セキュリティ
Security
セキュリティ
セキュリティについては、情報セキュリティとシステムセキュリティの大きく2つに分類し、各々について想定しているリスクやその対応策は、以下の通りです。
情報セキュリティ
1. 情報セキュリティ基本方針について
当社グループの情報セキュリティ基本方針は、ビジネスを遂行する上で保有する情報及びコンピュータやネットワークといった情報システムを情報資産と位置付け、これらを安全に取り扱うために情報セキュリティに取り組んでいます。
詳細は、情報セキュリティ基本方針と取得認証資格一覧をご覧ください。
2.情報セキュリティ推進体制について
社長執行役員およびグループ情報セキュリティ担当役員はCISO(Chief Information Security Officer)を任命し、グループ全体のセキュリティ管理の情報ハブとなる体制としています。当社グループはセグメント毎に異なるビジネス形態を展開しており、対応すべきセキュリティリスクも異なることから、 グループ各社毎に必要なセキュリティ対策を実施し外部認証も取得していますが、CISOもレビューを実施することで多面的な安全体制の確認をしています。また、万が一、当社グループにて重大なセキュリティ事故が発生した場合は、CISOを中心に当社経営陣と迅速に連携し、適切な対処ができる体制を構築しています。 昨今のサイバー攻撃の高度化·巧妙化に備え、サイバー攻撃対応チームとしてDG-CSIRT※をCISO配下に組成し、監視に加えて重大インシデント発生時の早期検知·迅速対応により事業への影響の最小化をはかります。日常の業務遂行における情報セキュリティの推進については 、情報セキュリティの認証規格であるISMS(ISO/IEC 27001、JIS Q 27001)のフレームワークに基づき、各組織から情報セキュリティ推進委員を選出して構成する情報セキュリティ推進委員会を中心に活動し、情報セキュリティの脅威トレンドも踏まえた啓蒙活動も実施することで、常に変化する脅威環境においても情報セキュリティを維持することを可能としています。 さらに、2022年4月より、情報セキュリティの専門組織として情報セキュリティ室(現、セキュリティ統括室)を設置し、当社グループ全体の情報セキュリティに関する課題への対応について、企画·実行していく体制を整えています。
※DG- CSIRT(Digital Garage ‒ Computer Security Incident Response Team ):当社グループのサイバーセキュリティインシデントに対処するための専門チーム。
3.個人情報管理について
個人情報管理については、当社グループ各社にてプライバシーマーク(JIS Q 15001)の認証を取得しており、個人情報を安全に管理する体制を実現しています。当社グループ各社の個人情報保護方針についてはホームページ上に掲載をしており、個人情報の利用目的、個人情報の第三者提供、個人情報取扱いの委託、個人情報についての苦情・相談、各種安全管理措置などについて、対応方針を公表しています。
4.社員への啓発について
情報セキュリティに関して、ISMS(ISO27001)の運用に基づき当社グループ全体を対象とした社員研修を随時実施しています。
システムセキュリティ
1.社内IT環境について
業務に利用するIT環境においては、昨今のサイバー攻撃トレンドを鑑みて、マルウェアやランサムウェアなどに対する対策も強化しています。AIエンジンを搭載したエンドポイントのセキュリティ対策製品を導入し、未知のマルウェアを検知して対処できるセキュリティ・オペレーション・センターの整備を進めています。また、万が一ランサムウェアに感染した場合に備えて、重要情報を管理するストレージについては、複数世代のバックアップを定期的に取得しており、企業運営に必要な情報の消滅を避けるための対策を実施しています。
2.決済システムについて
当社グループの決済事業は、国の指定する重要インフラ指定企業とされており、無停止のシステム稼働 (メンテナンスによる停止を除く)を目指し、地理的に離れた複数のデータセンター間におけるリアルタイムレプリケーション構成の冗長化データベース構成の採用や、オペレーション業務の拠点分散と体制拡充によるディザスターリカバリー体制やBCP対策の徹底を行っています。本対応はサステナビリティの観点のみならず、高度なセキュリティ環境・管理体制を構築し、EC加盟店がクレジットカード情報を保持せずに決済サービスを利用できる安心・安全な仕組みを提供し続けるリスクマネジメントも含まれています。 情報管理においては、クレジットカード業界のセキュリティ基準であるPCIDSSに準拠しています。クレジットカード情報の取り扱い業務に際しては、専用のオペレーションルームを用意し、厳重なセキュリティ管理を実施しています。また、全ての役職員等に対して情報セキュリティの重要性を認識させ、継続的に情報セキュリティ体制が維持できるよう、職務に応じて必要な情報セキュリティ教育を定期的に実施しています。
3.暗号資産関連システム について
日本暗号資産通貨取引業協会にて作成した暗号資産安全管理チェックリストに基づき、暗号資産の管理のための安全措置の実施・運用を実施しています。また、暗号資産を取り扱うシステムにおけるリスク管理については、暗号資産を取り扱う子会社ホームページにおいてシステムリスク管理方針を公開しており、当方針に沿って業務遂行を行っています。 暗号資産交換業として行う暗号資産管理においては、全てコールドウォレットで管理を行っています。 暗号資産管理に関するシステムにかかるその他の安全管理態勢については、暗号資産管理に関するセキュリティ基準に準拠し、また、暗号資産管理システムのリスク評価を行った上で社内オペレーション構築しています。
当社および当社子会社における取得認証資格一覧
当社および一部の当社グループ会社を対象範囲として、情報セキュリティマネジメントシステムに関する国際規格であるISO/IEC 27001:2002(JIS Q 27001:2023) の適合認証を取得しています。
日本産業規格「JIS Q15001 個人情報保護マネジメントシステム‐ 要求事項」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づき、個人情報の適切な保護措置を講ずる体制を整備している事業者として認定され、プライバシーマークを取得しています。
決済事業を行う株式会社DGフィナンシャルテクノロジー(DGFT)は決済サービスをお客さま、加盟店さまに安心・安全にご利用いただくため、国際クレジットカードブランド5社が策定した重要なセキュリティ規格であるPCIDSSの最新バージョンであるVer4.0に完全準拠しています。