情報セキュリティ管理

1. 情報セキュリティに関する方針

資生堂グループは全事業所が保有する重要な情報資産を守り、堅牢な情報セキュリティを確立して維持することを目的に、資生堂グループで働くすべての人を対象とした「資生堂グループ　情報セキュリティポリシー」を定めています。資生堂グループ全体では、一貫した基本方針のもと各種情報資産の管理・運用に努めています。

2. 情報セキュリティの管理体制

（1）組織体制

資生堂グループでは、担当エグゼクティブオフィサーであるチーフインフォメーションテクノロジーオフィサー（CITO）が、情報セキュリティ管理体制の整備に責任を負っています。CITOは、機密情報管理、データ保護、情報システムのセキュリティ対策に関する規程類の整備と運用、それらの安全対策の実施、教育訓練などに責任・権限を有しています。また、その推進および実行は情報セキュリティ部門長が担っています。
なお、情報セキュリティに関する最終的な責任は、代表執行役社長　最高執行責任者（COO：Chief Operating Officer）が負っています。
海外の地域本社の代表者は、管轄地域内における情報資産と情報システムの取り扱いに関する管理責任者として、機密情報管理・情報システム管理・情報セキュリティ対策に関する規程類の整備および運用の徹底、安全対策の実施、教育訓練などの情報セキュリティ全般に責任を負っています。海外の地域本社には情報セキュリティの窓口担当者を配置し、本社と連携しながら資生堂グループ全体の情報セキュリティの取り組みの継続的な維持・向上に努めています。
資生堂グループ各社の各部門・事業所の責任者は、部門・事業所で取り扱う情報資産について、保護と管理状況の定期的な確認、従業員等への教育訓練、取り扱い状況に関する自己点検、および事故発生時の対応などを行っています。

（2）ポリシー・ルールの整備

情報セキュリティ管理体制の構築にあたっては、リスクマネジメントの国際規格であるISO 31000、情報セキュリティ関連の国際認証規格であるISO 27001、NIST（米国国立標準技術研究所）のNIST Cyber Security Framework、Center for Internet Security_※のCIS Controls、経済産業省のサイバーセキュリティ経営ガイドラインなどのガイドラインや確立されたベストプラクティスを参考にしています。
加えて、具体的な活動指針やルールとして、前述の「資生堂グループ情報セキュリティポリシー」および機密情報管理、個人情報保護、情報システムのセキュリティ対策に関わる規程を策定し、グローバルなルールとして海外事業所も含めた遵守を推進しています。
社外の取引先に対しては、「資生堂グループサプライヤー行動基準」において、機密情報・個人情報の保護を明記し、遵守を求めるとともに、重要な処理を委託する取引先に対しては、取引先の情報セキュリティ管理体制を確認し、必要に応じ適切な安全管理措置を求めています。

※Center for Internet Security（CIS）：米国国家安全保障局（NSA）、国防情報システム局（DISA）、米国立標準技術研究所（NIST）などの政府機関と、企業、学術機関などが協力して、インターネット・セキュリティ標準化に取り組む目的で2000年に設立された米国の団体の略称。

3. 情報セキュリティ向上への具体的な取り組み

（1）従業員への教育・啓発

資生堂グループでは、従業員に対して、eラーニングやグループセッションによる研修を定期的に行い、情報セキュリティ意識と知見の向上を図っています。新入社員やキャリア採用社員への研修も入社時の教育の一環として実施し、早期に情報セキュリティの重要性を理解させることに努めています。
また、情報セキュリティに関する最新情報を社内ポータルサイトの掲示板により周知するなど、情報のアップデートを定期的に行っています。

（2）バイデザインの推進

資生堂グループでは、新規ビジネスやサービスにおいて、必要な情報セキュリティ対策が企画・設計段階から講じられるよう、情報セキュリティ部門が当初から関与する社内体制やプロセスを整備しています。

（3）サプライチェーンのセキュリティ

資生堂グループでは、各国・地域の法令の定義による個人情報の取り扱い、資生堂グループの規程類の定義による機密情報の取り扱い、および資生堂グループの業務の継続や品質の確保に大きく関わると考えられる業務を外部の取引先などに委託する場合は、委託業務の遂行において情報セキュリティが確保されるよう、委託先に対する適切な管理・監督を行っています。

（4）モニタリング活動

資生堂グループでは、情報資産の適正な運用や情報システム開発運用管理における適正な情報セキュリティ対策を確認するため、リスクに応じて情報システムおよび関連する業務プロセスに対する評価を実施し、そこで検出された是正事項の改善の監督を行っています。工場のシステム環境についても、定期的にセキュリティ評価を行い、生産活動の情報セキュリティ確保にも努めています。
また、情報システムにおける脆弱性を診断するため、定期的に情報システム基盤、およびアプリケーションに対する脆弱性診断を実施し、検出された脆弱性に対する指摘・改善指示を行っています。加えて、外部インテリジェンスを活用した情報セキュリティモニタリングを常時行っています。
重要な情報処理を委託している取引先に対しては、契約締結後も定期的に情報セキュリティ管理体制や実施状況を確認しています。

（5）情報セキュリティに関わる事故・緊急対応

資生堂グループでは、情報セキュリティ部門を情報セキュリティに関わる事故対応窓口として、事故の影響度に応じ社内の関係部門などと連携を図りながら、事故への対応を実施しています。
セキュリティインシデントに対応するための組織であるCSIRT（Computer Security Incident Response Team）を整備し、インシデント関連情報、脆弱性情報、攻撃予兆情報の収集、分析、対応などの活動を行っています。一般社団法人日本シーサート協議会_※に資生堂シーサート(Shiseido CSIRT)として加盟登録し、情報セキュリティ機関や他社の情報セキュリティ部門とも情報連携しています。
情報セキュリティ部門では定期的に事故対応訓練（年2回以上：日本シーサート協議会主催の訓練、フォレンジックサービス事業者による訓練等）を実施し、そこで認識された改善点を事故対応マニュアルに反映し、事故対応能力の向上に努めています。また、工場向けの事故対応訓練も随時行い、生産活動にかかわる情報セキュリティの確保にも努めています。