Governance ガバナンス

情報セキュリティ

情報セキュリティへの取り組み

情報セキュリティへの取り組み

アスクルでは、「アスクル情報セキュリティ方針・個人情報保護方針」を定め、情報およびITを幅広く活用して、最も効率的で、最も情報セキュリティならびに個人情報に配慮した、皆様に安心してご利用いただける流通プラットフォームの実現を目指すことを宣言しています。併せて、情報セキュリティに関するリスクマネジメントを重要な経営戦略の1つと捉え、情報漏洩や不正アクセスなどの広範囲にわたる脅威から情報資産を保護し、事業継続を確実にするため、事業活動の全領域において、情報セキュリティの確保および個人情報の保護、特定個人情報(マイナンバー等)の取り扱いに関する安全管理措置や個人情報保護法への対応等に取り組んでいます。

アスクル株式会社 CSR推進部

情報セキュリティマネジメントシステム推進体制

情報セキュリティマネジメントシステム推進体制

アスクルでは、情報セキュリティの確保および個人情報の保護に取り組み、継続的改善を目指し、情報セキュリティマネジメントシステム(ISMS)の推進体制を右の図のように定めています。情報セキュリティ責任者(CSO)は、アスクル全体の情報セキュリティ施策の計画立案および実行に関する責任と権限を持ち、各部門における情報セキュリティの取り組みは、各部門において、セキュリティ・オフィサーの責任のもとISMS業務責任者および業務担当者が中心となり実施しています。ISMS事務局では、社内に対する情報セキュリティマネジメントシステムの推進および個人情報保護規程などの規程類の整備等を行っており、お客様などからのお問い合せ、情報漏洩や個人情報に関する問題が発生した場合には、被害を最小限に止めるため、関係部門が連携し、迅速な対応をとる体制を構築しています。また、アスクルのグループ会社についても、情報セキュリティのマネジメントシステム推進体制を構築して、情報セキュリティに取り組んでいます。

ISMS推進体制図

※ISMSは情報セキュリティマネジメントシステムの略です。 ISMS責任者会議は、各部門のセキュリティ・オフィサー、ISMS業務責任者および業務担当者メンバーで構成されています。この会議は四半期毎に実施しISMS、個人情報保護に関する活動について共有しています。

【情報セキュリティ施策の例】

アスクルでは、情報漏洩やサイバー攻撃からお客さまの情報を守るために徹底した管理とセキュリティの監視を行っています。

予防・検出・対応として、業務パソコンの操作状況、社内ネットワークの利用状況・各サーバーへのアクセス状況の24時間監視を継続しています。
さらに、業務パソコンからの業務と関係のないWebサイトの閲覧規制、機密情報の社外持出し抑止のため、外部記憶媒体への書出し制御、各情報システムへのアクセス権見直し等の取り組みを続けております。

巧妙化するサイバー攻撃に対し、侵害への対策、万が一セキュリティ侵害を受けた場合の検知・隔離、脅威・影響範囲の排除までを可視化・解析することにに加え、意識向上のための教育に取組んでいます。

クラウドサービスの利用や働き方の多様化などを踏まえてゼロトラスト・セキュリティの導入を推進しています。

情報セキュリティ施策のイメージ

アスクル株式会社 CSR推進部

ISO27001認証取得

ISO27001認証取得

アスクルでは、2005年4月に情報マネジメントシステムおよび情報セキュリティ管理体制を構築し、情報マネジメントシステムの国際規格である「ISO27001」の認証を取得し、情報セキュリティの確立、導入、運用、監視、見直し、維持および継続的改善を行い、より高いレベルの情報セキュリティを目指しています。このマネジメントシステムの運用として組織に内在する様々な情報資産とリスクを洗い出すとともに、その影響度を分析・評価し、有効な対策を構築しています。アスクルでは、この一連の取り組みをISO/IEC 27001:2013/JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に準拠し、実施しています。

■情報セキュリティマネジメントシステム(ISO/IEC 27001:2013/JIS Q27001:2014)

登録事業者名:
アスクル株式会社
登録日(更新日):
2005年4月28日(2023年4月28日)
有効期限:
2026年4月27日
登録番号:
JQA-IM0243
審査登録機関:
一般財団法人 日本品質保証機構
登録活動範囲:
  • カタログ及びインターネットによる下記商品の販売及びサービスの提供
  1. 事務用品、OAPC用品、生活用品、家具・インテリア用品の販売
  2. 食品・飲料、酒類、健康食品、日用雑貨品、化粧品、衣類・装飾品、育児・介護用品、電化製品、工具・理化学用品の販売
  3. 家具販売に伴うオフィスプランニングサービス、家具組立・組立設置サービス
  4. スタンプ及び名刺・名入れ封筒(印刷物)
  5. 電気工事・建設工事用資材、包装梱包資材の販売
  6. 医療・介護施設向け一般医療用消耗品の販売
  7. 一般用医薬品、医療機関向け医療材料(一般医療機器[クラスⅠ]・管理医療機器[クラスⅡ]等)、消毒液等医薬品の販売
  8. 清涼飲料水、ミネラルウォーターの製造及び販売
  • 上記商品及びサービスの提供に伴うコールセンターサービス
  • 間接材一括電子購買に係わるシステム及びサービスの提供
  • 物流倉庫内運営業務及び小口配送業務の運営・運営企画・管理本部業務
  • SaaS商品の取次サービス及びITサポートサービス
アスクル株式会社 CSR推進部

適用範囲とPDCA

適用範囲とPDCA

情報セキュリティの適用範囲
アスクルが確立し維持・運用する情報セキュリティは、当社組織の活動、取り扱う商品およびサービスに関連する全ての重要な情報資産に適用します。ISMS適用範囲(図1)は以下のとおりです。

図1 ISMS適用範囲
マネジメントシステムの適用範囲

※お客様に安心してアスクルのサービスをご利用いただくためにエージェント、サプライヤー、パートナーに対し規約の見直しや守秘義務契約書の締結を働きかけ、ISMSの教育や定期的なセキュリティ調査などを実施しています。また、ISMS認証の取得を推奨しています。

セキュリティ教育の実施
PDCAの年間サイクル(Plan⇒Do⇒Check⇒Act)
アスクルは、業務や情報システムに内在する様々なリスクを分析・評価し、有効な対策を講じることで情報資産の紛失や破壊などによる業務停止、機会損失、社会的信用の失墜等による損失の発生の可能性を最小限にとどめるため、継続的に改善活動を実施しています。
アスクル株式会社 CSR推進部

セキュリティ教育の実施

セキュリティ教育・従業員への啓発の実施

アスクルでは、業務委託先等パートナー会社の社員や派遣社員も含めて、社内で働くすべての方を対象として、役割や業務内容に応じたISMS/個人情報保護に関する教育を行っています。また、年に1度e-ラーニングにてセキュリティ教育を実施し、情報セキュリティや個人情報保護についての知識の維持、向上に努めています。
また、社員を対象として、定期的にセキュリティに関するニュースレターの配信や動画での啓発を実施し、ISMS/個人情報保護に関するルールの浸透に継続的に取り組んでいます。

入社時教育 新入(中途入社)社員向けの「新入社員教育」、スタッフ向けの「新規入館者向けパートナー教育」により、ISMSや個人情報保護に関する基礎知識やアスクルでの情報取り扱いルールやインシデント発生時の対応について、教育研修を実施しています。
定期教育 アスクルで働く全構成員を対象とし、年1回社員向け、スタッフ向けのISMS/個人情報保護に関する教育をe-ラーニングにて実施しています。
専門教育 ISMS/個人情報保護の業務責任者および業務担当者向けに、PDCAの実践方法などを中心にした教育を随時実施しています。
  • e-ラーニング画面
    e-ラーニング画面
  • セキュリティに関するニュースレターの配信
    セキュリティに関する
    ニュースレターの配信
アスクル株式会社 CSR推進部

情報セキュリティ