情報セキュリティ

  • 情報セキュリティへの取り組み
  • 情報セキュリティマネジメントシステム推進体制
  • ISO27001認証取得
  • プライバシーマーク取得
  • 適用範囲とPDCA
  • セキュリティ教育の実施

情報セキュリティへの取り組み

アスクルでは、「アスクル情報セキュリティ方針・個人情報保護方針」を定め、情報およびITを幅広く活用して、最も効率的で、最も情報セキュリティならびに個人情報に配慮した、皆様に安心してご利用いただける流通プラットフォームの実現を目指すことを宣言しています。合わせて、情報に関するリスクマネジメントを重要な経営戦略の1つと捉え、情報漏洩や不正アクセスなどの広範囲にわたる脅威から情報資産を保護し、事業継続を確実にするため、事業活動の全領域において、情報セキュリティの確保および個人情報の保護に取り組んでいます。また、「お客様のために進化するアスクル」という企業理念の下、クラウドの導入や新たな情報機器の利用等による情報システムを取り巻く環境の変化にも柔軟・迅速に対応し、継続的改善を推進しています。

情報セキュリティマネジメントシステム推進体制

アスクルでは、情報セキュリティの確保および個人情報の保護に取り組み、継続的改善を目指し、情報セキュリティマネジメントシステム(ISMS)の推進体制を右の図のように定めています。情報セキュリティ責任者(CSO)は、アスクル全体の情報セキュリティ施策の計画立案および実行に関する責任と権限を持ち、各部門における情報セキュリティの取り組みは、各部門において、セキュリティ・オフィサーの責任のもとISMS業務責任者および業務担当者が中心となり実施しています。情報セキュリティ事務局では、社内に対する情報セキュリティマネジメントシステムの推進および個人情報保護規程などの規程類の整備等を行っており、お客様などからの苦情、情報漏洩や個人情報に関する問題が発生した場合には、被害を最小限に止めるため、関係部門が連携し、迅速な対応をとる体制を構築しています。

  • ISMS業務責任者/ISMS業務担当者会議風景
    ISMS業務責任者/ISMS業務担当者会議風景

ISMS推進体制図

※ISMSは情報セキュリティマネジメントシステムの略です。 ISMS責任者会議は、COO(最高執行責任者)、各部門のセキュリティ・オフィサー、ISMS業務責任者および業務担当者メンバーで構成されています。この会議は四半期毎に実施しISMS、PMSの活動について共有しています。

【情報セキュリティ施策の例】
アスクルでは、セキュリティレベルの維持・管理を目的として、業務パソコンの操作状況、社内ネットワークの利用状況、社内の各サーバーへのアクセス状況を24時間リアルタイムで監視をしています。また、業務パソコンに対しては、業務に関係のないサイト閲覧や利用の制限、機密情報の社外持ち出しの抑止などを目的に、外部記憶媒体への書出し制御強化、各情報システムへのアクセス権見直し等セキュリティの対応を継続しています。増加している標的型メールへの仕組み導入・運用、および、個人情報の抽出経路最小限化等の入口・出口対策強化にも取り組んでいます。 

ISO27001認証取得

アスクルでは、2005年4月に情報マネジメントシステムおよび情報セキュリティ管理体制を構築し、情報マネジメントシステムの国際規格である「ISO27001」の認証を取得し、情報セキュリティの確立、導入、運用、監視、見直し、維持および継続的改善を行い、より高いレベルの情報セキュリティを目指しています。このマネジメントシステムの運用として組織に内在する様々な情報資産とリスクを洗い出すとともに、その影響度を分析・評価し、有効な対策を構築しています。アスクルでは、この一連の取り組みをISO/IEC 27001:2013/JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)およびJIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)を順守し、実施しています。 

■情報セキュリティマネジメントシステム(ISO/IEC 27001:2013/JIS Q27001:2014)

登録事業者名:
アスクル株式会社
登録日(更新日):
2005年4月28日(2014年4月28日)
有効期限:
2017年4月27日
登録番号:
JQA-IM0243
審査登録機関:
一般財団法人 日本品質保証機構
登録活動範囲:
カタログ及びインターネットによる下記商品の販売及びサービスの提供
  1. 事務用品、OA-PC用品、生活用品、家具・インテリア用品の販売
  2. 食品・飲料、酒類、健康食品、日用雑貨品、化粧品、衣類・装飾品、育児・介護用品、電化製品、工具・理化学用品の販売
  3. 家具販売に伴うオフィスプランニングサービス、家具組立・設置サービス
  4. スタンプ及び名刺・名入れ封筒(印刷物)
  5. 電気工事・建設工事用資材、包装梱包資材の販売
  6. 医療・介護施設向け一般医療用消耗品の販売
  7. 一般用医薬品、医療機関向け医療材料(一般医療機器〔クラスⅠ〕・管理医療機器〔クラスⅡ〕等)、消毒液等医薬品の販売
    • ・上記商品及びサービスの提供に伴うコールセンターサービス
    • ・間接材一括電子購買に係わるシステム及びサービスの提供
    • ・物流倉庫内運営業務及び小口配送業務の運営・運営企画・管理本部業務

プライバシーマーク取得

アスクルでは、2006年2月には、個人情報保護マネジメントシステム(PMS)および社内体制を構築し、個人情報保護に取り組む企業を示すプライバシーマークを取得し、個人情報保護の取組みについて継続的改善を行っています。
お客様に安心してアスクルのサービスをご利用いただけるよう、個人情報に関する法令の順守と個人情報保護の徹底を図っています。また、すべての従業員に個人情報保護法に関する教育研修を行い、個人情報保護に万全を期しています。

■プライバシーマーク(JIS Q15001)
登録日:2006年2月7日
認定番号:第 10540021 (06)

プライバシーマーク
プライバシーマーク

適用範囲とPDCA

情報セキュリティおよび個人情報保護マネジメントシステムの適用範囲
アスクルが確立し維持・運用する情報セキュリティおよび個人情報保護マネジメントシステムは、当社組織の活動、取り扱う商品およびサービスに関連する全ての重要な情報資産に適用します。ISMS適用範囲(図1)は以下のとおりです。

図1 ISMS適用範囲
ISMS適用範囲

※お客様に安心してアスクルのサービスをご利用いただくためにエージェント、サプライヤー、パートナーに対し規約の見直しや守秘義務契約書の締結を働きかけ、ISMSの教育や監査などを実施しています。また、プライバシーマークやISMS認証の取得を推奨しています。

PDCAの年間サイクル(Plan⇒Do⇒Check⇒Act)
アスクルは、業務や情報システムに内在する様々なリスクを分析・評価し、有効な対策を講じることで紛失や破壊などによる物理的、人的な直接的被害や業務停止、機会損失、社会的信用の失墜等による損失の発生の可能性を最小限にとどめるために、以下のマネジメントシステムを一過性のものにすることなく、年間サイクルで継続的に繰り返し実行しています。

セキュリティ教育の実施

アスクルでは、パートナー会社の社員の方々や派遣社員の方々も含めて、社内で働くすべての方を対象として、役割や業務内容に応じたISMS/PMS教育を行っています。2010年5月期からは社員向けの一般教育にe-ラーニングを本格的に導入し、セキュリティ教育の質の向上と効率化を進めました。
また、社員を対象として、月に1回メールでセキュリティに関するニュースを発信し、ISMS/PMSルールの浸透に継続的に取組んでいます。


入社時教育 新入(中途入社)社員向けの「新入社員教育」、スタッフ向けの「新規入館者向けパートナー教育」により、ISMSやPMSに関する基礎知識やアスクルでの情報取り扱いルールやインシデント発生時の対応について、ケーススタディをまじえた教育研修を実施しています。
定期教育 アスクルで働く全構成員を対象とし、年1回ISMS/PMSの教育を実施しています。スタッフ向けの集合教育と社員向けのe-ラーニングを行っています。
専門教育 ISMS/PMSの業務責任者、業務担当者向けにISO27001、JISQ15001の規格書を使用し、規格の考え方、PDCAの実践方法などを中心にした教育を随時実施しています。
  • 漫画による解説
    漫画による解説
  • 漫画裏面の解説
    漫画裏面の解説
  • e-ラーニング画面
    e-ラーニング画面
  • セキュリティに関するニュースレターの配信
    セキュリティに関する
    ニュースレターの配信

ガバナンス体制