情報セキュリティとプライバシーの保護
1.課題認識・取組姿勢
当社グループでは、事業の高度化・グローバル化およびDXの進展に伴い、個人情報・技術情報・業務情報などの情報資産が急速に拡大しています。一方で、サイバー攻撃の高度化、サプライチェーンリスク、内部不正、端末紛失事故、さらには生産設備等を含むOT領域への脅威が顕在化しています。
当社は、これらの情報資産を重要な経営資産と位置づけ、情報セキュリティおよびプライバシー保護を経営リスクマネジメントの重要課題として認識しています。
法令・社内規程の遵守はもとより、経営層の関与のもと、予防・検知・対応・改善のプロセスを通じて、グループ全体の情報セキュリティ水準の維持・向上に継続的に取り組みます。
2.施策・取り組み
国際的なフレームワークであるNIST Cybersecurity Frameworkを参照し、ガバナンスの強化と継続的な改善を目的として、以下の施策を体系的に推進しています。
(1)ガバナンス・管理体制
- 情報セキュリティ管理規程、情報セキュリティ部会の方針に基づく全社的な統制
- コンプライアンス・リスク管理委員会を通じた経営層への定期的な報告
- 個人情報保護規程に基づく管理体制の整備
(2)技術的・運用的対策
- マルウェア対策、不正アクセス対策、ログ管理・監視、多要素認証等の実施
- 情報端末・外部記憶媒体の貸与・管理・返却ルールの徹底
- 重要システムに対するリスク評価および事業継続を考慮した運用管理
(3)インシデント対応
- 情報セキュリティ事故発生時の報告・エスカレーションおよび対応手順の明確化
- CSIRT等の対応体制に基づく迅速な初動対応および被害状況の把握と影響範囲の限定
- 原因分析を踏まえた是正措置および再発防止策の策定・実行
- 定期的なインシデント対応訓練および対応手順の継続的な見直し
(4)教育・啓発
- 全従業員を対象とした情報セキュリティ教育の定期的な実施
- 標的型メール攻撃等を想定した訓練および注意喚起の継続的実施
- 実際のインシデント事例や社会的事案を踏まえた継続的な啓発活動