Governance ガバナンス

情報セキュリティ

情報セキュリティ>情報セキュリティ方針

基本的な考え方

情報セキュリティの重要性が高まる中、経営から現場までが一体となって情報セキュリティマネジメントの有効性を高め、当社グループの情報資産に対するセキュリティリスクを低減していくことが必要です。そのため、外部からお預かりする情報を含めて各種機密情報・個人情報の適正な保護に取り組むとともに、増加するサイバー攻撃に対応するためのITセキュリティ強化にも取り組んでいきます。

推進体制

ITセキュリティおよび機密情報・個人情報管理の領域別に推進体制を整備し、双方で連携して情報セキュリティの強化を図っています。
ITセキュリティについては、ITセキュリティ委員会(年2回以上開催)を設置し、最高情報セキュリティ責任者(DX戦略室担当執行役員)を委員長、情報システム部門長、統括管理部門長、および本社機構・各カンパニーの企画部門などの主な部門の責任者を委員として、全社的なITセキュリティの活動状況を確認して適切な対策を推進しています。
機密情報・個人情報管理については、リスクマネジメント委員会の傘下に機密管理分科会(年1回以上開催)を設置し、ビジネスマネジメント室担当執行役員を分科会長、各部門の責任者を委員として、機密情報・個人情報管理に関するリスクの低減を推進しています。
また、ITセキュリティおよび機密情報・個人情報管理の領域毎に配置された各部門の部門責任者および部門担当者が、情報セキュリティ活動をリードしています。

情報セキュリティの推進体制

機密管理の分野においては、機密情報管理や個人情報保護に関するリスクを捉えて低減する推進組織として、リスクマネジメント委員会の傘下に機密管理分科会を設けています。

情報セキュリティマネジメントシステム

企業や組織を脅かす情報セキュリティ上のリスクに対し、継続的に対応していくため、情報セキュリティを優先的に取り組む課題に設定し、情報セキュリティマネジメントシステムの構築を進めています。
その一つとして、当社は2020年に、ドイツの自動車業界のサプライチェーンを対象とする情報セキュリティの審査基準であるTISAX(Trusted Information Security Assessment Exchange)の認証を取得しました。2021年度には米国、中国のグループ会社でもTISAX認証の取得を完了しています。

情報セキュリティインシデントへの対応

情報セキュリティインシデントに対応するための組織CSIRT(Computer Security Incident Response Team)を構築しています。
インシデント発生時には、CSIRTにて速やかに事実を整理・確認し、インシデントのレベルを判断したうえで対処しています。また、再発防止策としてナレッジの蓄積・共有なども実施しています。

インシデント発生後の対応はもちろんのこと、事前の防御にも努めており、事前・事後の両輪で、レベルや成熟度の向上を図っています。
2021年度は、世界でのサイバー攻撃による被害増加を受けて、当社およびグループ会社で使用しているサーバの総点検を実施し、セキュリティに懸念があるサーバを洗い出して対策を行いました。
また、CSIRTは、『CSIRT通信』を毎月発行し、従業員に情報セキュリティに関する最新情報の周知や注意喚起を行っています。緊急度の高い注意喚起が必要になった際は、具体的な注意事項を記載した速報版を発行するなど、インシデントの未然防止に取り組んでいます。

機密管理

機密管理分科会では、制定した機密管理ルールに基づいて、全社的な機密管理実施状況の点検を毎年おこなっています。各部門による自己点検結果については、機密管理分科会事務局が点検結果の妥当性を確認し、チェック機能の強化を図っています。
また、社内で取り扱う機密情報だけでなく、モバイルパソコンやクラウドサービスの利用手順など、社外に持ち出す機密情報の漏えい防止のためのルールを定め、その遵守状況を確認しています。

個人情報の保護

欧州一般データ保護規則(GDPR)をはじめとして世界的に個人情報の保護強化が進んでおり、当社グループにおいても各々社内規程を設けて、お客様や従業員などの個人情報の保護、管理、取り扱いを徹底しています。
また、2022年4月から施行された改正個人情報保護法への対応として、事前に取り扱う個人情報の種類、数を基に取り扱うリスクを評価し、リスクを低減するための対策を図っています。
なお、個人情報の取り扱いについての方針(プライバシーポリシー)は、下記にてお知らせしています。

日本特殊陶業株式会社