情報セキュリティ方針
最終改訂日:2024年7月1日
デロイト トーマツ グループ*(以下、当グループ)は、ガバナンス・経営執行機能を担うデロイトトーマツ(同)と、「監査・保証業務」、「コンサルテイティブ(ストラテジー・リスク・トランザクション / テクノロジー・トランスフォーメーション)」、「税務・法務」の事業、およびコーポレート機能から構成されています。
当グループは、業務上提供を受けた秘密情報等の情報資産を消失、改ざん、漏洩、及び不正使用等の脅威から保護することが事業活動の継続的かつ安定的な成長に必要不可欠であることを認識し、情報セキュリティに対する取組みを経営の最重要項目のひとつとして位置づけています。デロイトの基準に基づく最先端の技術を情報システム環境に適用すると共に、デロイト トーマツ グループ各法人**が以下のとおり情報セキュリティに関する方針を定め、情報を取り扱うすべての者に周知徹底することで、各ステークホルダーとの信頼の維持・向上を務めながら経営理念の実現を果たしていきます。
*デロイトについてはこちらをご覧ください。
**グループ法人の一覧はこちらをご覧ください。
1. 情報セキュリティ推進体制
当グループのレピュテーション・リスク・リーダー(RRL)がグループ全体の情報管理を統括する責任を負っており、その下で、グループ全体の情報管理体制が構築・運営され、また、各法人・部署での情報セキュリティ管理状態の把握、維持及び管理が行われています。
2. 情報資産の管理
デロイト トーマツ グループ各法人は、事業活動において保有し、管理する情報資産を情報の機密性、完全性及び可用性に対する脅威から適切に保護するための管理策を講じています。
3. 法令等の遵守
デロイト トーマツ グループ各法人は、情報の取り扱いに関連する規程類やガイドライン等のルールを整備し、法令及び契約を遵守しています。
4. 教育・訓練
デロイト トーマツ グループ各法人は、社員及び職員等に対し、個人情報を含む情報セキュリティの重要性を認識させ、情報を適切に取り扱うための意識向上を図り、情報セキュリティに関する教育を継続的に実施しています。また、フィッシングメール対策訓練を定期的に行い、社員及び職員等のフィッシング攻撃に対する注意喚起を行います。
5. 情報セキュリティ事故対応体制・事故発生時の対応
デロイト トーマツ グループ各法人は、情報セキュリティ上の事故(サイバー攻撃や障害の発生等に起因する情報の漏えい、盗用、紛失、改ざんを含む。)の防止に努めています。万一、事故が発生した場合には、当グループ共通の所定の手続に則り速やかに対応し、被害を最小限にとどめるとともに、再発防止策を講じます。
6. 情報セキュリティ監査
デロイト トーマツ グループ各法人は、当グループの内部監査や認証制度等を活用して、社員及び職員等による情報セキュリティポリシーの遵守状況を確認し、当グループの情報セキュリティ管理体制及び情報セキュリティに対する取組みが適切に整備・運用されていることを定期的に監査しています。
7. 継続的改善
デロイト トーマツ グループ各法人は、法令や国の定める指針の変化に加えて、ビジネス環境や情報テクノロジーの変化に伴うセキュリティリスクに対応するため、情報セキュリティ管理体制及び情報セキュリティに対する取組みを定期的に見直し、継続的な改善に努めます。
デロイト トーマツ グループ CEO
木村 研一
ISMSの認証範囲はこちらをご覧ください
https://www.bsigroup.com/clientDirectory
※ デロイト トーマツ グループは、2017年5月に情報セキュリティマネジメント規格であるISO/IEC 27001の認証を取得しています。
Last revised: 1 July 2024
Deloitte Tohmatsu Group* is composed of Deloitte Tohmatsu LLC, which is responsible for the Group's Governance and Management functions, business units of Audit & Assurance, Consultative (Strategy, Risk & Transactions / Technology & Transformation), Tax & Legal, as well as Corporate functions.
Deloitte Tohmatsu Group recognizes that protecting confidential information and other information assets provided in the course of business from threats such as loss, falsification, leakage, and unauthorized use is essential for the continuous and stable growth of its business activities. Accordingly, Deloitte Tohmatsu Group has positioned information security as one of the most important management priorities. In addition to applying cutting-edge technologies based on the standards of Deloitte to the information system environment, each Deloitte Tohmatsu Group entity** has established the following policies on information security, which are thoroughly disseminated to all persons handling information. By so doing, we will achieve our management philosophy while maintaining and improving the trust of each stakeholder.
*Please refer to Here for Deloitte.
**Please refer to Here for a list of Group companies.
1. Organizational Structure Ensuring Information Security
Our group's Reputation Risk Leader (RRL) is responsible for overseeing information management across the Group, under which the Group-wide information management structure is established and operated while individual departments are accountable for understanding, maintaining, and managing their own information security.
2. Managing Information Assets
Each entity in the Deloitte Tohmatsu Group implements measures to adequately protect information assets we own and manage in our business activities against threats to the confidentiality, integrity and availability of information.
3. Compliance with Laws and Regulations
Each entity in the Deloitte Tohmatsu Group complies with the laws, regulations and contracts related to information handling.
4. Education and training
Each entity in the Deloitte Tohmatsu Group makes its partners and staffs aware of importance of information security, including protecting personal information, raises awareness to handle information appropriately, and continuously provides education concerning information security. We also conduct phishing email drills on a regular basis to make its partners and staffs to pay attention to cyber attacks.
5. Information security incident response structures and measures
Each entity in the Deloitte Tohmatsu Group makes its effort to prevent information security incident (including information leakage, theft, loss, and alteration resulting from cyber attacks or system failures.). If any incident happens, we should promptly respond in accordance with the common procedures set by Deloitte Tohmatsu Group, minimize the damage and take actions to prevent a reccurence.
6. Information security audit
Our group's internal audit and certification systems are utilized by each entity in Deloitte Tomatsu Group to confirm compliance with information security policies among its partners and staffs, and to periodically audit our group's information security management system and information security initiatives to ensure that they are properly maintained and operated.
7. Continuous improvement
Each entity in the Deloitte Tohmatsu Group regularly reviews and continuously improves its information security management system and information security efforts to address security risks relating to the changes of business environment and information technology as well as to meet with the legal and regulatory changes and new guidances issued by the government.
Kenichi Kimura
Deloitte Tohmatsu Group CEO