情報セキュリティの重要性が高まる中、経営から現場までが一体となって情報セキュリティマネジメントの有効性を高め、当社グループの情報資産に対するセキュリティリスクを低減していくことが必要です。特にDigital分野はそのサイバー攻撃において、AIを用いた攻撃など益々その脅威が増しています。我々は、従前より情報セキュリティの中のDigital関連をITセキュリティとして切り分け迅速に対応する体制を整えております。また、外部からお預かりする情報を含めて各種機密情報・個人情報の適正な保護に取り組んでまいります。
当社グループは、取締役会の諮問機関であるCSR・サステナビリティ委員会(委員長は社外取締役)の監督のもと、ITセキュリティおよび機密情報・個人情報管理の領域別に推進体制を整備し、双方で連携して情報セキュリティの強化を図っています。
ITセキュリティについては、ITセキュリティ委員会(年2回の定例会および必要に応じて臨時会を開催)を設置し、DX戦略室担当執行役員を委員長、統括管理部門長、および本社機構・各カンパニーの企画部門などの主な部門の責任者を委員として、全社的なITセキュリティの活動状況を確認して適切な対策を推進しています。2023年度は2回開催し、インシデント、ITセキュリティ強化に向けた活動、ISMS活動などについて報告、議論しました。
機密情報・個人情報管理については、リスクマネジメント委員会の傘下に機密管理分科会(年1回の定例会および必要に応じて臨時会を開催)を設置し、ビジネスマネジメント室担当執行役員を分科会長、各部門の責任者を委員として、機密情報・個人情報管理に関するリスクの低減を推進しています。2023年度は機密管理分科会を1回開催し、インシデント報告、注意喚起などを実施しました。なお、各部門においては、ITセキュリティおよび機密情報・個人情報管理の領域ごとに配置された責任者と担当者が、情報セキュリティ活動をリードしています。
情報セキュリティの推進体制企業や組織を脅かす情報セキュリティ上のリスクに対し、継続的に対応していくため、情報セキュリティを優先的に取り組む課題に設定し、ISO27001相当の情報セキュリティマネジメントシステムの構築を進めています。2023年度は、ITセキュリティおよびITシステムに関する監査をすべての拠点で実施し、不備事項を特定して是正をおこないました。今後も毎年実施し、セキュリティレベルの向上を図っていきます。
なお、一部自動車メーカーの要請により、自動車業界のサプライチェーンを対象とする情報セキュリティの審査基準であるTISAX認証を取得しています。
情報セキュリティインシデントに対応するための組織CSIRT(Computer Security Incident Response Team)を構築しています。
インシデント発生時には、CSIRTにて速やかに事実を整理・確認し、インシデントのレベルを判断したうえで対処しています。また、再発防止策としてナレッジの蓄積・共有なども実施しています。
インシデント発生後の対応はもちろんのこと、事前の防御にも努めており、事前・事後の両輪で、レベルや成熟度の向上を図っています。
2021年度は、世界でのサイバー攻撃による被害増加を受けて、当社およびグループ会社で使用しているサーバの総点検を実施し、セキュリティに懸念があるサーバを洗い出して対策を行いました。
情報セキュリティインシデントの防止には、従業員の情報セキュリティ意識の向上が不可欠であり、様々な研修や教育ツールを通じて教育・啓発を実施しています。
機密管理分科会では、制定した機密管理ルールに基づいて、全社的な機密管理実施状況の点検を毎年おこなっています。各部門による自己点検結果については、機密管理分科会事務局が点検結果の妥当性を確認し、チェック機能の強化を図っています。
また、社内で取り扱う機密情報だけでなく、モバイルパソコンやクラウドサービスの利用手順など、社外に持ち出す機密情報の漏えい防止のためのルールを定め、その遵守状況を確認しています。
欧州一般データ保護規則(GDPR)をはじめとして世界的に個人情報の保護強化が進んでおり、当社グループにおいても各々社内規程を設けて、お客様や従業員などの個人情報の保護、管理、取り扱いを徹底しています。
また、2022年4月から施行された改正個人情報保護法への対応として、事前に取り扱う個人情報の種類、数を基に取り扱うリスクを評価し、リスクを低減するための対策を図っています。
なお、個人情報の取り扱いについての方針(プライバシーポリシー)は、下記にてお知らせしています。