サイバーセキュリティとデータプライバシー

  • サイバーセキュリティ

  • データプライバシー

サイバーセキュリティとは、コンピュータ、サービス、モバイルデバイス、電子システム、ネットワーク、データを悪意のある攻撃から守る行為です。サイバー犯罪は決して新しいものではありません。接続性の向上、リモート作業、テクノロジーへの依存、自動化により、攻撃のリスクは高まっています。さらに、パンデミックにより働き方が急速に変化していることで、サイバー犯罪にとっての好機はさらに拡大しています。 

RWSは、変化するリスクに対応するため、サイバーセキュリティ対策を常に進化させる必要性を十分認識しています。 

RWSの戦略的なセキュリティ体制は、セキュリティのエグゼクティブスポンサーであるCTOが議長を務める情報セキュリティ運営委員会(ISSC)によって定められています。この団体には、全部門と特定の事業部門の関係者が関わっており、情報セキュリティ管理システム(ISMS)の継続的な強化に協力してあたっています。また、ISMSは、統合プログラムの推進や意識向上を支援し、情報セキュリティに対する一貫したリスクベースのアプローチをサポートしています。さらにISSCは、情報セキュリティリスクの監視と管理も行っています。 

RWSは、NISTサイバーセキュリティフレームワークを採用することで、一般に理解されている構造を情報セキュリティ管理システム(ISMS)に適用し、総力を結集しています。これにより、ホスト型の製品ソリューション、規制産業部門、IPサービス部門とそのサポートサービス、人材、プロセス、テクノロジーに対して、世界的に認められたISO27001:2013認証を取得することができました。RWSは、Cloud Operations部門とLanguage Services部門でSOC2認定も取得しています。ISMSは、部門固有の情報セキュリティに関するコンプライアンス要件がビジネスに関連することが判明した場合、さまざまな要件を満たすために迅速に管理を強化するための堅牢なベースラインとなります。RWSは認定されたISMSの範囲を改善し拡大するために継続的に取り組んでおり、それによって、当社とお客様の双方にメリットをもたらす、国際的に認められた情報セキュリティ管理の導入と外部検証を確実に行うことができます。

セキュリティリスクは常に存在するとの認識に立てば、継続的な統合への取り組みにおいて重要なのは、情報セキュリティに関する一連のポリシーを導入することです。情報セキュリティポリシーにより、詳細なセキュリティガイダンスがRWSの全部門に提供されます。その対象領域は、リスク管理、物理的セキュリティ、プライバシー、インシデント管理など、多岐にわたります。ポリシーにより、リスク管理に対して一貫したアプローチを取りながら、ビジネスの目標と目的をサポートするためのRWSのアプローチを設定することができます。 

承認されたポリシーとプロセスに従ってセキュリティリスクを分析することで、脅威を特定し、脅威が発生する可能性を考慮し、ビジネス目標への潜在的な影響を評価できます。この構造化されたアプローチにより、意思決定者が情報を獲得し、緩和が適切かどうか、適切な場合はどのような形式で行うべきかを判断できるようになります。選択肢としてはたとえば、活動を停止する、技術的な制御を実施したりプロセスを更新したりして、リスクを許容可能なレベルまで軽減する、などです。適切な緩和措置や制御の選択は、セキュリティチームからの助言やガイダンスの情報に基づいて行われるものの、選択の責任の所在は資産/リスク所有者にあります。資産の所有者がそのリスクに十分に対処できない場合、管理系統の次のレベルにエスカレーションできます。セキュリティリスクは、当社のCFOが責任を有するリスク管理プロセスを通じて捕捉、管理され、毎年取締役会と共有されます。 

RWSではセキュリティ体制において「詳細な防御」を採用し、セキュリティ制御の定期的なテストが重要であることを理解しています。そのため、社内外のインフラストラクチャの脆弱性スキャンを定期的に実施しており、お客様から要請があった場合は、当社の一般向けのインフラストラクチャの各要素が定期的な侵入テストの対象となります。これにより、弱点を特定のうえ、それを分析し、適用すべき最適な緩和策を決定することができます。 

英国のサイバーセキュリティ侵害調査によると、過去12か月間に企業の83%がフィッシング攻撃を報告しており、それが最も一般的なタイプの攻撃となっていることが明らかになりました。RWSに対しても定期的にこうした攻撃があり、当社の技術的な制御によってスパムや悪意のあるメッセージの大部分はブロックできているものの、一部のフィッシングメールがそれをすり抜けることは不可避な状況です。当社としてもこれが最も脆弱な部分となる可能性が高いことを認識しているため、セキュリティ意識を高める体制を維持し、常に強化して、そうした脅威を見つけるために必要な情報を社員に提供することで、ひいてはリスクの軽減につなげています。RWSでは、学習管理システムMyLXを通じて定期的にセキュリティへの意識を高めるためのメッセージを配信するほか、外部プロバイダーを利用したセキュリティトレーニング、知識評価、テストの実施により、追加トレーニングが必要な部分の特定、トレーニングの実施状況と参加状況の管理、有効性のテストを実現しています。

サイバー防御の実装にはコストがかかることは認識していますが、ビジネスを継続するためには回復力の継続的な養成が間違いなく必要です。RWSのセキュリティロードマップでは、絶え間のない改善に対するコスト効率とバランスに優れたアプローチによって適切な保護を提供することで、防御策が、過度になりすぎることなく十分に既知の脅威に対応できるようにしています。たとえば、仮想プライベートネットワークにアクセスするための多要素認証(MFA)の導入は、ほぼ完了しています。さらに、すべてのサイバー攻撃を阻止できるわけではないことも理解しており、外部パートナーと協力して年中無休での検出と対応ができるようにすることで、問題への可能な限り早急な対処とビジネスへの影響の最小化を実現しています。

RWSは、関連する管轄区域のデータ保護法への準拠について万全を期しています。英国に本社があるため、EU一般データ保護規則(GDPR)と2018年英国データ保護法をデータ保護のベンチマークとして採用しています。RWSの包括的なポリシーにはプライバシーに関する適用法が反映されており、プロセス、手順、実務では特に機密ビジネス情報(CBI)や個人を特定できる情報(PII)の保護に配慮しています。 

RWSはプライバシーバイデザインの要件に精通しているため、RWSのソフトウェアの機能は、お客様がデータ保護法に基づいて義務を遵守できるものとなっています。ローカリゼーションサービスを提供する場合や、SaaSを介してRWSソフトウェアのライセンスを付与する場合は、RWSがお客様に代わって個人データを処理します。お客様はデータを収集し、RWSが処理できるようデータを転送します。顧客データはRWSの環境内で翻訳、転送、保存され、処理の完了後に、内部削除ポリシーに従って、またはお客様が指定した方法で削除されます。 

同様に、RWSがウェブコンテンツ管理ソフトウェアにライセンスを付与すると、お客様はデータの収集と保持のパラメータを指定します。RWSは顧客データを、機密保持契約やデータ処理契約によりお客様と合意した手順に従って処理します。 

お客様に代わって、RWSが消費者であるお客様の詳細なプロファイリングを引き受けることはありません。お客様から提供されたデータについて、販売や貸し出しが行われることはありません。サービスの実施に必要な場合は、関係会社と承認された第三者の下請け業者との間でデータが開示されますが、これについては、データ転送を管理するための適切なデータ処理契約が締結されています。2020年度と2021年度には、PIIやCBIを含む機密情報の開示や不正な移動はありませんでした。したがって、この問題の影響を受けているお客様は存在していません。