情報セキュリティの重要性が高まる中、経営から現場までが一体となって情報セキュリティマネジメントの有効性を高め、当社グループの情報資産に対するセキュリティリスクを低減していくことが必要です。特にDigital分野はそのサイバー攻撃において、AIを用いた攻撃など益々その脅威が増しています。我々は、従前より情報セキュリティの中のDigital関連をITセキュリティとして切り分け迅速に対応する体制を整えております。また、外部からお預かりする情報を含めて各種機密情報・個人情報の適正な保護に取り組んでまいります。
当社グループは、取締役会の諮問機関であるCSR・サステナビリティ委員会(委員長は社外取締役)の監督のもと、ITセキュリティおよび機密情報・個人情報管理の領域別に推進体制を整備し、連携して情報セキュリティの強化を図っています。
ITセキュリティについては、DX戦略室担当執行役員を委員長とするITセキュリティ委員会(年2回の定例会および必要に応じて臨時会を開催)を設置し、全社的なITセキュリティの活動状況を確認して適切な対策を推進しています。2024年度はITセキュリティ委員会を2回開催し、インシデント、ITセキュリティ強化に向けた活動、ISMS活動などについて報告、議論しました。また、グローバル会議を開催し、グループ全体でセキュリティ体制の維持強化を図りました。
一方、機密情報・個人情報管理については、リスクマネジメント委員会の傘下に機密管理分科会(年1回の定例会および必要に応じて臨時会を開催)を設置し、ビジネスマネジメント室担当執行役員を分科会長として、機密情報・個人情報管理に関するリスクの低減を推進しています。2024年度は機密管理分科会を1回開催し、インシデント報告、人を通じた技術情報流出に関する注意喚起などを実施しました。
なお、各部門においては、ITセキュリティおよび機密情報・個人情報管理の領域ごとに配置された責任者と担当者が、情報セキュリティ活動をリードしています。
情報セキュリティの推進体制企業や組織を脅かす情報セキュリティ上のリスクに対し、継続的に対応していくため、情報セキュリティを優先的に取り組む経営課題に設定し、ISO27001相当の情報セキュリティマネジメントシステムの構築を進めています。
近年、業務のDX化が進展し、生成AIの活用など、留意すべきリスク領域が拡大しています。そのため、新たなリスクについても情報セキュリティマネジメントシステムの評価対象として継続的な改善を図っており、全拠点において、ITセキュリティおよびITシステムに関する監査を毎年実施し、特定した不備事項を速やかに是正しています。
なお、一部自動車メーカーの要請により、自動車業界のサプライチェーンを対象とする情報セキュリティの審査基準であるTISAX認証を取得しています。
情報セキュリティインシデントに対応するため、CSIRT(Computer Security Incident Response Team)を構築しています。
インシデント発生時は、CSIRTが速やかに事実を整理・確認し、インシデントのレベルを判断したうえで対処しています。また、再発防止策としてナレッジの蓄積・共有も実施しています。
インシデント発生後の対応はもちろん、事前の防御にも注力し、事前・事後の両面からセキュリティレベルと成熟度の向上に努めています。
情報セキュリティインシデントの防止には、従業員の情報セキュリティ意識の向上が不可欠であり、さまざまな研修や教育ツールを通じて教育・啓発を実施しています。
機密管理分科会では、制定した機密管理ルールに基づいて、全社的な機密管理実施状況の点検を毎年おこなっています。各部門による自己点検結果については、機密管理分科会事務局が点検結果の妥当性を確認し、チェック機能の強化を図っています。2024年度は、機密情報のレベルに応じた取扱いを見直すルール改訂を図り、従業員に対する教育・啓発活動を通じて情報管理の徹底を推進しました。
また、社内で取り扱う機密情報だけでなく、モバイルパソコンやクラウドサービスの利用手順など、社外に持ち出す機密情報の漏えい防止のためのルールを定め、その遵守状況を確認しています。
欧州一般データ保護規則(GDPR)、日本の個人情報保護法など、世界的に個人情報の保護強化が進んでいることから、当社グループにおいても、各社が規程を設けて、お客さまや従業員などの個人情報の保護、管理、取り扱いを徹底しています。
なお、個人情報の取り扱いについての方針(プライバシーポリシー)は、下記にてお知らせしています。