Navigation SearchNavigation ContactNavigation Products

他社とは異なるフォーカス:セキュリティと整合性

創業以来、DDIはデータの整合性を最も重視しています。 DDIは、同業者、顧客、サプライヤーから提供された個人データを適切に使用および管理することを目指し、信頼と信用を培うことを事業運営方針としています。 全世界におけるDDIのすべての社員は、顧客データの保護に役立つ、データ・セキュリティのベストプラクティスに関するトレーニングを受けています。

セキュリティにかかわる弊社の使命

  • データの使用方法と管理方法に関して透明性を維持する。
  • 潜在的なリスクを最小限に抑えながら、お客様がデータから最大限のメリットを得られるように支援する。
  • 弊社のデータポリシーと遵守方法においてグローバルなベストプラクティスを活用する。
  • お客様に最高レベルのデータ保護と機密性を提供する。

データ・セキュリティに対する弊社のアプローチ

DDIは、ユーザー・データ(候補者、参加者、学習者、管理者、顧客の情報)の保護における情報セキュリティ、および不正アクセス、改変または破壊の防止に多層的なアプローチを採用しています。 弊社のポリシーとプロセスは次の目的で設計されています。

  • データを保護し、悪用を防止するメカニズムを定義する
  • 安全なデータ管理と潜在的なセキュリティの脅威を認識する重要性について、DDI社員を教育する
  • このポリシーおよび関連システムについての外部照会用のコミュニケーション・チャネルを提供する

セキュリティ・ガバナンス

データの整合性を保証するため、DDIではデータ・セキュリティ・オフィスやグローバル・スタンダードを定期的に監視するデータ保護担当者を含め、データ保護専用のリソース、ポリシー、プロセスを整備しています。

DDIのデータ保護担当者(DPO)は、グローバルに一貫性を持たせながら、企業のセキュリティと遵守プログラムに関するビジョンと戦略を設定し、適用します。またリスクが適切に管理され、目標が達成されることを確認します。

セキュリティ・トレーニング

DDIはDDI社員に対し、データ・プライバシー、守秘義務、セキュリティのベストプラクティスについて学ぶための定期的なトレーニングを実施します。 エンドユーザーは、フィッシング攻撃、ソーシャル・エンジニアリング攻撃、悪意のあるリンクやダウンロードを認識して回避するようトレーニングを受けます。

データ処理

DDIは、ビジネスに関連してデータ管理者またはデータ処理者の役割を担います。 マーケティング、販売、またはDDI主導の調査に関連してデータを収集する場合、DDIは「データ管理者」として機能し、その役割内で規定されたデータ・セキュリティに関するすべての責任と要件を遵守します。 顧客が資金を提供するエンゲージメントに関連してデータを収集および処理する場合、顧客がデータ管理者の役割を担うものと見なします。 DDIは、「データ処理者」として機能し、その役割内で規定されたデータ・セキュリティに関するすべての責任と要件を遵守します。

パートナーシップにおけるセキュリティ

顧客データのセキュリティおよび機密保持は、DDIと顧客との共同責任です。 DDIは、顧客がアクセスしてデータを活用できる安全なプラットフォームを提供します。 さらに、DDIはそのエンゲージメントの開始から終了まで、顧客がデータのセキュリティを確保するためのツール、サービス、サポート、リソースを提供します。「DDIのプライバシーに関する声明」をご参照ください。

顧客は、DDIとのエンゲージメントの最中およびその後、データのセキュリティに関して連帯責任を負います。 顧客は、どのようなデータが収集されDDIのシステム内で保持されているかを理解し、データにアクセスする権限を持つユーザーにのみ共有されるようにするための適切なデータ共有ポリシーを定義する必要があります。 データ共有ポリシーは、そのデータの重要性と分類に対応するリスクおよび遵守要件に合致する必要があります。

データ分類

最小権限でのアクセス

データへのアクセス

(分類に関係なく)すべてのデータへのアクセスは、「必要な最小権限」のセキュリティ・モデルによって提供されます。つまり、エンドユーザー、クライアント管理者、およびDDIとクライアントによる各種サポート・チームなど、正当な業務上の必要性があるユーザーにアクセス権限が与えられます。 データの各分類の要件に従い、安全を保証するために対策を追加することもあります。 アクセス権限を与えられるユーザーの例:

エンドユーザー

エンドユーザーとは、オンライン・プロセス(テストまたは評価など)に関与するユーザー、または調査を作成したユーザー、あるいは調査に回答したユーザーです。

クライアント管理者

クライアント管理者は、採用担当マネージャー、社員の能力開発担当者、およびその他の人事担当者など、DDIアプリケーション・システム内のアカウントとワークフロー・プロセスを管理する、システムのエンドユーザーです。 管理者は、クライアントまたは求人応募者の代わりに個人情報を入力し、さまざまな処理段階を進める、クライアントの社員またはDDIの社員の場合があります。

サポート担当者

ユーザーがDDIの製品サポート・チームに技術サポートを依頼する際、そのユーザーはアカウントに一時的にアクセスすることをサポート担当者に許可する場合があります。 サポート・チームは、サポートが必要な問題の解決の一環として、各ユーザーのテスト、評価、または調査を確認しなければならない場合があります。

アプリケーションへのアクセス

アプリケーションは、役割ベースのセキュリティ・モデルを使用してアクセス権を決定します。クライアント・データは、サイト、ドキュメント、ユーザー、およびその他の条件に基づいて論理的に分けられています。 システムの変更は、ベストプラクティスの変更管理プロセスを通じて管理されます。

アカウントへのアクセス

エンドユーザーは、効果的かつ効率的に業務を遂行できるように「最小特権でのアクセス」権限が付与されます。 すべての管理およびアカウント管理は、DDIが厳密に管理します。ユーザー・アカウントでは、強力なパスワードとパスワードで保護されたスクリーン・セーバーを使用する必要があります。 ログオンに何度も失敗した場合、または雇用が終了した場合、アカウントへのアクセスは自動的に無効になります。

データベースへのアクセス

弊社エンジニアリング・チームの選任メンバーには、データベース・レベルでのアクセス権があります。このアクセスは、オフサイトのバックアップの作成とデータ復元の実行に使用されます。この作業はすべて、データの内容を確認することなく実行されます。

データ・センターまたはバックアップへのアクセス

データ・センターへの立ち入りは、登録された一部のDDI社員に制限されます。立ち入ることによって、データへアクセスできるわけではありません。物理メディアは、ロックされたキャビネット内のサーバーに存在しています。オフサイトのバックアップは、安全な部屋の耐火金庫に保管されます。この部屋への入室は制限され、ログに記録されます。

安全な送信

DDIアプリケーションを使用するとき、データは通常、顧客、その社員または社員候補者、DDIという3つの重要な関係者の間を流れます。 エンドユーザーがDDIアプリケーションにアクセスする場合、提供する情報は安全な暗号化された方式(HTTPS)により送信されます。 弊社のアプリケーション・サーバーによって処理されるデータは、弊社のデータベース・サーバーに送信され、保存されます。Web/アプリケーション・サーバーとデータベース・サーバーは、ファイアウォールで保護された、独立した論理ネットワークと物理ネットワーク上に配置されます。

DDIは、安全なHTTPSアプリケーション・データへのアクセスにSSL/TLS 1.2を使用します。すべてのDDIアプリケーションにSSL技術が標準装備されており、すべてのバックアップ・テープは、256ビットAES暗号化を使用して暗号化されます。アプリケーション・データベースに保存されたパスワードに暗号化が使用されます。 ファイルがDDIのノートパソコンから外部ストレージ・デバイスにコピーされる際、(機密性に関係なく)すべてのファイルが暗号化されたまま行われます。

製品開発プロセスおよびコード管理

開発リリース・サイクル

DDIはアジャイル開発モデルを採用しています。 アジャイルはソフトウェア開発の反復アプローチであり、DDIが顧客のニーズに迅速に対応できる敏捷性を提供します。 DDIでは、通常は週に1回予定される新規コード・リリース・サイクルを採用しており、ほぼ毎週新機能とアップグレードをリリースしていることになります。 アジャイル開発モデルでは、既存の機能を強化する、または新機能を追加するための機会が頻繁に得られます。このサイクル以外にも、緊急度に応じて即時(「ホットフィックス」)リリースが可能です。

開発(デジタル)環境

DDIでは、更新されたコードのテストには個別のアプリケーション・インスタンスを使用し、また初期の候補コードとリリース候補ソフトウェアには個別のインスタンスを使用します。このアプローチにより、まだ開発中のコードによってデータが制御されたりデータにアクセスされたりしないように、データを保護します。 すべての開発コードは、「ダミー・データベース」に対して実行されます。

コード・レビュー

プログラマーは、単独またはチームで新しいコードを開発します。 各開発サイクルが終了に近付くと、コードには本番環境とは別のQA環境で相互レビューとテストが行われます。 このテスト期間を設けることで、本番環境に導入される前にほとんどのバグを解決できます。 コードは、NTOSpiderツールを使用して、プログラム的に既知の脆弱性も検査されます。

コード管理

ソフトウェア開発プロセスを管理するためにGitを使用し、Gitはソースコード・リポジトリとして機能します。 Gitツールおよび関連プロセスは、同じモジュール内で複数の開発者が変更を加えた場合に、変更が上書きされないようにします。 開発、QA、実装内のさまざまなレベルにおいて、以下のような変更管理プロセスが存在しています。

インフラストラクチャのセキュリティ

安全なホスティング設備

DDIは、冗長なSSAE18、SOC 2 Type II、ISO/IEC 27001:2013、HIPAA/HITECH、PCI DSS 3.1認定データ・センターで、クライアント向けアプリケーションをホストします。

DDIのサーバー・インフラストラクチャは、専用の8インチx16インチの密閉されたケージ内のエリアに格納されています。 このエリアへのアクセスは、アプリケーション・サーバーやネットワーク・コンポーネントの管理を担当するDDIスタッフに限定されます。データ・センター施設には、セキュリティと物理プラントの保護のため、さまざまなシステムが導入されています。

サーバーは攻撃の対象となる可能性があるため、DDIではサーバーを適切に保護しています。 サーバーのセキュリティを強化するためにDDIが採用しているプロセスには、次のような対策が含まれています。 [セキュリティ上の理由により、弊社のサーバー・セキュリティ管理の詳細をすべて記載することはできません。]

継続性

データ・センター施設のホットシンク並列/冗長システムは、無停電電源装置(UPS)と補助発電機による冗長電源を提供します。 冗長なインターネット・アクセスを確保するために複数の電気通信企業のネットワークに接続しており、接続は負荷分散され、複数のISPによって提供されています。

災害復旧

DDIは、大規模なシステム障害時に業務サービスを復元するための詳細な災害復旧プランを管理しています。このプランは、システム・インフラストラクチャまたは本番のWebファーム設定に何らかの変更が加えられると更新されます。

ネットワークのセキュリティ

弊社のネットワーク・インフラストラクチャは、負荷分散および加速機能を提供するデバイスのデュアルHAペアで構成され、(SSLレベルに応じて)TCPポート80または443経由でWebサイトの外部IPアドレスに着信する要求を待機します。 DDIはホストベースとネットワークベース両方の検出システムを採用し、24時間365日監視、応答しています。

マルウェア/ウイルス対策

弊社の監視環境は、24時間365日待機している担当スタッフにアラートが自動的に送信されるように設定されています。 PC、サーバー、ゲートウェイ・システムなど、すべての該当するシステムは、Microsoftのエンドポイント保護ウイルス対策、および一元的に管理・更新される「ゼロデイ・プロテクション」ソフトウェアによって保護されています。

データの保持および処分

DDIでは、個人データを保護および管理するための包括的な保持ポリシーを採用しています。 ベストプラクティスの基準として、DDIは個人データを、契約上または法的な義務を果たすために必要な期間を超えて保持しません。 弊社のポリシーでは、(1)5年を超えなくても、保持期間が経過した後は、個人データを削除/破棄または匿名化する必要があり、(2)個人が特定できない形式のデータは、業務および調査目的で無期限に保持することができます。

2018年5月25日に先立ち、すべてのアプリケーションおよびクライアント・データを保持し、データの喪失または致命的な問題が発生した場合には復元できるように、毎晩データの増分バックアップを行います。 この日以降、毎晩行われるバックアップは30日間のみ保持されます。

バックアップ・スケジュールおよびデータ保持

セキュリティ問題への対応

DDIでは、侵入検知、スキャン、効果的で適切とみなされるその他の方法を含む、包括的なセキュリティ問題の検知と対応計画を強化します。コンピューター関連の問題が最も一般的ですが、コンピューター関連以外の問題も問題ホットラインを介して報告するか、またはDDIのDPOまたは顧問弁護に連絡して報告できます。 DDIは、セキュリティ違反を発見してから72時間以内に、実際のセキュリティ問題またはその疑いについて、影響を受ける、または影響を受ける可能性のあるクライアントと関係当局に報告します。 問題が改善され、適切な通知がなされた後、DDIでは再発を防止するため、引き続きプライバシー管理を強化するための措置を講じます。

遵守

認証

SSAE-18: DDIは、公平で良好な年次SAS 70 Type II監査結果を得たデータ・センターにのみデータを保存します。SAS 70は、保証業務基準書(SSAE: Statement on Standards for Attestation Engagements)18に移行し、弊社のデータ・センターはこの基準の認証を得ています。

ISO 27001: DDIは、国際標準化機構(ISO)によって作成され、広く採用されているこのグローバル・セキュリティ基準を遵守し、定期的な評価と年次認証により遵守を実証したデータ・センターのみを使用しています。

SOC 1/SOC 2 – DDIは、SOC 1認証もSOC 2認証も受けていませんが、 DDIのデータ・ホスティング・プロバイダーは、最新のSOC 2認証を保持しています。

機密情報

採用時に、すべてのDDI社員は、機密情報を取り扱ううえでの懸念事項とリスクに関する機密保持契約に署名するように求められます。 このポリシーへの違反が明らかになった社員は、即時解雇または該当する法的措置の対象となります。

身元調査

DDIは通常、選考過程の内定段階で、第三者機関を利用して応募者の身元調査を実施します。この機関によって収集される情報の種類には、職歴、学歴、性格、財政状態、評判などが含まれる場合がありますが、これに限定されません。すべての身元調査は、該当する連邦および州の法律に従って行われます。

SSN検証

米国に拠点を置くすべての社員は、証明された適法な米国労働者であり、社会保障番号または就労許可が確認されています。

EUデータ保護規則

DDIは、米国に本社を置いて世界中の顧客にサービスを提供しており、EUから米国へのデータ転送では、プライバシー・シールド(セーフ・ハーバーから移行)、EUモデル契約条項およびエンドユーザーの同意を含む、EUデータ保護規則で求められる法的保護が得られるメカニズムを採用しています。 プライバシー・シールド・プログラムにおけるDDIの認証は、プライバシー・シールドのサイト(https://www.privacyshield.gov/)で確認できます。

EUモデル条項

EUモデル条項は、DDIなどのサービス・プロバイダーとその顧客との間における標準契約の付録であり、EEAから送信されるあらゆる個人データがEUのデータ保護法に従って転送され、EUデータ保護指令95/46/ECの要件を満たすように構成されています。

一般データ保護規則

2018年5月25日、一般データ保護規則(GDPR)というプライバシーに関する新しい要件が有効になります。 GDPRにより、EU居住者のプライバシー権が拡張され、EUの個人データを保存および処理するDDIなどのサービス・プロバイダーに新たな義務が課されます。 DDIでは、弊社内および顧客に対するプライバシーと、データ保護のベストプラクティスへの取り組みを強化するための機会として、GDPRを捉えています。

他の法的要件と同様、GDPRを遵守するには、DDIおよび関連するデータ取り扱い業者と顧客との間で協力関係が必要となります。DDIは、顧客へのサービス提供においてGDPRを遵守し、また、顧客の遵守支援にも取り組んでいます。DDIは、GDPRの要件を詳しく分析し、DDIと弊社の顧客のGDPR遵守を支援するために、弊社の製品、契約、文書の改善を進めています。

サードパーティ・プロバイダー

DDIでは、契約書に記載されている通り、弊社サービスを提供するためにサードパーティ・プロバイダーを利用します。 弊社では、データ処理のパラメーターや要件との整合性を継続的に保証するため、厳しい申請、審査、監査プロセスを導入しています。 すべてのサードパーティ・プロバイダーは、DDIのデータ処理、保護、セキュリティ基準を遵守することを求められます。

弊社の関連データ取り扱い業者のリストは、https://www.ddiworld.com/thirdpartyprovidersを参照してください。

お問い合わせ: GISP
必須入力項目
 
 
 
 
 
 
 
 
Consent to DDI Marketing 

DDIが調査を目的として私の個人データを収集および加工することに同意します。  DDIは、このデータを完全に匿名化および統合した形で、社内および社外向けの調査レポートの基礎として活用することがあります。  私は自分の権利を理解しており、またDDIのデータに関するプライバシー・ポリシーで参照されている通り、私のデータがどのように使用されるか理解しました。 この同意を随時取り消す権利を有していることを認識しています。

この画像の数字を入力ください
 Security code