1. Home
  2. サステナビリティ
  3. コンプライアンス・リスクマネジメント
  4. 情報セキュリティ管理

情報セキュリティ管理

1. 情報セキュリティに関する方針

資生堂グループでは全事業所が保有する重要な情報資産を守り、堅牢な情報セキュリティを確立して維持することを目的に、資生堂グループで働くすべての人を対象とした「資生堂グループ 情報セキュリティポリシー」を定め、資生堂グループ全体で一貫した基本方針のもと各種情報資産の管理・運用に努めています。

2. 情報セキュリティの管理体制

(1)組織体制

資生堂グループでは、最高情報セキュリティ責任者(Chief Information Security Officer、以下「CISO」)を設置し、情報セキュリティ管理体制を整備しています。CISOは情報資産と情報システムの取り扱いに関する包括的な責任を負い、情報セキュリティ戦略の立案・施策において経営層とのコミュニケーションを図りながら推進しています。なお、資生堂グループでは、最高財務責任者(CFO:Chief Financial Officer)が情報セキュリティに関する最終的な責任を負っています。
また、CISOは資生堂グループ各社において機密情報管理・情報システム管理・情報セキュリティ対策に関する規程類の整備および運用の徹底、安全対策の実施、教育訓練等の実践について監督を行います。
事業所・部門・関係会社のトップは、情報管理責任者として任命され、それぞれの部署における情報セキュリティに関する各施策の実行責任を負っています。また、海外の地域本社には情報セキュリティの窓口担当者を配置し、CISOおよび本社情報セキュリティ部門との定期的なコミュニケーションにより、資生堂グループ全体の情報セキュリティの取り組みの継続的な維持・向上に努めています。

資生堂の情報セキュリティマネジメント

資生堂の情報セキュリティマネジメント

(2)ポリシー・ルールの整備

情報セキュリティ関連規程を整備

情報セキュリティ関連規程を整備

3. 情報セキュリティ向上への具体的な取り組み

(1)従業員への教育・啓発

資生堂グループでは、従業員に対して、eラーニングやグループセッションによる研修を定期的に行い、情報セキュリティ意識と知見の向上を図っています。新入社員や中途採用社員への研修も入社時の教育の一環として実施し、早期に情報セキュリティの重要性を理解させることに努めています。
また、情報セキュリティに関する最新情報を、社内ポータルサイトの掲示板により周知するなど、情報のアップデートを適宜行っています。

(2)バイデザインの推進

資生堂グループでは、新規ビジネスやサービスにおいて、必要な個人情報保護対策が企画・設計段階から講じられるよう、情報セキュリティ部門やリーガル・ガバナンス部門が当初から関与する社内体制やプロセスを整備しています。

(3)モニタリング活動

資生堂グループでは、情報資産の適正な運用、および情報システム開発運用管理における適正な情報セキュリティ対策を確認するため、リスクに応じて情報システムおよび関連する業務プロセスに対する評価を実施し、そこで検出された是正事項の改善の監督を行っています。
また、情報システムにおける脆弱性を診断するため、定期的に情報システム基盤、およびアプリケーションに対する脆弱性診断を実施し、検出された脆弱性に対する指摘・改善指示を行っています。加えて、外部インテリジェンスを活用した情報セキュリティモニタリングを常時行っています。
重要な処理を委託している取引先に対しては、契約締結後も、定期的に情報セキュリティ管理体制や実施状況を確認しています。

(4)情報セキュリティに関わる事故・緊急対応

資生堂グループでは、情報セキュリティ部門を情報セキュリティに関わる事故対応窓口として、事故の影響度に応じてリスクマネジメント部門や情報システム部門等と連携を図りながら、事故への対応を実施しています。
情報セキュリティ部門では定期的に事故対応訓練(年2回以上:日本シーサート協議会主催の訓練、フォレンジックサービス事業者による訓練等)を実施し、そこで認識された改善点を事故対応マニュアルに反映し、事故対応能力の向上に努めています。
また、日本シーサート協議会に資生堂シーサート(Shiseido CSIRT)として加盟登録し、情報セキュリティ機関や他社の情報セキュリティ部門とも情報連携しています。

情報セキュリティに関わる事故・緊急対応

(5)第三者評価

資生堂グループでは、情報セキュリティの適正な施策・体制推進の確認をするため、外部のセキュリティ専門家によるセキュリティ評価を行っています。そこで検出された改善・強化事項は、情報セキュリティ戦略・施策の立案へ反映させています。