Security ControlITにおける情報セキュリティ管理
考え方・方針
当社及び当社グループ会社では、均等かつ包括的な「グループ情報システムポリシー」を定めています。 本ポリシーのもとに情報システムを適正に取り扱い、セキュリティを確保することにより、事業の継続性と、情報資産だけでなく顧客企業や応募者及び社員等ステークホルダーの情報を守ることを目的にしています。
体制
当社グループでは、情報システムの管理や全体最適を目指したデジタルトランスフォーメーション(DX)を推進する組織として、当社の執行役員直轄のDX推進部門にDX企画部とIT基盤統括部を設置しています。 また、各事業会社に情報システム責任者を任命し、当社のDX推進部門との直接的な連携を通じて、情報セキュリティ管理を統制しています。
機密情報管理体制の概要
関連する主な取り組み
当社グループでは、「グループ情報システムポリシー」を制定し、以下の6項目の多方面の統制でデータセキュリティを確保する取り組みを実施しています。
| 遵守 | 情報システムを適切に管理し、秩序維持に努めるため、遵守義務と罰則、例外・逸脱の把握、ポリシー改正について規定。 |
|---|---|
| 開発・変更 | 新規システム開発・変更の計画~テストの各工程について、職務権限規程に従い決裁を得る体制構築を行う旨を規定。 |
| 運用 | 各社の情報システム責任者を通じて情報システムの安定稼働の維持・管理を行う体制を構築する旨を規定。 |
| セキュリティ | 不正アクセス・破壊・情報漏洩・改ざん等を未然に防止するため必要な対策として事故発生時の対応・復旧体制の整備、早期回復に向けた計画の策定、また情報セキュリティに関する教育を実施する旨を規定。 また、グループ各社における、国内外の各種セキュリティガイドラインの遵守状況を定期的にチェックしています。加えて、公開Webサイトにおいては、自動診断システムよる評価を実施し、新たに発見された脅威に対して、優先度に応じた対応を実施しています。 |
| IT監査 | 内部監査部門は、ポリシーの運用が適正に実行されているか、調査・監査することができ、情報システム利用者は、これに応ずる旨規定。 |
| 管理 | (1)入社・異動・退職等、(2)協働者の就業開始・終了等、(3)外部委託 のそれぞれにつき管理方針を規定。 |
また、機密情報管理に関する教育・研修についても、全ての役員及び従業員に対して継続的に実施しています。
機密情報に接する機会の多い社員に対しては半期に1度、標的型攻撃メール訓練を実施すると共に、社員毎の結果に応じたセキュリティ研修を実施しています。
監査等の実施
内部統制評価の一環として、当社グループにおけるIT環境について包括的に理解するとともに、リスクの顕在化・評価を行うことで、問題点の早期発見と解決につなげることを目的に、当社主要グループ会社の情報システムを監査対象にした監査を実施しています。
内部監査部が実施するIT全般統制の評価の中で、セキュリティに関する統制につき整備状況と運用状況を評価しています。 採用した監査手続きの概略は、情報システムに関する統制環境の把握、リスク評価、リスク対応手続をとっています(システム概略図、組織、方針、業務の電子化、ITインフラ、ネットワーク、アプリケーション、電子商取引、システム変更、安定度といった各項目について手続きを実施)。
なお、監査等で明らかになる懸案事項等があれば、取締役会および監査等委員会に報告されています。
関連データ
| 項目 | 実績 |
|---|---|
| 情報漏洩事案発生数 | 2023年6月期: 0回 |
| 情報漏洩に関する件数 | 0件 |
| 情報漏洩に関する顧客機密情報 あるいは個人情報を伴う率 |
− |
| 情報漏洩に関する 影響のあった顧客数 |
0件 |