の AVDS 診断に合格したことを確認しました 同社は四半期に一度 脆弱性診断を実施する予定であり 弊社に対して診断結果の報告を行う予定です また システムフォワード社との委託契約の内容を見直し 委託先監督をより強化します ウ委託先業務監督 1 セキュリティ監査弊社は システムフォワード社が 以下の安全管理措置を実施していることを監査するものとします すでに PCIDSS 準拠の AVDS 診断に合格しているとの報告を前提に PCIDSS の要件を含め さらに委託先監督に必要な点検 監査を実施します ⅰ 組織体制の確立システムフォワード社における業務遂行体制 システム管理体制 セキュリティ管理などの 3

体制整備を点検 監督します 特に セキュリティ確保に関する規範 職務分担 作業担当者 の明確化 作業手順が確立されているかを点検 監督します ⅱ 人的対策 システムフォワード社において 受託業務遂行に関し 十分な知識と情報を確保し 適正な 運用が図られるよう社内教育が実施されていることを点検 監督します ⅲ 技術的対策 システムフォワード社において セキュリティ技術対策 ウイルス対策 パスワード対策 ファイアウォールの管理が 常に最新の情報に基づき 日々更新されていることを点検 監督 します ⅳ 物理的対策 ( 施設の安全管理 ) システムフォワード社におけるシステム管理に関し システム管理場所の安全性が確保され ていること 入退室管理が実施されていること 機器端末の持ち出しなどが厳重に管理されて いることを点検 監督します 2 セキュリティ報告の徴収 弊社は システムフォワード社に対して毎月セキュリティ報告を求め さらに必要に応じて 追加での報告を求め 受託業務遂行のための監督を実施するものとします 3 立ち入り検査等 弊社は 必要に応じて システムフォワード社の運用する弊社システムに対して 立ち入り 検査を実施します (2) 弊社のセキュリティ体制の強化 弊社のセキュリティ体制を一新するため 公式ショッピングサイト ハワイアンズモール 情報 セキュリティポリシー を作成し 以下の通り 弊社のセキュリティ体制 監査体制を強化する こととしました ア弊社における安全管理措置の実施 1 業務企画室がハワイアンズモールの運営委託における委託先監督部門となり その委託先 監督責任者として業務企画室室長を選任し 委託先監督の総責任者と定めます 2 委託先監督責任者は 毎月委託先からセキュリティ報告を求めるとともに 業務の遂行状況 セキュリティ対策の状況 トラブル インシデント アクシデントの有無等について定期的に 情報交換を実施します 3 委託先監督責任者は 外部のセキュリティ専門事業者によるセキュリティ監査を受ける等 監査の実効性を確保するための指導を受け これを実施するものとします イインシデント ( 事故を含む ) 対応 1 エスカレーション対応 委託先事業者及び弊社担当部門が 何らかのセキュリティ上の異変を察知し また外部から 何らかの攻撃を受けたことが判明した場合には 直ちに事象を整理 調査した上で 委託先 監督責任者に連絡するものとし 弊社はその手順を予め確認することとします 2 事故対策委員会の開催 委託先監督責任者は 1 の連絡を受けた場合 あるいは外部からセキュリティに関する 何らかの情報を受けた場合には 速やかに事故対策委員会を開催し 事案分析 緊急対応 再発防止対策を立案しなければならないものとします 3 緊急対応 委託先監督責任者は 委託先の管理責任者と連携し 事故対策委員会の判断に従い 緊急 4

対策を実施しなければならないものとします 4 報告の実施委託先監督責任者は 事故対策委員会の開催後 事案の解決のための方向が定まったとき 及び事案解決に至ったときに それまでの対応等を整理し レジャーリゾート事業本部長に報告するものとします 以上の再発防止策を実施すべく 公式ショッピングサイト ハワイアンズモール 委託先監督ポリシー を定め 委託先監督責任者を中心に再発防止に取り組んでまいります 4. 業績への影響について 本件が当社連結業績に与える影響は軽微と考えております 5. 公式ショッピングサイト ハワイアンズモール 営業再開について弊社は 前述の再発防止策の実施と並行し 公式ショッピングサイト ハワイアンズモール の営業再開に向けた作業に着手してまいりました すでに新システムが完成し PCIDSS 準拠の監査 クレジットカード会社の審査等も終了しており 本最終報告を経て 平成 29 年 12 月 23 日より営業を再開いたします

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック