情報セキュリティ
情報セキュリティおよび個人情報保護マネジメントの維持・向上を推進し、お客さまの信頼を、より一層高めることができるよう取り組んでいます。
お客さま情報の安全性に一番厳しい会社になるという決意のもと、ベネッセグループでは外部認証の取得や社内研修などを実施し、情報セキュリティの強化に取り組み続けています。
ベネッセグループ 情報セキュリティ・個人情報保護方針
- 1.企業理念と情報セキュリティ
- ベネッセグループは、一人ひとりの「よく生きる」を実現するために、人々の向上意欲と課題解決を生涯にわたって支援します。当グループにおける情報の安全確保の取り組みは、これを実現するために不可欠な要件であり、グループ各社の経営および事業における最重要課題の1つです。
ベネッセグループは、世界最高クラスのセキュリティレベルを目指し、グループとしての情報セキュリティ管理体制を確立して、情報セキュリティ管理を着実に実施します。 - 2.個人情報・重要情報の保護
- ベネッセグループでは、お客さまからお預かりした個人情報、契約に基づきお取引先さまからお預かりした情報、およびこれらを含む社内の営業秘密を、とりわけ重要な情報であると考えています。個人情報をお預かりするにあたっては、お客さまの意思を尊重し、お客さまの同意に基づいた取り扱いを行います。大切な情報を保護するため、機密性、完全性、可用性の見地から適切な管理策を設け、実行します。特に、お預かりした個人情報のデータベースについては、外注先を含め、アクセス権者に対するけん制を考慮したセキュリティレベルを構築していきます。
- 3.法令遵守と規範への適合
- ベネッセグループ各社は、情報セキュリティおよびプライバシー保護に関する法令を遵守します。海外の複数国におよぶ事業展開を踏まえ、情報セキュリティ管理においては国際的な規範を採用し、各社の管理規則をこれらの規範に準拠させます。また、グループの従業員が違反行為を行った場合には、その原因を明らかにして再発を防止するとともに、当事者への厳正な処罰を行います。
- 4.継続的改善
- 情報セキュリティにまつわる環境は常に変化しています。ベネッセグループは、この変化に対応するため、情報セキュリティ管理を継続的に改善し続けます。また、脆弱性の放置が情報保護に対するリスクを増大させることを認識し、常に新たな脆弱性への対応につとめます。
- 5.教育訓練の実施
- 情報セキュリティ管理においては、組織に属する全員の深い理解と参加が欠かせないとの認識のもと、ベネッセグループは、グループ全社の役員および全従業員に対し情報セキュリティに関する教育訓練を行うとともに、理解度の確認、意識向上のための施策など、実効のある啓発活動を実施します。
(2015年4月1日)
また、取得する個人情報の利用目的、第三者提供、開示等の求めに応じる手続きおよび苦情受付に関する事項/閲覧履歴等の取り扱いについても詳細を公表しており、以下よりご覧いただけます。
体制
情報セキュリティと個人情報保護の領域の事業会社の計画、執行状況は、常務執行役員CLRO兼コンプライアンス・セキュリティ本部長を長とするコンプライアンス・セキュリティ本部が、各事業責任者を通じ、管理しています。各事業会社は、情報セキュリティの実行・推進のために情報セキュリティ責任者を任命し、情報セキュリティ推進体制を構築し、緊急時の対応計画とインシデント対応手順を定めています。また、外部機関として情報セキュリティ監視委員会を設けています。社外有識者による定期的な監査を受け、世界トップクラスの情報セキュリティ構築を目指し、取り組んでいます。
緊急時の対応
ベネッセグループではインシデントなどの緊急時の対応について、報告ルートを定め、迅速に対策を講じるための体制を構築しています。
情報セキュリティおよび個人情報の取り扱いに関する何らかの異常を発見、もしくは委託先から報告を受けた従業員は速やかに部門長に報告し、部門長は「情報セキュリティ報告窓口」および「緊急事案通報窓口(ベネッセグループホットライン)」へ速やかに報告します。より早急な緊急事案通報のため、発見者が状況に応じて直接「緊急事案通報窓口」に通報する報告ルートも確保しています。情報はコンプライアンス・セキュリティ本部が集約し、全体のインシデントの状況について ベネッセホールディングス社長に報告するとともに、抽出された課題に対して対策を講じる体制を整備しています。
情報セキュリティ監視委員会
情報セキュリティ監視委員会は、ベネッセグループにおけるデータおよびシステムの運用・保守、データの使用・管理に関する適正なセキュリティ基準、使用・管理規程などの制定状況ならびにグループ会社における当該基準、規程等の遵守状況を定期的に確認し、必要な改善策を含め、お客さまの立場に立って公正な判断を下すことを任務としています。2014年10月15日に設立し、四半期に1回をめどに定期的に開催。社外有識者による確認を継続して実施しております。
なお、情報セキュリティや個人情報保護に関する第一人者である外部の学識経験者の方を委員とし、さらなる情報セキュリティ強化のための提言もいただいています。 委員会の構成メンバーは以下のとおりです。
情報セキュリティ監視委員会の構成メンバー(2024年度)
| 委員長 | 佐々木 良一 |
| 現職 | … | 東京電機大学名誉教授兼同大学サイバーセキュリティ研究所客員教授/一般社団法人日本セキュリティ・マネジメント学会名誉会長/特定非営利活動法人デジタル・フォレンジック研究会理事兼顧問/一般社団法人情報処理学会フェロー/会計検査院最高情報セキュリティアドバイザー |
| 略歴 | … | 1971年3月東京大学卒業。同年4月日立製作所入社。システム開発研究所にてシステム高信頼化技術、セキュリティ技術、ネットワーク管理システム等の研究開発に従事。同研究所第4部(ネットワーク関連部)部長やセキュリティシステム研究センタ長、主管研究長を歴任。2001年4月に、東京電機大学に移り教授、工学博士(東京大学)。この間内閣官房サイバーセキュリティ補佐官も務める。 |
| 受賞歴 | … | 情報処理学会論文賞、功績賞、電気学会著作賞、総務大臣表彰、情報セキュリティ文化賞など多数。 |
| 委員 | 猪俣 敦夫 | 大阪大学情報セキュリティ本部教授 |
| 委員 | 上原 哲太郎 | 立命館大学情報理工学部教授 |
| 委員 | 湯淺 墾道 | 明治大学公共政策大学院ガバナンス研究科教授 |
(敬称略)
情報セキュリティ強化の取り組み
システム強化・環境向上
お客さまが安心・信頼して個人情報を預けていただけるよう、システムの運用・監視強化、最新の情報に基づく技術的な対策などシステムセキュリティ強化の取り組みを続けています。また、社外有識者の監査・アドバイスを受け、世界最高レベルの情報セキュリティを実現してまいります。
■システムのセキュリティ対策強化
日々新しい技術が生まれ公開されるIT社会。対応するセキュリティ対策にも、終わりはありません。以下のような観点で各種施策を実施し、継続的な強化を図ります。
- システム運用におけるセキュリティ対策(異常を検知するアラート機能の強化 など)
- 不正プログラム感染防止対策(社内から外部への厳重なアクセス制限実施 など)
- 通信ネットワークの保護施策(的確なネットワーク構成の変更や外部アクセスの遮断 など)
- システムや情報へのアクセス制御(権限付与の厳格化、ID・PWの管理強化 など)
■セキュリティ環境の強化
世界最高のセキュリティレベルを実現するために、多くの強化策を実行し続けています。具体的な内容について、その一部をご紹介いたします。
- 1)金属探知ゲートによるチェック強化
- お客さま情報のデータベースを管理している場所において、電子機器や記録媒体の持ち込み・持ち出しができないよう、出入り口で厳重にチェックしております。
- 2)リスクを限定したうえで管理し対処する、最適なセキュリティ対策を実施
- ベネッセコーポレーションでは、お客さま情報のデータを管理している場所において、取り扱う情報や業務内容、利用可能者に合わせて、いくつかのレベルでセキュリティゾーニング(区分け)の強化を実施。それぞれに合ったセキュリティ対策を実施し、安全な環境でお客さま情報を取り扱います。具体例としていくつかご紹介いたします。
- [一般執務エリアでのリスク対策]
- 社員・関係者以外は入室できません。限定の対象者のみが利用できるセキュリティを強化した端末で、個人情報閲覧のみ可能とし、お客さま対応をいたします。
- [お客さま情報データベースの閲覧エリアでのリスク対策]
- アクセス可能者の厳格な管理はもちろんのこと、特殊なネットワーク上でセキュリティ対策を実行し、操作ログ、動作は完全監視されます。
- [お客さま情報データベースの操作エリアでのリスク対策]
- エリアへの入室は厳格に管理されるとともに、データベースの操作はできますが、操作ログ、動作は完全監視され、データの出力は不可能としています。
お客さま情報の取り扱い
ベネッセグループではステークホルダーの皆さまよりお預かりする個人情報に対して、利用目的を明確にし、透明性の高い個人情報の適正管理を各段階(取得・利用・活用・消去)において徹底しています。また、開示などの求めに対して、窓口を設置し、速やかに対応しています。
詳細は以下よりご覧ください。
より安心して、商品・サービスをご利用いただけるよう、いただいたお声をもとに、個人情報の取り扱い方針や対応の見直しを継続して行っています。
従業員の教育と啓蒙
■セキュリティデーの開催
2014年に発覚した個人情報漏えい事件を契機に、7月7日を「セキュリティデー」と定めました。ベネッセコーポレーションは毎年この時期に、情報セキュリティに関する朝礼を行い、社内の取り組み発表を行う、外部専門家の講演を行うなど、事件の教訓を忘れず、情報セキュリティ強化に取り組んでいくことを社員一同で誓う活動を行っています。
■情報セキュリティ研修
ベネッセホールディングスおよびベネッセコーポレーションでは、ベネッセで業務を行う人すべて(=役員からアルバイトスタッフまで)に情報セキュリティ研修の受講を義務付けており、毎年、個人情報を中心とした情報セキュリティに関する守るべきルール・行動と基本的な知識の再確認に取り組んでいます。同研修は2023年度も100%の受講率でした。また、在宅勤務時においても、セキュリティ基準、運用が維持できる体制を準備し、在宅勤務開始時には再度セキュリティルールを確認する研修を実施しています。そのほか、グループのシステム管理を担う部門においては、専用プログラムによる研修も行っています。
外部認証の取得
プライバシーマーク付与事業者登録(2016年11月)と個人情報保護活動の継続
ベネッセコーポレーションは一般財団法人日本情報経済社会推進協会(JIPDEC)の審査を受け、2016年11月、プライバシーマーク付与事業者として登録されました。
引き続き、情報セキュリティおよび個人情報保護マネジメントの維持・向上に取り組み、お客さまの信頼を、より一層高めることができるよう取り組んでまいります。
- 2016年11月2日 初回登録
- 2026年11月1日 有効期限
ISMS認証取得(2016年3月)とISMS活動の継続
2015年5月のベネッセコーポレーション学校本部およびベネッセベースコムのISO27001(ISMS)取得に続き、2016年3月にベネッセホールディングスおよびベネッセコーポレーション(一部の拠点を除く)、ベネッセインフォシェルで取得が完了いたしました。なお、初回登録以降、毎年の維持審査、および3年に一度の更新審査として外部監査を継続して受けています。
- 2015年5月25日 初回登録
- 2027年5月24日 有効期限
