情報セキュリティ方針
デロイト トーマツ グループ*(以下、当グループ)は、ガバナンス・経営執行機能を担うデロイトトーマツ(同)と、「監査・保証業務」、「コンサルテイティブ(ストラテジー・リスク・トランザクション / テクノロジー・トランスフォーメーション)」、「税務・法務」の事業、およびコーポレート機能から構成されています。
当グループは、業務上 提供を受けた秘密情報等の情報資産を消失、改ざん、漏洩、及び不正使用等の脅威から保護することが事業活動の継続的かつ安定的な成長に必要不可欠であることを認識し、情報セキュリティに対する取組みを経営の最重要項目のひとつとして位置づけています。デロイトの基準に基づく最先端の技術を情報システム環境に適用すると共に、デロイト トーマツ グループ各法人**が以下のとおり情報セキュリティに関する方針を定め、情報を取り扱うすべての者に周知徹底することで、各ステークホルダーとの信頼の維持・向上を務めながら経営理念の実現を果たしていきます。
*デロイトについてはこちらをご覧ください。
**グループ法人の一覧はこちらをご覧ください。
1. 情報セキュリティ推進体制
当グループのChief Risk Officer(CRO)がグループ全体の情報管理を統括する責任を負っており、その下で、グループ全体の情報管理体制が構築・運営され、また、各法人・部署での情報セキュリティ管理状態の把握、維持及び管理が行われています。
2. 情報資産の管理
デロイト トーマツ グループ各法人は、事業活動において保有し、管理する情報資産を情報の機密性、完全性及び可用性に対する脅威から適切に保護するための管理策を講じています。
3. 法令等の遵守
デロイト トーマツ グループ各法人は、情報の取り扱いに関連する規程類やガイドライン等のルールを整備し、法令及び契約を遵守しています。
4. 教育・訓練
デロイト トーマツ グループ各法人は、社員及び職員等に対し、個人情報を含む情報セキュリティの重要性を認識させ、情報を適切に取り扱うための意識向上を図り、情報セキュリティに関する教育を継続的に実施しています。
5. サイバーセキュリティ対策
デロイト トーマツ グループ各法人は、昨今複雑化・深刻化を増すサイバーリスクに対して最新のサイバーセキュリティ技術や標準を積極的に導入し、適切なサイバーセキュリティ対策を講じています。
6. 情報セキュリティ事故対応体制・事故発生時の対応
デロイト トーマツ グループ各法人は、情報セキュリティ上の事故(サイバー攻撃や障害の発生等に起因する情報の漏えい、盗用、紛失、改ざんを含む。)の防止に努めています。万一、事故が発生した場合には、当グループ共通の所定の手続に則り速やかに対応し、被害を最小限にとどめるとともに、再発防止策を講じます。
7. 委託先管理
デロイト トーマツ グループ各法人は、委託先の管理を情報セキュリティの確保に資する重要な要素と位置づけており、委託先に求める情報セキュリティに関する要件を明確に定め、定期的に委託先を評価しています。
8. 情報セキュリティ監査
デロイト トーマツ グループ各法人は、当グループの内部監査や認証制度等を活用して、社員及び職員等による情報セキュリティポリシーの遵守状況を確認し、当グループの情報セキュリティ管理体制及び情報セキュリティに対する取組みが適切に整備・運用されていることを定期的に監査しています。
9. 継続的改善
デロイト トーマツ グループ各法人は、法令や国の定める指針の変化に加えて、ビジネス環境や情報テクノロジーの変化に伴うセキュリティリスクに対応するため、情報セキュリティ管理体制及び情報セキュリティに対する取組みを定期的に見直し、継続的な改善に努めます。
デロイト トーマツ グループ CEO
木村 研一
ISMSの認証範囲はこちらをご覧ください
https://www.bsigroup.com/clientDirectory
※ デロイト トーマツ グループは、2017年5月に情報セキュリティマネジメント規格であるISO/IEC 27001の認証を取得しています。
Deloitte Tohmatsu Group* is composed by Deloitte Tohmatsu LLC, which is responsible for the Group's Governance and Management functions, and business units of “Audit & Assurance”, “Consultative (Strategy, Risk & Transactions / Technology & Transformation)”, “Tax & Legal”, as well as its Corporate function.
Deloitte Tohmatsu Group recognizes that protecting confidential information and other information assets provided in the course of business from threats such as loss, falsification, leakage, and unauthorized use is essential for the continuous and stable growth of its business activities. Accordingly, Deloitte Tohmatsu Group has positioned information security as one of the most important management priorities. In addition to applying cutting-edge technologies based on the standards of Deloitte to the information system environment, each Deloitte Tohmatsu Group entity** has established the following policies on information security, which are thoroughly disseminated to all persons handling information. By so doing, we will achieve our management philosophy while maintaining and improving the trust of each stakeholder.
*Please refer to Here for Deloitte.
**Please refer to Here for a list of Group companies.
1. Organizational Structure Ensuring Information Security
Deloitte Tohmatsu Group's Chief Risk Officer (CRL) is responsible for overseeing information management across the Group, under which the Group-wide information management structure is established and operated while individual departments are accountable for understanding, maintaining, and managing their own information security.
2. Managing Information Assets
Each entity in the Deloitte Tohmatsu Group implements measures to adequately protect information assets we own and manage in our business activities against threats to the confidentiality, integrity and availability of information.
3. Compliance with Laws and Regulations
Each entity in the Deloitte Tohmatsu Group complies with the laws, regulations and contracts related to information handling.
4. Education and training
Each entity in the Deloitte Tohmatsu Group makes its people aware of importance of information security, including protecting personal information, raises awareness to handle information appropriately, and continuously provides education concerning information security.
5. Cybersecurity
Each entity in the Deloitte Tohmatsu Group implements appropriate cybersecurity measures by proactively introducing the latest cybersecurity technologies and standards to address cyber risks that have become increasingly complex and serious in recent years.
6. Information security incident response structures and measures
Each entity in the Deloitte Tohmatsu Group makes its effort to prevent information security incident (including information leakage, theft, loss, and alteration resulting from cyber attacks or system failures.). If any incident happens, we should promptly respond in accordance with the common procedures set by Deloitte Tohmatsu Group, minimize the damage and take actions to prevent a reccurence.
7. Third party management
Each entity in the Deloitte Tohmatsu Group considers third party management an important element in ensuring information security. Information security requirements for third parties are clearly defined and a third party is assessed on a periodical basis.
8. Information security audit
Our group's internal audit and certification systems are utilized by each entity in Deloitte Tomatsu Group to confirm compliance with information security policies among its people, and to periodically audit our group's information security management system and information security initiatives to ensure that they are properly maintained and operated.
9. Continuous improvement
Each entity in the Deloitte Tohmatsu Group regularly reviews and continuously improves its information security management system and information security efforts to address security risks relating to the changes of business environment and information technology as well as to meet with the legal and regulatory changes and new guidances issued by the government.
Kenichi Kimura
Deloitte Tohmatsu Group CEO
* Deloitte Tohmatsu Group has been certified for ISO / IEC 27001, an information security management standard, since May 2017.