Security ControlITにおける情報セキュリティ管理
考え方・方針
当社及び当社グループ会社では、均等かつ包括的な「グループ情報システムポリシー」を定めています。 本ポリシーのもとに情報システムを適正に取り扱い、セキュリティを確保することにより、事業の継続性と、情報資産だけでなく顧客企業や応募者及び社員等ステークホルダーの情報を守ることを目的にしています。
体制
当社グループでは、情報システムの管理や全体最適を目指したデジタルトランスフォーメーション(DX)を推進する組織を設置し、DXの推進とともに、ITにおける全社セキュリティの対策を行います。
情報システム管理の体制として、専任の情報システム担当執行役員の下にIT基盤統括部を設置しています。 IT基盤統括部はグループ内の各社にて任命された情報システム責任者を通じて、各社の情報セキュリティ管理の施策を統制しています。
また、ITセキュリティのモニタリング、施策の承認や進捗、重要事項等は、業務執行の重要決定機関である経営会議と取締役会に報告・上程され、ITにおけるセキュリティに関するコントロールをグループ全体に適用しています。
情報システム管理体制の概要
グループ情報システムポリシー
当社グループでは、「グループ情報システムポリシー」を制定し、以下の6項目の多方面の統制でデータセキュリティを確保する取り組みを実施しています。
| 遵守 | 情報システムを適切に管理し、秩序維持に努めるため、遵守義務と罰則、例外・逸脱の把握、ポリシー改正について規定。 |
|---|---|
| 開発・変更 | 新規システム開発・変更の計画~テストの各工程について、職務権限規程に従い決裁を得る体制構築を行う旨を規定。 |
| 運用 | 各社の情報システム責任者を通じて情報システムの安定稼働の維持・管理を行う体制を構築する旨を規定。 |
| セキュリティ | 不正アクセス・破壊・情報漏洩・改ざん等を未然に防止するため必要な対策として事故発生時の対応・復旧体制の整備、早期回復に向けた計画の策定、また情報セキュリティに関する教育を実施する旨を規定。 また、グループ各社における、国内外の各種セキュリティガイドラインの遵守状況を定期的にチェックしています。加えて、公開Webサイトにおいては、自動診断システムよる評価を実施し、新たに発見された脅威に対して、優先度に応じた対応を実施しています。 |
| IT監査 | 内部監査部門は、ポリシーの運用が適正に実行されているか、調査・監査することができ、情報システム利用者は、これに応ずる旨規定。 |
| 管理 | (1)入社・異動・退職等、(2)協働者の就業開始・終了等、(3)外部委託 のそれぞれにつき管理方針を規定。 |
教育や訓練
機密情報管理に関する教育・研修を、全ての役員及び従業員に対して継続的に実施しています。またサイバーアタックに対する対応として、標的型攻撃メールへの訓練と評価等を導入し、セキュリティの情勢を踏まえた対応を行っています(2024年6月期においては2回実施)。
サービスにおけるセキュリティ
プライバシーを強化し安心できる人材派遣サービスを提供するために、社内ネットワーク、人材派遣や給与システム、求職者がアクセスするウェブサイトなどに対して、常に運用状態を監視し、必要なITセキュリティ技術を検討し、計画的に導入を行います。また、クラウドサービスのセキュリティ評価と利用方法の統制等を行っています。
ITセキュリティ技術での対応では、多要素認証とシングルサインオンでのシステムアクセス、ゼロトラストネットワークアクセスの構築、パソコン等のセキュリティにかかるパッチの集中管理と監視を行っています。
また、日本のプライバシーマークの取得を通じて、情報管理、物理セキュリティ及び社員のリテラシー向上なども寄与し、ITセキュリティを多面的に強化することに取り組んでいます。
監査等の実施
内部監査部門による業務監査内に加え、内部統制におけるIT統制の監査の中で、ITセキュリティに関する統制の整備状況と運用状況を網羅的にカバーしています。 採用した監査手続きの概略は、情報システムに関する統制環境の把握、リスク評価、リスク対応手続をとっています(システム概略図、組織、方針、業務の電子化、ITインフラ、ネットワーク、アプリケーション、電子商取引、システム変更、安定度といった各項目について手続きを実施)。
なお、監査等で明らかになる懸案事項等があれば、取締役会および監査等委員会に報告されています。
実績:ITGC(Information Technology General Control)
実施者 社内監査:内部監査部 第三者監査:会計監査人(EY新日本有限責任監査法人)
2024年6月期(毎年実施) 日本の内部統制報告(J-SOX)の適用会社5社中5社に実施(100%)
結果 ITGCに指摘事項なし