情報セキュリティ管理

資生堂グループでは、重要な情報資産を守り、堅牢な情報セキュリティを確立して維持することを目的に、資生堂グループで働くすべての人を対象とした「資生堂グループ 情報セキュリティポリシー」を定め、資生堂グループ全体で一貫した基本方針のもと各種情報資産の管理・運用に努めています。

資生堂グループでは、最高情報セキュリティ責任者（Chief Information Security Officer、以下「CISO」）を設置し、情報セキュリティ管理体制を整備しています。CISOは、機密情報管理、個人情報保護、情報システムのセキュリティ対策に関する規程類の整備および運用について責任・権限を有しています。CISOはまた、安全対策の実施、教育訓練等の実行を監督しています。なお、情報セキュリティに関する最終的な責任は、最高財務責任者（CFO：Chief Financial Officer）が負っています。
海外の地域本社の代表者は、管轄地域内における情報資産と情報システムの取り扱いに関する管理責任者として、機密情報管理、個人情報保護、情報システムのセキュリティ対策、教育訓練等の情報セキュリティ全般に責任を負っています。海外の地域本社には情報セキュリティの窓口担当者を配置し、本社と連携しながら資生堂グループ全体の情報セキュリティの取り組みの継続的な維持・向上に努めています。
資生堂グループ各社の各部門・事業所の責任者は、部門・事業所で取り扱う情報資産について、保護と管理状況の定期的な確認、従業員等への教育訓練、および事故発生時の対応等を行っています。

資生堂グループでは、従業員に対して、eラーニングやグループセッションによる研修を定期的に行い、情報セキュリティ意識と知見の向上を図っています。新入社員やキャリア採用社員への研修も入社時の教育の一環として実施し、早期に情報セキュリティの重要性を理解させることに努めています。
また、情報セキュリティに関する最新情報を社内ポータルサイトの掲示板により周知するなど、情報のアップデートを定期的に行っています。

資生堂グループでは、新規ビジネスやサービスにおいて、必要な情報セキュリティ対策が企画・設計段階から講じられるよう、情報セキュリティ部門が当初から関与する社内体制やプロセスを整備しています。

資生堂グループでは、各国・地域の法令の定義による個人情報の取り扱い、資生堂グループの規程類の定義による機密情報の取り扱い、および資生堂グループの業務の継続や品質の確保に大きく関わると考えられる業務を外部の取引先などに委託する場合は、委託業務の遂行において情報セキュリティが確保されるよう、委託先に対する適切な管理・監督を行っています。

資生堂グループでは、情報資産の適正な運用、および情報システム開発運用管理における適正な情報セキュリティ対策を確認するため、リスクに応じて情報システムおよび関連する業務プロセスに対する評価を実施し、そこで検出された是正事項の改善の監督を行っています。工場のシステム環境についても、定期的にセキュリティ評価を行い、生産活動の情報セキュリティ確保にも努めています。
また、情報システムにおける脆弱性を診断するため、定期的に情報システム基盤、およびアプリケーションに対する脆弱性診断を実施し、検出された脆弱性に対する指摘・改善指示を行っています。加えて、外部インテリジェンスを活用した情報セキュリティモニタリングを常時行っています。
重要な情報処理を委託している取引先に対しては、契約締結後も定期的に情報セキュリティ管理体制や実施状況を確認しています。

資生堂グループでは、情報セキュリティの適正な施策・体制推進の確認をするため、外部のセキュリティ専門家による第三者評価を行っています。そこで検出された改善・強化事項は、情報セキュリティ戦略・施策の立案へ反映させています。