1. ホーム
  2. プライバシーセンター
  3. プライバシー保護の体制・取り組み
  4. セキュリティ

セキュリティ

このページでは、パーソルグループが、皆さまのパーソナルデータを適切に取り扱うために実施しているセキュリティ対策についてご説明します。

情報セキュリティマネジメント体制

パーソルグループでは、パーソナルデータの取り扱いにおけるセキュリティ強化のために、パーソルホールディングスにグループ情報セキュリティ統括部門を設置し、グループ全体のセキュリティ推進を行っています。また、グループの方針に基づき、各SBUおよびFUの中核会社に設置された情報セキュリティ統括部門が各SBUおよびFUのセキュリティ推進を行っています。さらには、グループならびに各SBUおよびFUの方針に基づき、各社の情報セキュリティマネジメント体制を構築し、グループを横断した体制を整備しています。
また、グループ共通のセキュリティ規程に基づいて、グループ各社がパーソナルデータの取り扱いにおける各部署および従業員の責任・役割等の規定や、セキュリティ推進をする部門だけでなく点検をする部門も配置することで、パーソルグループ全体でセキュリティを遵守できるようにしています。
※SBU=Strategic Business Unit、FU=Function Unit

情報セキュリティマネジメント体制

パーソナルデータを保護するための対策

パーソルグループでは、皆さまからお預かりしているパーソナルデータを保護するために、外部からのサイバー攻撃や内部からの不正持ち出しに対して、様々な対策を実施しています。

ルールの整備・運用、取り扱い状況の定期的な確認

パーソナルデータの漏えいや意図せぬ利用を防ぐために、取り扱いルールを整備し、取り扱い状況を適切に管理しています。適切な管理のために、パーソナルデータを保有する業務システムのログの取得や、管理状況を把握する台帳の作成を行っています。また、取り扱い状況は定期的に確認し、ルールにそぐわない状況を発見した場合は見直しおよび改善を実施しています。なお、第三者認証取得個社は定期的に外部の監査も受審、主要な個社については、外部機関によるセキュリティ評価も実施し、結果に基づく運用の見直しや改善を実施しています。

ルールの整備・運用、取り扱い状況の定期的な確認

不正アクセスへの対策

皆さまからお預かりしている大切なパーソナルデータの漏えいが発生しないよう、不正アクセスへの対策を講じています。

サイバー攻撃やマルウェアの侵入等への対策

サイバー攻撃やマルウェアの侵入等に対応するために外部からの不正アクセスを防止するシステムを導入し、監視を実施しています。
また、定期的に外部公開サイトの脆弱性診断を実施し、脆弱性を発見した場合は改善対応を行っています。

不正持ち出し等への対策

不正持ち出し等への対策として主に「入退室管理」「システムにおけるアクセス管理」「外部記録媒体の管理」「監視(モニタリング)」を実施しています。

・入退室管理
許可された者以外が社内に不正に侵入できないよう入退室管理を実施しています。

・システムにおけるアクセス管理
従業員がパーソナルデータを保有する業務システムにアクセスする場合は、正当なアクセス権を所持する従業員のみがアクセスできるよう識別および認証を行います。

・外部記憶媒体の管理
パーソナルデータを電子媒体に記録し、社外へ持ち出す際は、所定のプロセスを経た承認および電子媒体の暗号化を必須としています。
また、パーソナルデータを保有する業務システムや電子媒体を廃棄する際は、パーソナルデータが復元できない方法で安全に廃棄しています。

・監視(モニタリング)
業務システムでの作業や社外への通信は監視しており、パーソナルデータの不正持ち出しを抑止しています。

不正持ち出し等への対策

セキュリティインシデント発生時の対応方針

パーソルグループでは、セキュリティインシデント(※)が発生した場合、CSIRT(シーサート)(※)を立ち上げ、セキュリティインシデントの早期収束を目指すとともに、再発防止策を講じています。セキュリティインシデントの発生時は、当該インシデントの発生部署からグループ各社の情報セキュリティ部門に速やかに報告され、当該インシデントの種類や影響の程度に応じてパーソルホールディングスのグループ情報セキュリティ統括部門にも報告されます。グループ情報セキュリティ統括部門は、経営陣と連携してパーソルグループ全体で適切な対応を行えるよう、必要な体制を整備しています。

また、パーソルホールディングスの代表取締役社長が特に重大な危機と判断した場合、パーソルホールディングスに緊急対策本部を設置し、グループを横断して対応するとともに、お客さま、関係省庁その他関係者に対して適切な報告および情報提供を行います。

なお、個人情報漏えい等のパーソナルデータに関係するインシデントが発生した際には、パーソルホールディングスのプライバシー保護最高責任者が事故の最終的な対応責任者として事故対応や対外的な説明について判断を行います。

※セキュリティインシデント:マルウェアの感染や不正アクセス、機密情報の流出等

※CSIRT(Computer Security Incident Response Team):セキュリティ上の問題として捉えられる事象であるインシデントが発生した際に対応するチーム

セキュリティインシデント発生時の対応方針

また、パーソルグループでは標的型攻撃やマルウェアをはじめとする情報セキュリティに関する新たな脅威に対応するため、常に外部の最新情報を入手し連携すべく、以下の団体に加盟し、継続的な技術動向の把握に取り組んでいます。

加盟団体名加盟団体の説明
日本シーサート協議会CSIRT(シーサート)間の緊密な連携を図り、CSIRTにおける課題解決に貢献するための組織です。パーソルグループは2016年4月に加盟登録しました。
JPCERT/CCインターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデントについて、日本国内に関するインシデント等の報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっている組織です。