ナレッジ

情報セキュリティ

情報セキュリティポリシー

デロイト トーマツでは、業務上でクライアントから提供を受けた秘密情報等の情報資産を消失、改ざん、漏洩、及び不正使用等の脅威から保護することが事業活動の継続的かつ安定的な成長に資することを認識し、情報セキュリティ方針をはじめとする情報セキュリティ関連の規程類(以下、「情報セキュリティポリシー」という)を自主的に定めています。なお、情報セキュリティポリシーの整備・構成にあたっては、デロイトグローバルにより提供されているグローバルベースの情報セキュリティマニュアルとの整合性を図りつつ、日本の法令等を遵守しています。

クライアント情報の保護

クライアント情報が保管される情報システム環境は、デロイトグローバルの基準に基づき設計されており、最先端の情報管理テクノロジーが適用されています。クライアント情報は契約ごとにアクセス権が設定され、業務に関与するメンバーにアクセスが限定されています。また、当該情報システム環境は、Firewallによって厳格に管理されており、デロイトネットワークに属する各国・地域のファームがそれぞれ独立していることから、他の国・地域のファームから直接アクセスすることも不可能な環境となっています。さらに、特別に秘密を守るべき情報に関しては、ファイル単位で暗号化して管理されており、安全保障関連など高次の機密保護が求められる特定の案件に関わるクライアント情報については、秘密保護の強化策として、当該案件に従事するメンバーに、追加的な適性評価の実施を義務付ける仕組みをいちはやく自主的に導入しています。

情報セキュリティ推進体制

デロイト トーマツのレピュテーション・リスク・リーダーがグループ全体の情報管理を統括する責任を負っており、その下で、グループ全体の情報管理体制が構築・運営され、また、各部署での情報セキュリティ管理状態の把握、維持及び管理が行われています。また、情報システムの導入、総合的な管理及び運用については、グループのCIO(Chief Information Officer)がこの任にあたっています。CIOは、情報システム管理責任者及び情報セキュリティ管理責任者(以下、「CISO」という)を任命し、情報システム管理責任者はグループ全体の情報システムを、CISOはグループ全体の情報セキュリティを、それぞれ統括管理する責任を負っています。なお、レピュテーション・リスク・リーダー、CIO、CISOはデロイト トーマツにより独立的に任命され、情報システム部門もデロイト トーマツに設置されており、デロイトグローバルやデロイトAPからは独立した運営が行われています。

情報セキュリティマネジメント・安全管理措置

デロイト トーマツは、情報セキュリティマネジメントに関する国際規格であるISO 27001を取得しており、最先端の情報セキュリティ管理体制を整えています。また、情報の安全管理措置として以下のような対策を実施しています。

  • 組織的安全管理措置:情報セキュリティポリシーの遵守に関する監査及び漏洩時の懲戒処分や、契約の破棄、その他の法的措置
  • 人的安全管理措置:雇用契約時及び委託契約時における非開示契約の締結。社員・職員及び関連する第三者への情報セキュリティポリシーの遵守、周知・徹底、研修実施
  • 物理的安全管理措置:執務エリアへの入退時のセキュリティカードによる管理及び監視カメラでのモニタリングや、ハイセキュリティエリアの設定及び限定された者のみの入退許可、管理モニタリングを実施
  • 技術的安全管理措置:業務責任者のみがファイルのアクセス権の付与及び変更を実施。

また、情報セキュリティポリシーに対する違反が発生した場合、または、発生したことが疑われる場合には、速やかに必要な調査を開始できる態勢を整備することが義務付けられています。当該態勢には、以下の事項が含まれています。

  • 緊急連絡窓口の設置(24時間・365日対応可能)
  • 事象の発生の際にすべての社員・職員及び関連する第三者が適時に同窓口へ報告するための事故対応手順の整備と遵守の徹底

情報セキュリティ教育

デロイト トーマツでは、情報セキュリティの重要性や、グループを取り巻く情報セキュリティリスク等の状況に鑑み、クライアント情報やグループの情報資産を保護し、個人情報を適切に取り扱うための教育研修コンテンツを企画・開発するとともに、社員・職員が情報セキュリティリスクの高い事象に適切に対処する知識やスキルを養うための教育研修施策を実施しています。当該教育研修施策には以下のものが含まれます。

  • デロイト トーマツに新たに加入したすべての社員・職員に対する入社時研修
  • 情報セキュリティ意識の向上や情報セキュリティポリシーの更新内容を確認するための受講必須のEラーニングコースの提供(年1回以上)
  • デロイトグローバルと連携した、情報セキュリティ意識向上のための各種キャンペーンの実施(イントラネットを通じた最新情報の提供や注意喚起を年間を通して実施)
  • デロイトグローバルと連携した、フィッシング攻撃の脅威に対処するためのフィッシング対策訓練の定期的な実施

さらに、上記のような教育研修施策の実施を通じて判明した情報セキュリティ上の課題や、社員・職員から得られたフィードバックに基づき、情報セキュリティポリシーの見直しや新たな教育研修施策の開発等に継続的に取り組むことで、情報セキュリティを確保するため態勢の一層の強化を図っています。

情報セキュリティ監査

デロイト トーマツでは、内部監査の一環として、内部監査室による情報セキュリティ監査を実施しています。情報セキュリティ監査においては、内部監査室が主体となって、社員・職員及び関連する第三者による情報セキュリティポリシーの遵守状況を確認し、グループの情報セキュリティマネジメント体制が適切に整備・運用されていることを監査することになっています。また、デロイト トーマツはISO27001認証を取得していることから、年に一度、当グループ外の認証機関による認証維持審査も受けています。



click on the image learn more
お役に立ちましたか?