ページの先頭です
IIJは、情報資産を適切に取り扱うための行動規範として、情報セキュリティ基本方針を策定しています。役職員(契約社員・派遣社員含む。)は、入社時の情報セキュリティに係る教育を通じて、基本方針及び関連規程への理解を深めています。
IIJは、情報セキュリティ責任者(CISO)、CRO、CPOを配置するとともに、情報セキュリティ委員会を設置、また情報セキュリティの統制部門を中心とした検知・分析・封じ込め・復旧・報告までのセキュリティインシデント対応体制を構築しています。これら体制により、情報セキュリティに係る運営状況を正確に把握し、必要な施策を遅滞なく実施しています。役職員の情報セキュリティに係る基本方針及び関連規程への遵守状況を確認するため、内部監査(年1回)・外部監査(ISMS(※1):年1回)を実施しています。
なお、2025年4月に公表した法人向けメールセキュリティサービスにおける情報漏えいをうけ、当該サービス設備において再発防止に向けたセキュリティ対策及び監視体制の強化に取り組んでおります。また、サービス全体における再発防止を目的に社長直轄プロジェクトを発足しました。今後、本プロジェクトを中心に、IIJサービス全体のセキュリティレベルの高度化に取り組んでまいります。
IIJは、個人情報の重要性を鑑み、個人情報保護方針を策定しています。役職員(契約社員・派遣社員含む。)は、入社時の個人情報に係る教育を通じて、方針及び関連規程への理解を深めています。
個人情報の取り扱い部門には個人情報の管理責任者を配置し、適切な個人情報の取得・利用・管理等を実施しており、個人情報の照会、修正及び削除等の希望については、すみやかに対応しています。役職員の個人情報保護に係る基本方針及び関連規程への遵守状況を確認するため、内部監査(年1)・外部監査(プライバシーマーク(※1):2年に1回)を実施しています。
IIJは、EUの個人データ保護法「一般データ保護規則(GDPR)」(※2)に則ってIIJグループの個人データ保護方針を文書化したBCRに関し、ドイツのプライバシー保護監督機関より承認を取得しました。BCRの承認取得により、IIJグループが提供する全サービスは欧州と同等のプライバシー保護レベルにあると見なされ、IIJグループ内においてEUの個人データを国境をまたいで、適法に流通させることができます。
このほか、IIJはAPEC CBPR(越境プライバシールール)認証(※3)を取得しています。CBPR認証の取得により、IIJは適切な個人情報保護が行われている組織であると見なされ、クラウドサービスはじめIIJサービスを利用するお客様は、APEC域内(CBPR参加国:米国、カナダ、メキシコ、韓国、台湾、シンガポール、フィリピン、オーストラリア、日本)で、個人データの移転を法的に安全なかたちでスムーズに行えることになります。
IIJは、データガバナンスの強化を目的に副社長を議長とするデータガバナンス会議を開催しております。データガバナンス会議では、データガバナンスに関連する内部統制システムの運用状況等についてサービス事業の主管部門より報告を徴収し、そのリスク評価を多面的かつ包括的に行い、それぞれの部門等に対して助言を与えるとともに、社⻑に対して勧告を出すことを役割としています。
ページの終わりです