情報セキュリティ
表示言語の切り替え
キヤノンマーケティングジャパングループ(以下、当社グループ)は、お客さまの課題をICTと人の力で解決する事業活動を通じて安心・安全でサステナブルな社会の実現に貢献するため、「情報セキュリティ」の基盤強化に取り組んでいます。サイバー攻撃などの情報セキュリティリスクへの対策や、事業活動で用いる情報資産の適切な取り扱いを重要な経営課題と捉え「ISMS適合性評価制度」や「プライバシーマーク制度」といった第三者認証を活用し、継続的な改善に努めます。
方針
当社グループは、キヤノングループの企業理念である「共生」のもと、社会・お客さまの課題をICTと人の力で解決するプロフェッショナルな企業グループとなることをビジョンに掲げ、事業活動を通じて安心・安全でサステナブルな社会の実現に貢献します。
当社グループは、IoT、クラウドサービス等のデジタル技術と高品質なサービスでお客さまのIT戦略に貢献するとともに、サイバー攻撃等を含む情報セキュリティリスクを認識し、事業活動で用いる情報資産の適切な取り扱いを重要な経営課題ととらえ、これを実践するために以下の方針に基づき一層の継続的改善に努めます。
ガバナンスとマネジメント体制
当社グループは、情報資産を適切に管理し情報セキュリティリスクを最小限に抑えるために、経営陣による情報セキュリティガバナンスのもと、各社・各部門の情報セキュリティマネジメント体制を構築しています。
ガバナンス体制
情報セキュリティの取り組みは、コンプライアンスや環境対応、事業継続、品質管理などの社会的要請への対応とも密接に関連しています。そこで、これらの社会的要請事項を所管する「リスク・クライシスマネジメント委員会」の中で、経営陣がグループの情報セキュリティガバナンスの強化に取り組んでいます。この委員会の中では、情報セキュリティ方針や戦略などの決定「方向付け」を行い、定期的に経営環境やリスクの変化、目標の達成状況などを確認「モニタリング」し、「評価」した結果、必要に応じて新たな「方向付け」を行うというサイクルを回しています。
マネジメント体制
マネジメント体制は、グループ情報セキュリティ統括体制と各社・各部門のマネジメント体制の2つに分けています。グループ情報セキュリティ統括体制においては、グループ本社機能を持つ組織が、IT・物理的・人的セキュリティ施策など、グループ共通のルールや対策の企画立案・推進を行っています。また、各社・各部門のマネジメント体制では、それぞれの会社・事業の特性に応じて、情報セキュリティ主管部門や部門管理体制を設置するとともに、各組織において情報セキュリティ推進者を任命し、ルールの浸透や施策の実行を推進しています。
マネジメントシステム運用
当社グループは、情報の安全性を確保し漏えいや改ざんなどのリスクから守るために、グループ全体で情報セキュリティおよび個人情報保護に関するマネジメントシステムを運用しています。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは、ISO/IEC27001に準拠した活動を実施しています。マネジメントレビューや組織の状況、リスクアセスメント結果等により、すべての部門で情報セキュリティに関する活動目標を定め、全員参加型の情報セキュリティマネジメントシステムを実施しています。
個人情報保護マネジメントシステム
個人情報保護マネジメントシステムは、JISQ15001に準拠した活動を実施しています。取り扱う個人情報の洗い出し、取得から廃棄までの各プロセスにおけるリスクアセスメント、委託先管理などを「個人情報データベース管理システム」により実施しています。
教育および意識啓発
知識習得に向けた社員教育
| 研修名 | 内容 |
|---|---|
| 全社員教育 | リスク・クライシスマネジメント教育の一環として、情報セキュリティや個人情報保護に関して、適切な判断と行動が行えるよう、実践的な内容に基づいたeラーニングを実施。また、確認テストによる理解度確認を合わせて実施。 |
| 入社時研修 | 当社グループにおける情報セキュリティの考え方を理解し、情報資産取扱いの基礎知識の習得に向けて、新入社員、キャリア採用者を対象に実施。 |
| 新任ライン管理職研修 | 当社グループにおける情報セキュリティの考え方と「部門管理者」の役割を理解し、自部門で情報資産を適切に取り扱えるよう、必要知識の習得に向けて講義形式にて実施。 |
当社グループでは、情報セキュリティ教育計画書を毎年作成し、グループの全役員・従業員を対象としたeラーニングによる教育を実施しています。講座で必要な「知識」を習得し、確認テストでその定着度を測っています。新しく組織のメンバーとなる新入社員やキャリア採用社員には、情報セキュリティに関する意識向上や基礎知識の習得、社内ルールの徹底を目的とした入社時教育を実施しています。また、新任ライン管理職に対しては、情報セキュリティにおけるライン管理職の役割をしっかりと認識してもらうために、「新任ライン管理職研修」で講話を実施するなど、階層別の教育を展開しています。
職場におけるリスク管理意識の向上
当社グループの各職場(課)で毎年実施している「コンプライアンス・ミーティング」では、経営上重要なリスクとして位置付けられたテーマの中から、自部門の事業や業務にとって影響の大きいコンプライアンスリスクの洗い出しと、その対策について協議しています。その中で、機密情報漏えいやサイバー攻撃など、情報セキュリティに関連するテーマを取り上げ、各職場の特性に応じたリスク対策を協議することにより、情報セキュリティリスクの低減と意識向上を図っています。
社外評価とコミュニケーション
第三者評価
当社グループでは、情報セキュリティマネジメントシステム(ISMS)や個人情報保護マネジメントシステム(PMS)を均質かつ迅速に行うために、第三者認証の基準規格(JIS 規格)に基づいて構築しています。なお、こうした取り組みについて客観的な評価を受けるため、「ISMS適合性評価制度」や「プライバシーマーク制度」といった第三者認証を活用しています。
情報セキュリティ関連団体への参画
当社グループは、情報セキュリティ関連団体に参画し、最新情報のタイムリーな入手や業界に関連する諸問題の研究を行うなど社外コミュニケーションを積極的に図ることで、情報セキュリティ対応レベルを向上しています。
| 一般社団法人 ソフトウェア協会 | 一般財団法人 日本情報経済社会推進協会 |
| 一般社団法人 情報サービス産業協会 | 一般社団法人 日本情報システム・ユーザー協会 |
| 一般社団法人 情報処理学会 | 特定非営利活動法人 日本ネットワークセキュリティ協会 |
| 一般財団法人 日本科学技術連盟 | フィッシング対策協議会 |
| 一般社団法人 日本シーサート協議会 | 一般社団法人 データサイエンティスト協会 |
| デジタルリテラシー協議会(一般社団法人 日本ディープラーニング協会) | 日本カード情報セキュリティ協議会 |
| サプライチェーン・サイバーセキュリティ・コンソーシアム |