情報セキュリティへの取り組み

情報セキュリティへの取り組み

基本理念

株式会社WellGo（以下、当社）は、「人生100年時代。新たなる資産＝健康づくりを全力でサポート」を理念とし、事業を行っています。当社の事業の中で取り扱う、お客様の情報をはじめとする情報資産は、当社の経営基盤として極めて重要なものです。漏洩、き損、滅失等のリスクから、情報資産を保護することの重要性を認識した役員や従業員を含めた、情報資産を扱う者が本方針を遵守し、情報資産の機密性、完全性、可用性といった情報セキュリティを維持するための活動を実践します。

個人情報保護方針

株式会社WellGo（以下「当社」）は、社会に寄与する企業として個人情報の適切な取扱いに規範を示すべき立場にあるとの理念の下、個人情報を適切に取り扱うことの重要性を認識し、個人情報保護方針を定め、役員及び従業員が一体となってこれを遵守し、もって個人情報の保護及び個人の権利利益の保護に万全を尽くしてまいります。

1. 個人情報を取得するに当たっては、その利用目的をできる限り特定し、その目的の達成に必要な限度において個人情報を取得致します。
2. 個人情報を、本人から直接、書面によって取得する場合には、弊社名、個人情報保護管理者名及び連絡先、利用目的等をお知らせした上で、必要な範囲で個人情報を取得致します。
3. 個人情報の利用は、本人が同意を与えた利用目的の範囲内で行います。また、目的外利用を行わないため、必要な対策を講じる手順を確立し、実施致します。
4. 保有する個人情報を適切な方法で管理し、本人の同意なしに第三者に開示・提供致しません。
5. 保有する個人情報を利用目的に応じた必要な範囲内において、正確、かつ、最新の状態で管理し、個人情報の漏えい、滅失又は毀損などのおそれに対して、合理的な安全対策を講じ、予防並びに是正に努めます。
6. 個人情報の処理を外部へ委託する場合は、漏えいや第三者への提供を行わない等を契約により義務づけ、委託先に対する適切な管理を実施致します。
7. 保有する個人情報についての苦情・相談は、弊社の問合せ窓口に連絡頂くことにより、これに対応致します。
8. 個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守致します。
9. 個人情報保護マネジメントシステムを定め、これを定期的に見直し、継続的に改善致します。

2022年11月1日 制定
株式会社 WellGo
代表取締役 Co-Founder 楠本 拓矢

情報セキュリティ基本方針

1. 個情報資産を保護するために、情報セキュリティ方針ならびに、それにまつわる規程類を策定し、これに従って業務を行うとともに、情報セキュリティに関連する法令、規制その他の規範、及び、お客様との契約事項を遵守いたします。
2. 情報資産に対して存在する漏洩、き損、滅失等のリスクを分析、評価するための基準を明確にし、体系的なリスクアセスメント方法を確立するとともに、定期的にリスクアセスメントを実施いたします。また、その結果に基づき、必要かつ適切なセキュリティ対策を実施いたします。
3. 担当役員を中心とした情報セキュリティ体制を確立するとともに、情報セキュリティに関する権限および責任を明確にいたします。また、すべての従業者が、情報セキュリティの重要性を認識し、情報資産の適切な取り扱いを確実にするために、定期的に教育、訓練および啓発を行います。
4. 情報セキュリティポリシーの遵守状況及び情報資産の取扱いについて、定期的に点検及び監査を行い、発見された不備や改善項目については、速やかに是正処置を講じます。
5. 情報セキュリティ上のイベントやインシデントの発生に対する適切な処置を講じるとともに、万一それらが発生した場合に際して、あらかじめ、被害を最小限に留めるための対応手順を確立し、有事の際には、速やかに対応するとともに、適切な是正処置を講じます。また、特に、業務中断に関わるようなインシデントについては、その管理の枠組みを確立し、定期的に見直しを行うことにより、当社の事業継続を確実にいたします。
6. 基本理念を実現するための目標を定めた情報セキュリティマネジメントシステムを確立し、これを実行するとともに、継続的に見直し、改善を行います。

2019年12月1日 制定
株式会社 WellGo
代表取締役 Co-Founder 楠本 拓矢

クラウドセキュリティ基本方針

当社は、クラウドサービスの情報セキュリティを維持した提供及び利用に取り組むため、クラウドサービス情報セキュリティ方針を確立します。本方針は別に定める「情報セキュリティ基本方針」の下位方針としております。

1. クラウドサービスの設計・実装: 当社にて確立した情報セキュリティ基本方針及び本方針をクラウドサービスの設計及び実装に適用します。
2. 内部関係者のリスクについて: リスクアセスメントで特定されたリスクに対し、適切な管理策を実施いたします。
3. クラウドコンピューティング環境の隔離: 当社が提供するクラウドサービスは、クラウドサービスプロバイダより提供される、仮想化された環境等を利用して、テナント環境等を論理的に隔離し提供を行います。
4. お客様データへの当社運用担当者によるアクセス及び保護: サービス提供内容の履行に必要な場合を除き、クラウドサービス運用担当者はお客様の事前許可なくお客様資産へアクセスしません。
5. 運用担当者の責任と義務: 当社は、クラウドサービス運用担当者に対しお客様のデータを適切に扱うための教育及び訓練を定期的に実施します。
6. 管理上のアクセス制御手順: クラウドサービスへの管理上のアクセス認証は、適切な認証方式を整備いたします。
7. お客様への変更通知: ご利用されるクラウドサービスに関する各種通知事項については、当社ホームページへの掲載等によりご連絡いたします。
8. クラウドサービスで扱うデータへのアクセスと保護について: 責任範囲に基づき、クラウドサービスで扱うデータの適切なアクセス管理と保護を実施いたします。
9. アカウント管理: お客様の利用者アカウント管理は、お客様の責任において管理・運用していただきます。
10. インシデントの通知、対応やフォレンジックに関する情報共有: インシデントに関する通知および、対応やフォレンジック支援のための情報を共有いたします。

2022年3月1日 制定
株式会社 WellGo
代表取締役 Co-Founder 楠本 拓矢

第三者認証 及び セキュリティ基準への対応

ISMSクラウドセキュリティ認証（ISO/IEC 27017:2015）

ISMSクラウドセキュリティ認証とは、ISMS認証（ISO/IEC 27001:2013）をベースに、クラウドサービス特有の情報セキュリティ管理策について、適切な管理・実践されていることを第三者機関が認定するものです。株式会社WellGoは、ISMSクラウドセキュリティ認証（ISO/IEC 27017:2015）を取得しています。

ホワイトペーパーはこちら

情報セキュリティ認証（ISO/IEC 27001:2013）

株式会社WellGoは、情報セキュリティの認証基準「ISO/IEC 27001:2013 (JIS Q 27001:2014)」を取得しています。

プライバシー情報マネジメント認証（ISO/IEC 27701:2019）

株式会社WellGoは、プライバシー情報マネジメントの認証基準「ISO/IEC 27701:2019」を取得しています。

FISC安全対策基準・解説書に関するWellGo対応状況

『金融機関等コンピュータシステムの安全対策基準・解説書（FISC安全対策基準・解説書）』は、公益財団法人 金融情報システムセンター(FISC)により、金融機関等の自主基準として策定されたものとなります。
FISC安全対策基準・解説書では、設備、運用および技術といった広範囲にわたるシステムの安全性に関する基準が示されており、システムアーキテクチャおよび運用に関する指針として多くの金融機関によって活用されています。
株式会社WellGoは、FISC安全対策基準・解説書で要求されている安全性に関する基準を満たしております。