情報セキュリティ・個人情報保護方針

「情報セキュリティ・個人情報保護」をご参照ください

体制

情報セキュリティと個人情報保護の領域の事業会社の計画、執行状況は、常務執行役員CLRO兼コンプライアンス・セキュリティ本部長を長とするコンプライアンス・セキュリティ本部が、各事業責任者を通じ、管理しています。各事業会社は、情報セキュリティの実行・推進のために情報セキュリティ責任者を任命し、情報セキュリティ推進体制を構築し、緊急時の対応計画とインシデント対応手順を定めています。また、外部機関として情報セキュリティ監視委員会を設けています。社外有識者による定期的な監査を受け、世界トップクラスの情報セキュリティ構築を目指し、取り組んでいます。

緊急時の対応

インシデントなどの緊急時の対応について、報告ルートを定め、迅速に対策を講じるための体制を構築しています。

情報セキュリティおよび個人情報の取り扱いに関する何らかの異常を発見、もしくは委託先から報告を受けた従業員は速やかに部門長に報告し、部門長は「情報セキュリティ報告窓口」および「緊急事案通報窓口（ベネッセグループホットライン）」へ速やかに報告します。より早急な緊急事案通報のため、発見者が状況に応じて直接「緊急事案通報窓口」に通報する報告ルートも確保しています。情報はコンプライアンス・セキュリティ本部が集約し、全体のインシデントの状況について代表取締役に報告するとともに、抽出された課題に対して対策を講じる体制を整備しています。

情報セキュリティ監視委員会

情報セキュリティ監視委員会は、データおよびシステムの運用・保守、データの使用・管理に関する適正なセキュリティ基準、使用・管理規程などの制定状況ならびにグループ会社における当該基準、規程等の遵守状況を定期的に確認し、必要な改善策を含め、お客さまの立場に立って公正な判断を下すことを任務としています。2014年10月15日に設立し、四半期に1回をめどに定期的に開催。社外有識者による確認を継続して実施しております。
なお、情報セキュリティや個人情報保護に関する第一人者である外部の学識経験者の方を委員とし、さらなる情報セキュリティ強化のための提言もいただいています。 詳細は「社外有識者の定期的な監視強化」をご参照ください。

情報セキュリティ強化の取り組み

システム強化・環境向上

お客さまが安心・信頼して個人情報を預けていただけるよう、システムの運用・監視強化、最新の情報に基づく技術的な対策などシステムセキュリティ強化の取り組みを続けています。また、社外有識者の監査・アドバイスを受け、世界最高レベルの情報セキュリティを実現してまいります。

■システムのセキュリティ対策強化

日々新しい技術が生まれ公開されるIT社会。対応するセキュリティ対策にも、終わりはありません。以下のような観点で各種施策を実施し、継続的な強化を図ります。

• システム運用におけるセキュリティ対策（異常を検知するアラート機能の強化　など）
• 不正プログラム感染防止対策（社内から外部への厳重なアクセス制限実施　など）
• 通信ネットワークの保護施策（的確なネットワーク構成の変更や外部アクセスの遮断　など）
• システムや情報へのアクセス制御（権限付与の厳格化、ID・PWの管理強化　など）

■セキュリティ環境の強化

世界最高のセキュリティレベルを実現するために、多くの強化策を実行し続けています。具体的な内容について、その一部をご紹介いたします。

1）金属探知ゲートによるチェック強化

お客さま情報のデータベースを管理している場所において、電子機器や記録媒体の持ち込み・持ち出しができないよう、出入り口で厳重にチェックしております。

2）リスクを限定したうえで管理し対処する、最適なセキュリティ対策を実施

ベネッセコーポレーションでは、お客さま情報のデータを管理している場所において、取り扱う情報や業務内容、利用可能者に合わせて、いくつかのレベルでセキュリティゾーニング（区分け）の強化を実施。それぞれに合ったセキュリティ対策を実施し、安全な環境でお客さま情報を取り扱います。具体例としていくつかご紹介いたします。

[一般執務エリアでのリスク対策]

社員・関係者以外は入室できません。限定の対象者のみが利用できるセキュリティを強化した端末で、個人情報閲覧のみ可能とし、お客さま対応をいたします。

[お客さま情報データベースの閲覧エリアでのリスク対策]

アクセス可能者の厳格な管理はもちろんのこと、特殊なネットワーク上でセキュリティ対策を実行し、操作ログ、動作は完全監視されます。

[お客さま情報データベースの操作エリアでのリスク対策]

エリアへの入室は厳格に管理されるとともに、データベースの操作はできますが、操作ログ、動作は完全監視され、データの出力は不可能としています。

お客さま情報の取り扱い

ステークホルダーの皆さまよりお預かりする個人情報に対して、利用目的を明確にし、透明性の高い個人情報の適正管理を各段階（取得・利用・活用・消去）において徹底しています。また、開示などの求めに対して、窓口を設置し、速やかに対応しています。

詳細は以下よりご覧ください。

• お客様情報の取り扱い方針・対応

より安心して、商品・サービスをご利用いただけるよう、いただいたお声をもとに、個人情報の取り扱い方針や対応の見直しを継続して行っています。

従業員の教育と啓蒙

■セキュリティデーの開催

2014年に発覚した個人情報漏えい事件を契機に、7月7日を「セキュリティデー」と定めました。ベネッセコーポレーションは毎年この時期に、情報セキュリティに関する朝礼を行い、社内の取り組み発表を行う、外部専門家の講演を行うなど、事件の教訓を忘れず、情報セキュリティ強化に取り組んでいくことを社員一同で誓う活動を行っています。

■情報セキュリティ研修

ベネッセコーポレーションでは、ベネッセで業務を行う人すべて（＝役員からアルバイトスタッフまで）に情報セキュリティ研修の受講を義務付けており、毎年、個人情報を中心とした情報セキュリティに関する守るべきルール・行動と基本的な知識の再確認に取り組んでいます。同研修は2024年度も100%の受講率でした。また、在宅勤務時においても、セキュリティ基準、運用が維持できる体制を準備し、在宅勤務開始時には再度セキュリティルールを確認する研修を実施しています。そのほか、グループのシステム管理を担う部門においては、専用プログラムによる研修も行っています。

外部認証の取得

「外部評価・受賞実績」をご参照ください。