情報セキュリティへの取り組み

IIJは、情報資産を適切に取り扱うための行動規範として、情報セキュリティ基本方針を策定しています。役職員（契約社員・派遣社員含む。）は、入社時の情報セキュリティに係る教育を通じて、基本方針及び関連規程への理解を深めています。

IIJは、情報セキュリティ責任者(CISO)を配置するとともに、情報セキュリティ委員会を設置しています。これら体制により、情報セキュリティに係る運営状況を正確に把握し、必要な施策を遅滞なく実施しています。役職員の情報セキュリティに係る基本方針及び関連規程への遵守状況を確認するため、内部監査（年1回）・外部監査（ISMS：年1回）を実施しています。

個人情報保護への取り組み

IIJは、個人情報の重要性を鑑み、個人情報保護方針を策定しています。役職員（契約社員・派遣社員含む。）は、入社時の個人情報に係る教育を通じて、方針及び関連規程への理解を深めています。

個人情報の取り扱い部門には個人情報の管理責任者を配置し、適切な個人情報の取得・利用・管理等を実施しており、個人情報の照会、修正及び削除等の希望については、すみやかに対応しています。役職員の個人情報保護に係る基本方針及び関連規程への遵守状況を確認するため、内部監査（年1）・外部監査（プライバシーマーク：年1回）を実施しています。

拘束的企業準則（Binding Corporate Rules：BCR）（※1）の承認取得

IIJは、EUの個人データ保護法「一般データ保護規則（GDPR）」（※2）に則ってIIJグループの個人データ保護方針を文書化したBCRに関し、ドイツのプライバシー保護監督機関より承認を取得しました。BCRの承認取得により、IIJグループが提供する全サービスは欧州と同等のプライバシー保護レベルにあると見なされ、IIJグループ内においてEUの個人データを国境をまたいで、適法に流通させることができます。

（※1）EUの個人データ保護法「一般データ保護規則（GDPR）」に則り、欧州経済領域（EEA）より取得された個人データを保護するための方針と、その個人データをEEA域外のグループ会社に共有する場合のルールを定めるもの
（※2） EEAにおける個人データの「処理」と「移転」について遵守すべき義務を規定する法律

データガバナンスへの取り組み

IIJは、データガバナンスの強化を目的に副社長を議長とするデータガバナンス会議を開催しております。データガバナンス会議では、データガバナンスに関連する内部統制システム及びサービス事業の主管部門より報告を徴収し、そのリスク評価を多面的かつ包括的に行い、それぞれの部門等に対して助言を与えるとともに、社⻑に対して勧告を出すことを役割としています。