情報セキュリティ ブックマークが追加されました
ナレッジ
情報セキュリティ
情報セキュリティポリシー
デロイト トーマツ グループでは、業務上でクライアントから提供を受けた秘密情報等の情報資産を、消失、改ざん、漏洩、及び不正使用等の脅威から保護することが事業活動の継続的かつ安定的な成長に資することを認識し、情報セキュリティ方針をはじめとする情報セキュリティ関連の規程類(以下、「情報セキュリティポリシー」という)を自主的に定めています。なお、情報セキュリティポリシーの整備・構成にあたっては、デロイトグローバルにより提供されているグローバルベースの情報セキュリティマニュアルとの整合性を図りつつ、日本の法令等を遵守しています。
クライアント情報の保護
クライアント情報が保管される情報システム環境は、デロイトグローバルの基準に基づき設計されており、最先端の情報管理テクノロジーが適用されています。クライアント情報は契約ごとにアクセス権が設定され、業務に関与するメンバーにアクセスが限定されています。また、当該情報システム環境は、Firewallによって厳格に管理されており、デロイトネットワークに属する各国・地域のファームがそれぞれ独立していることから、デロイト トーマツ グループから他の国・地域のファームに直接アクセスができないことと同様に、他の国・地域のファームからも直接アクセスすることが不可能な環境となっています。さらに、特別に秘密を守るべき情報については、暗号化を含めたセキュリティ施策を講じています。
情報セキュリティ推進体制
デロイト トーマツ グループのRRLがグループ全体の情報管理を統括する責任を負っており、その下で、グループ全体の情報管理体制が構築・運営され、また、各部署での情報セキュリティ管理状態の把握、維持及び管理が行われています。なおRRLは、グループ全体における情報セキュリティリスクの適切な管理のために、チーフ・コンフィデンシャリティ・オフィサー(以下、「CCO」という)を任命し、CCOはRRLの下で情報セキュリティリスクを管理するための各種施策の実行を推進する責任を担っています。また、情報システムの導入、総合的な管理及び運用については、グループのチーフ・インフォメーション・オフィサー(以下、「CIO」という)がこの任にあたっています。CIOは、情報システム管理責任者及び情報セキュリティにかかる技術管理責任者(以下、「CISO」という)を任命し、情報システム管理責任者はグループ全体の情報システムを、CISOはグループ全体の情報セキュリティを、それぞれ統括管理する責任を負っています。なお、RRL、CCO、CIO、CISOは当グループにより独立的に任命されている他、情報システム部門も当グループに設置されており、デロイトグローバルやデロイトAPからは独立した運営が行われています。
情報セキュリティマネジメント・安全管理体制
デロイト トーマツ グループは、情報セキュリティマネジメントに関する国際規格であるISO27001認証を取得・維持しており、最先端の情報セキュリティ管理体制を構築、運用しています。
また、情報セキュリティに関する事故が発生した場合(もしくは発生のおそれがある場合)に関しては、緊急連絡窓口の設置、事故対応手順の策定・社内周知、事故の発生原因の究明、再発防止策の策定・遂行等、適切な対応を実施する態勢を整備しています。
昨今複雑化・深刻化を増すサイバーリスクに対しては、デロイトグローバルの持つ世界最高水準の技術と連携して、クライアントに対するサービス提供においてより一層高度なセキュリティの確保を重視したサイバーセキュリティ対応体制も構築しています。特に安全保障等に関連する重要性・機密性の高い案件での情報管理において、米国の国立標準技術研究所(National Institute of Standards and Technology 以下、NIST)が定めたセキュリティ基準を示すガイドライン 「NIST SP800-171」に準拠したセキュリティの強化に取り組んでいます。
情報セキュリティ教育
デロイト トーマツ グループでは、クライアントに対する守秘義務の遵守がグループの信頼の基礎となっていること、また情報セキュリティの重要性がより一層高まっていること、さらにグループを取り巻く情報セキュリティリスク等の状況に鑑みて、クライアント情報やグループの情報資産を保護し、個人情報を適切に取り扱うための各種教育研修を社員・職員に対して実施しています。その上で、万が一情報漏えいが発生した場合には、その行為者の厳正な処分を行っています。
また、フィッシングメール対策訓練を定期的に行い、社員・職員のフィッシング攻撃に対する注意喚起を行っています。
情報セキュリティ監査
デロイト トーマツ グループでは、内部監査室による情報セキュリティ監査を実施しています。当該監査においては、内部監査室が主体となって、社員・職員及び関連する第三者による情報セキュリティポリシーの遵守状況を確認し、グループの情報セキュリティマネジメントシステムが適切に整備・運用されていることを監査しています。また、ISO27001認証を維持するため、外部認証機関による審査を毎年受けています。
(2023年12月発行)