1. Home
  2. サステナビリティ
  3. コンプライアンス・リスクマネジメント
  4. 情報セキュリティ管理

情報セキュリティ管理

情報セキュリティに関する方針

資生堂グループでは全事業所が保有する重要な情報資産を守り、堅牢な情報セキュリティを確立して維持することを目的に、資生堂グループで働くすべての人を対象とした「資生堂グループ 情報セキュリティポリシー」を定め、資生堂グループ全体で一貫した基本方針のもと各種情報資産の管理・運用に努めています。

個人情報の保護に関する方針

資生堂グループでは、事業などを通じて保有する個人情報の重要性を深く認識し、保護の徹底を図ることが社会的責務と考え、資生堂グループで働くすべての人が守るべき「資生堂グループ プライバシールール」を定め、グループ全体で個人情報保護の確実な履行に努めています。
また、プライバシーポリシーにより、資生堂の個人情報保護に関する方針を広く公開しています。

情報セキュリティの管理体制

(1)組織体制

資生堂グループでは、最高情報セキュリティ責任者(Chief Information Security Officer、以下「CISO」)を設置し、情報セキュリティ管理体制を整備しています。CISOは情報資産と情報システムの取り扱いに関する包括的な責任を負い、情報セキュリティ戦略の立案・施策において経営層とのコミュニケーションを図りながらその推進を実行しています。
また、CISOは資生堂グループ各社において機密情報管理・個人情報保護・情報システム管理・情報セキュリティ対策に関する規程類の整備および運用の徹底、安全対策の実施、教育訓練等の実践について監督を行います。

日本国内の事業所・部門・関係会社のトップは、情報管理責任者として任命され、それぞれの部署における情報セキュリティに関する各施策の実行責任を負っています。また、海外の地域本社においても情報セキュリティの窓口担当者を配置し、CISOとの定期的なコミュニケーションによって資生堂グループ全体の情報セキュリティの取り組みの継続的な維持・向上に努めています。

資生堂の情報セキュリティマネジメント

資生堂の情報セキュリティマネジメント

(2)ポリシー・ルールの整備

情報セキュリティ関連規程を整備

情報セキュリティ関連規程を整備

情報セキュリティ向上への具体的な取り組み

(1)従業員への教育・啓発

資生堂グループでは、従業員に対してeラーニングによる定期的な情報セキュリティ研修を実施し、情報セキュリティ意識の向上を図っています。新入社員や中途採用社員への研修も入社時の教育の一環として実施し、早期に情報セキュリティの重要性を理解させることに努めています。
また、都度発生する情報セキュリティに関する最新情報を、社内ポータルサイトの掲示板や全従業員宛メールにより周知するなど、情報のアップデートも適宜行っています。

全従業員向け研修

全従業員向け研修

社内メールマガジン

社内メールマガジン

(2)情報セキュリティ監査・脆弱性診断

資生堂グループでは、情報資産の適正な運用、および情報システム開発運用管理における適正な情報セキュリティ対策を確認するため、すべての事業所・部門・関係会社および情報システムに対して監査を実施し、そこで検出された是正事項の改善の監督を行っています。
また、情報システムにおける脆弱性を診断するため、定期的に情報システム基盤、およびアプリケーションに対する脆弱性診断を実施し、検出された脆弱性に対する指摘・改善指示を行っています。

(3)情報セキュリティに関わる事故・緊急対応

資生堂グループでは、情報セキュリティ部門を情報セキュリティに関わる事故対応窓口として、事故の影響度に応じてリスクマネジメント、および情報システム部門とも連携を図りながら事故への対応を実施しています。情報セキュリティ部門では定期的に事故対応訓練を実施し、そこで認識された改善点を事故対応マニュアルに反映し、事故対応能力の向上に努めています。
また、日本シーサート協議会に資生堂 シーサート(Shiseido CSIRT)として加盟登録し、情報セキュリティ機関や他社の情報セキュリティ部門とも情報連携しています。

情報セキュリティに関わる事故・緊急対応

(4)第三者評価

資生堂グループでは、情報セキュリティの適正な施策・体制推進の確認をするため、資生堂グループの監査部門および監査部門より委託された外部評価機関により、情報セキュリティ部門への定期的な第三者評価を実施しています。そこで検出された改善・強化事項は、情報セキュリティ戦略・施策の立案へ反映させています。