LMS選定前に
確認すべきセキュリティ基準
LMSに従業員の個人情報を委託する前に、この4項目をご確認ください。
韓国の情報保護・個人情報保護統合認証
情報セキュリティマネジメント認証
大手保険会社・銀行で取得
セキュリティチェックリスト
-
ベンダーがISMS-Pまたは同等のセキュリティ認証を保有していますか。ISMS-PはKISAが運営する韓国の情報保護・個人情報保護統合認証で、3分野101項目の基準と年次事後審査が必要です。金融機関・公共機関のベンダー選定では事実上の必須要件です。
タッチクラスはISMS-PとISO 27001を同時保有 -
個人情報は保存時AES-256、転送時TLS 1.2以上で暗号化されていますか。RBACが実装されていますか。管理者・運用者・学習者のロール分離がない場合、社員データが過剰権限で露出するリスクがあります。
-
SLA水準はどの程度ですか。CSIRTによるインシデント対応体制はありますか。DR(災害復旧)構成は整備されていますか。法定研修の期限中にサービスが停止すると、委託元に法的責任が及ぶ可能性があります。契約段階でSLAと障害対応フローを確認してください。
-
ベンダー監査を通過していますか。AWSなどCSPのセキュリティ認証(SOC、ISO等)を活用していますか。金融機関や大企業は独自の内部基準で委託先を審査しており、監査通過実績はセキュリティ運用能力の第三者検証として機能します。
大手保険会社・銀行ベンダー監査:99.1点
年次事後審査合格
情報セキュリティ管理
金融・公共機関のベンダー選定では、
まずISMS-P認証の有無を確認してください。
Multi-AZ冗長構成 · 24/7監視
LMSベンダーのセキュリティを検証する方法
以下の5項目は、どのベンダーにも同じ条件で確認できる中立的な基準です。タッチクラスは各項目に公開可能な根拠とともに回答します。
| 確認項目 | ベンダーに請求するもの | タッチクラスの公開根拠 |
|---|---|---|
| 情報セキュリティ認証 | 認証書の原本、認証範囲、有効期限 | ISMS-P および ISO/IEC 27001:2022 認証保有 |
| データ保管地域 | リージョン、冗長構成、バックアップ頻度 | AWS ソウルリージョン |
| 暗号化 | 保存時・転送時の暗号化方式 | 保存時 AES-256、転送時 TLS |
| 金融業界の実績 | 同規模のベンダー審査の通過実績、障害履歴 | 金融機関17社・累計利用者約135,800名・5年間無停止運用 |
| AI学習データ | 顧客データがモデル学習に使われるかを契約書で確認 | 顧客企業の知識資産をAIモデルの学習データとして使用しません |
※ これはベンダー中立のチェックリストです。他社の認証保有状況は調査されていないため、タッチクラスは他社に対する評価・優劣・順位を提示しません。各ベンダーの認証状況はKISA認証リストと当該ベンダーが提示する認証書の原本でご確認ください。(出典: touchclass.com/ja/security)















