exlink

「EXLINKカンタン認証：特許6860864」

督促・移転先確認・受診結果通知・給与明細通知・契約内容通知・個人情報変更等での利用

認証機能が付いたSaaS型SMSサービスの提供を2022年8月1日より開始いたします。「EXLINKカンタン認証（特許取得済み）」は、SMSを受信したユーザがサイトにアクセスした際、最初に表示される頁に本人のみが知る会員ナンバーやパスワード、その他の個人属性情報を確認／入力することにより本人確認を簡単かつ確実に行い、ユーザ毎に異なる頁を自動作成して携帯に表示し、回答を受付ける複雑なユーザ操作不要のワンステップ認証システムです。

サービス開始に至る背景

インターネットの普及やモバイル技術の向上により、生活やビジネスが便利になった反面、セキュリティ問題が大きく取り上げられるようになりました。現在では、様々な場面でセキュリティ強化が謳われ、その一つの方法としてSMSや電話応答システムを使った２段階認証が多く利用されています。但し、これらの方法には携帯電話は基本的にその本人が所有しているという「曖昧な善意の解釈」に基づいている問題点があります。

別人の所有する携帯電話を使うと簡単にセキュリティを突破されてしまい、次のような問題が発生します。

１．当人が電話番号を変更もしくは解約した場合、一定期間経過後、その電話番号は他の方へ割り当てられます。情報入力をして欲しい人へメッセージを送信したつもりが、全く別の人へ送られてしまうことになります。支払督促等でSMSを送る場合、常時連絡を取っていない電話番号にSMSを送るときには、利用者が他人に移っている恐れもあり大きなトラブルが発生しますので、発信前に高額な電話番号クリーニングサービス（100％の精度は保証されていない）を利用する必要性がありました。

２．SIMカードが盗まれた場合、そのワンタイムパスワードはその盗んだ人に送信されてしまいます。SIMカードを盗もうとする人は、スマートフォンを所有している人のユーザ名などを知っている可能性もあり、口座などにアクセスできる可能性が高くなります。

ワンステップ認証「EXLINKカンタン認証」によるメリット

メッセージを受信した個人がサイトにアクセスする際、会員番号・誕生日・パスワード、その他の個人属性情報により認証を最初に行うことにより、「なりすまし」を抑止し本人確認が安価且つ確実にできるシステムです。サイトへの誘導と本人の認証を一体化することにより、これらの問題点を速やかに解決します。

督促・移転先確認・受診結果通知・給与明細通知・契約内容通知・個人情報変更・入院（隔離措置）の本人意思確認等で利用ができます。

当社は、『EXLINK-SMS』『EXLINK-CALL』『安否確認システム』等のSMS送信サービスおよびIVR等のSMS関連サービスを国内外のお客様に提供する通信・SMS送信サービス企業であり、電気通信事業者として総務省の認可を受け事業を展開しております。

当社がお客様に提供する環境（クラウド上でのSMSを含む各種サービス）に保管されているお客様情報やお客様がサービス利用にあたり登録する送信先情報（お客様が保有する従業員情報や顧客情報等）等の安全な管理と、適切な運用がSMSサービス提供事業者として最も必要であると判断し、お客様からの一層の信頼向上のため、プライバシー情報マネジメントシステム（ISMS-PIMS）を構築し、ISO/IEC 27701に基づく認証「ISMS-PIMS認証」を2021年6月23日に取得いたしましたことを、お知らせいたします。

電気通信事業者を含むSMSサービス提供事業者として国内初の
ISO/IEC 27701認証取得企業となります。

当社は、PII処理者としてお客様がアップロードする個人情報（PII）やプライバシーに関する情報をISO/IEC 27701に基づき、適切な保護や運用を実施しております。また、PII管理者として当社従業員の個人情報を適切に管理しております。

今後は、これまでに取得したISO/IEC 27001（情報セキュリティマネジメントシステム認証：ISMS）、ISO/IEC 27017（ISMSクラウドセキュリティ認証）にISO/IEC 27701を加え、３つの情報セキュリティ認証の運用・維持を行う事により、安全性・安定性がより高く特許戦略を含めた付加価値の高い独創的なSMSサービスの提供を目指して参ります。

【ISO/IEC 27701規格について】

ISO/IEC 27701規格（ISMS-PIMS認証）は、個人情報やプライバシー情報の管理および処理を行う事業者に対して適用されるプライバシー情報マネジメントシステムの認証規格です。ISO/IEC 27701の取得にあたってはISO/IEC 27001の取得が前提となるため、ISO/IEC 27001のアドオン（拡張）規格となります。

審査においては、ISO/IEC 27001の認証への適合、運用＋ISO/IEC 27701の認証への適合、運用の両方が求められます。
（ISO/IEC 27001の管理策：114＋ISO/IEC 27701の管理策：最大49）
ISO/IEC 27701規格の管理体制の構築にあたっては、PII処理者・PII管理者それぞれ（もしくは選択した一方）の側面で責任や管理体制を明確化し運用する必要があります。ISO/IEC 27701規格はプライバシー情報の管理における国際的に認められた規格であり、ISO/IEC 27001をプライバシー情報保護の分野に拡張・強化した規格となります。

※プライバシーマークとの違いについて
プライバシーマーク（Ｐマーク）はJIS規格（JIS Q 15001）に定められた個人情報保護のマネジメントシステムであり、日本のJIS規格や個人情報保護法（個人情報の保護に関する法律）に基づいた認証で、日本国内で有効となります。ISO/IEC 27701は国際取引や外資系企業等で求められる、各国のプライバシー保護規定を考慮したルール（要求事項やガイドライン等）への対応が課題となっています。

当社は、SMSサービス企業としてSMSサービスおよびIVRサービスを国内外のお客様に提供しており、ご利用頂いているSMSサービスの送信数が急伸している中、サービス提供事業者としての責任ある情報セキュリティマネジメントの必要性が求められていました。

金融会社を含む国内外の多くのお客様からのご要望に応えるべく、2021年３月29日にISO/IEC 27017:2015に基づいたISMSクラウドセキュリティ認証を取得いたしましたので、お知らせいたします。

今後は、より高度なセキュリティ体制を提供すべく、クラウドサービス利用者（Cloud Service Customer, CSC）およびクラウドサービス事業者（Cloud Service Provider, CSP）としての双方の立場から責任を認識し、これまで以上にご満足を頂けるよう更に安全性の高いSMSサービスの提供をISO/IEC 27017:2015に則った情報セキュリティ運用管理体制で提供して参ります。

ISO27017規格について

ISO27017規格は、クラウドサービスの利用および提供を行う事業者に対して適用されるクラウドセキュリティの認証規格です。ISO27017の取得にあたってはISO27001の取得が前提となるため、ISO27001のアドオン（拡張）規格となります。審査においては、ISO27001の認証への適合、運用＋ISO27017の認証への適合、運用の両方が求められます。
（ISO27001の管理策：114＋ISO27017の管理策：最大79）
ISO27001は現時点での最新のクラウドセキュリティにおける国際的に認められた規格であり、ISO27001をクラウドサービス分野に拡張・強化した規格となります。