情報セキュリティ
基本的な考え方
情報システムは、事業活動のあらゆる側面において、重要な役割を担っています。
サイバー攻撃、不正アクセス、情報漏えい等で社内外から発生するリスクには、情報資産をあらゆる脅威から保護することが、経営の重要な課題と考えています。カネカグループでは、すべての役員・社員一人ひとりが情報管理の重要性と責任を持ち、適切な管理に取り組んでいます。
方針
カネカグループでは、「情報管理基本方針」「情報管理規程」を定め、国内外にわたる情報資産保護に向けた取り組みを強化しています。
情報管理基本方針
-
法令・ルールの遵守
社会や顧客からの信頼こそ、グループとして第一に守るべきものである。
法令、社会的規範、社内規程・手続等の遵守は、業務に携わる者全員の基本原則である。 -
機密情報の保護
製造・研究・販売等に関する機密情報は、グループの競争力の源泉である。
業務に携わる者は全員このことを十分認識し、これらの情報の外部流出や不正な目的による使用を防止する。特に個人情報や関係先から機密扱いで預託を受けた情報など、厳格な取扱いが必要な情報については、各社の情報管理責任者が情報を特定し厳重に管理する。 -
制度・仕組みの整備
情報を有効に活用し業務運営の効率化を図ることは、グループの事業の継続と拡大に不可欠な要素である。
安全に情報を活用するために、情報セキュリティに関するルールの整備や情報システム面での対応を進めるとともに、情報の管理責任の所在を明確にし、適正な情報管理に努める。 -
教育・啓発の実施
グループ経営の強化や外部資源活用の進展に伴い、さまざまな倫理観・価値観を持った人達が業務に関与している。
これらのメンバーとの協働がより円滑に行えるよう、情報セキュリティに係るリスクの認識を啓発し、倫理面も含めた教育活動の強化とその継続に努める。
推進体制
カネカグループでは、経営層によるリスク管理体制を構築し、取締役担当役員であるグループ情報管理責任者のもと、Digital Solutions Center(情報システム部門)内に情報セキュリティ専門組織を設置し、グループ全体で保有する情報を適切に管理し、情報漏えいなどのリスクの回避を図るとともに、情報の有効活用と業務の効率的な運用を推進しています。
目標・実績
| 指標 | 2024年度目標 | 2024年度実績 |
|---|---|---|
| 重大な情報セキュリティ事故 (操業停止、個人情報漏えい等の被害) |
0件 | 0件 |
情報セキュリティ強化への取り組み
カネカグループでは、重大な情報セキュリティ事故を未然に防止するため、各セキュリティ対策の強化に取り組んでいます。
サイバー攻撃への対応
米国国立標準技術研究所(NIST:National Institute of Standards and Technology)のサイバーセキュリティフレームワークの考え方をもとに、サプライチェーン全体を対象に各種セキュリティ対策を多層的に実装しています。定期的にIT領域/OT(Operational Technology)領域における外部セキュリティベンダーによるセキュリティアセスメントを実施し、評価結果に基づき改善を進めています。
| 対策分類 | 対策内容 |
|---|---|
| Govern(統治) | ・情報管理規程・基準類の整備 |
| Identity(特定) | ・グループで利用しているPC・サーバの資産管理 |
| Protect(防御) | ・PC・サーバやネットワークに対するマルウェア対策、脆弱性対策 ・社員へのeラーニング、標的型攻撃メール訓練 |
| Detect(検知) | ・グローバルでのセキュリティ監視体制(SOC※)の構築 |
| Response(対応) | ・情報セキュリティインシデント対応体制の構築 |
| Recovery(復旧) | ・重要情報の定期的なバックアップ取得 |
※ SOC(Security Operation Center):情報システムへの脅威の監視や分析のための体制。
またサイバー攻撃、情報セキュリティ事故が発生した際は「サイバーセキュリティインシデント対応規程」、「サイバーセキュリティインシデント対応ガイドライン」に従い、関連する部門が迅速に対処します。
社員への情報管理強化
2024年度は、情報セキュリティに対するリテラシー向上のための教育を実施しました。社会情勢の変化・最新のサイバー攻撃手法に対応し、より効果的なコンテンツとなるよう毎年見直しています。
- 全社員へeラーニングの実施(年1回/受講率91.8%)
- 全社員へ標的型攻撃メール訓練の実施(年2回/URLクリック率5.5%)
- 入社時(新卒/キャリア採用)の情報セキュリティ教育(年5回/受講率99%)
- 情報セキュリティ専門組織でのインシデント対応訓練の実施
- 各部門/グループ会社で任命された情報管理担当への研修を実施(年2回)
