情報セキュリティ事業活動の基盤
情報保護に関する方針
ロームグループでは、事業活動を行う中で知り得たロームグループおよびステークホルダーの機密情報並びに個人情報について、情報セキュリティ方針および機密情報管理方針を定め管理徹底を図っています。
ロームグループ情報セキュリティ方針
1. コンプライアンス
ロームグループは、情報セキュリティに関する国内外の法令、規範および契約上の義務を遵守します。また、それらに準拠・適合した情報セキュリティ関連の社内規定を整備し、遵守徹底を図ります。
2. 情報セキュリティ管理体制
ロームグループは、情報セキュリティの取り組みを、経営ならびに事業における重要課題のひとつと認識し、トップマネジメントの指揮のもと、情報セキュリティ管理体制を確立し、組織的、人的、物理的および技術的な情報セキュリティを維持し、継続的改善に努めます。
3. 情報資産の保護
ロームグループは、ロームグループの扱う情報資産の機密性、完全性および可用性に対する脅威から情報資産を適切に保護し、適切な管理措置を講じます。
4. 事故発生予防と発生時の対応
ロームグループは、情報セキュリティ事故の防止に努めるとともに、万一、事故が発生した場合には、適切な初動対応を迅速に実施することで影響を最小限に抑え、その原因を究明して再発防止に努めます。
5. 教育・訓練
ロームグループは、トップマネジメントおよび従業員へ、情報セキュリティの意識向上を図るため、情報セキュリティに関する教育・訓練を継続的に行います。
6. サプライチェーン全体の情報セキュリティの確保
ロームグループは、取引先、委託先などのサプライチェーン全体の情報セキュリティの維持・向上を図ります。
ロームグループ機密情報管理方針
ロームグループでは、ステークホルダーからお預かりした情報資産並びに当社が保有する情報資産(以下、総称して「機密情報」といいます。)がロームグループの事業活動の重要基盤であり、これを適切に管理することがロームグループの遂行すべき社会的責任であるという認識のもと、この方針に則り、機密情報を適切に管理し保護することを宣言します。
- 1. ロームグループは、機密情報の利用・管理にあたり、ロームグループの事業活動に適用される各種法令、規則、国・地域が定める指針、契約、その他の社会的規範を遵守します。
- 2. ロームグループは、トップマネジメントの指揮のもと、機密情報管理体制(Confidential Information Management System(CIMS))を確立し、これを運用します。
- 3. ロームグループは、機密情報の管理・保護のため、人的・組織的・技術的・物理的に適切な安全管理措置を講じます。
- 4. ロームグループは、ロームグループが取扱う機密情報にアクセスできる全ての関係者(役員、社員(契約社員含む)、派遣社員、業務委託先など)に対して、機密情報管理についての教育訓練を継続的に実施します。
- 5. ロームグループは、機密情報漏えい等の事故防止に努めるとともに、万一機密情報漏えい等の問題が発生した場合、その原因を迅速に究明し、再発防止のために必要な措置を講じます。
- 6. ロームグループは、機密情報管理体制について定期的にリスクアセスメント・内部監査を実施し、継続的に改善・見直しを行います。
情報マネジメントシステム推進体制
ロームグループでは、事業継続性を高める情報セキュリティ体制の構築と中期経営計画を支えるITツールの整備・提供・活用の定着を「情報セキュリティガバナンス」「サイバーセキュリティ」「ITガバナンス」における重点課題と特定し、情報マネジメントシステムの運用を情報管理委員会が主体となって行っています。本委員会は、執行権限を持つ取締役や事業部責任者等が参加するEHSS統括委員会※1の下部組織に設けられ、ロームグループにおける情報セキュリティリスク・サイバーセキュリティリスク・ITガバナンスリスクを適切に管理する役割を担います。EHSS統括委員会の委員長は、これらのリスク管理をITに造詣の深いIT担当取締役に委譲することで、専門性の高い指導を行っています。
情報管理委員会の委員長は執行役員が務め、その下部組織には「機密情報マネジメント専門部会」「ISMS専門部会※2」「サイバーセキュリティ推進専門部会」、「IT化推進専門部会」、「デジタルアーキテクチャデザイン専門部会」を設けています。各専門部会においては、テーマごとに目標策定、施策、評価を行い、その進捗・結果を情報管理委員会に定期的に報告します。また、EHSS統括委員会は情報管理委員会のPDCAが適切に回っているかどうかを評価・確認し、適宜取締役会へ報告、相談を行い、マネジメントシステムの精度の維持・向上を図る体制を構築しています。取締役会は、サステナビリティ経営委員会と連携し、サステナビリティに関する方針・方向性・長期目標等について議論を行い、決定した内容をEHSS統括委員会に落とし込み、実現に向けた活動が行われているかを監督しています。
また、ローム、ローム浜松、ローム・ワコー、ローム・アポロ及びラピスセミコンダクタでは、情報セキュリティマネジメントシステムの認証である「ISO/IEC 27001」を取得しており、活動範囲はロームグループの社内情報システムに関わる企画、開発、保守、運用及び半導体・電子部品などの開発、製造、販売となっています。
さらに、自動車業界において情報セキュリティの重要性が高まっていることから、ローム、ラピスセミコンダクタ及びROHM Semiconductor GmbHでは、ドイツ自動車工業会による情報セキュリティ評価である「TISAX※3」認証も取得しています。(TISAX認証の詳細についてはENXポータル よりご確認下さい。)
今後も、従来の組織内外での監査や診断に加え、運用および認証範囲を継続して拡大することで、事業上の重要な機密情報の漏えいを防止し、不正利用を排除するための適切な情報管理を推進しています。
1. EHSS(Environment、Health and Safety、Sustainability)統括委員会:8つの下部マネジメントシステム(リスク管理BCM、サプライチェーン、労働、倫理、安全衛生、環境、情報、品質)を司り、それぞれのPDCAが適切に回っているかを確認する経営の執行責任者により構成された会議体
2. ISMS(Information Security Management System):組織における情報セキュリティを管理するための仕組みや枠組みであり、「ISO/IEC 27001」として標準が規定されている
3. TISAX(Trusted Information Security Assessment Exchange):自動車のサプライチェーン全体の中で適切なレベルの情報セキュリティを評価するために、ドイツの自動車メーカーなどからの要請に基づいてサプライヤーが外部の審査機関による情報セキュリティ監査を受ける仕組み
ガバナンス体制全体像
![ガバナンス体制全体像](/documents/11401/13191791/information-security-img_05.webp/4d3a0889-431b-21da-d18c-d84ccbb845f4?t=1722822537437)
情報マネジメントシステム推進体制
![情報マネジメントシステム推進体制図](/documents/11401/13191791/information-security-img_02.webp/d16581c8-8523-bec2-c1b5-f4f5ce0d9f6b?t=1715042208650)
重点課題 | 担当専門部会 | 重点実施項目 | 2023年度目標 | 2023年度実績 | 重点実施項目 | 2024年度目標 |
---|---|---|---|---|---|---|
事業継続性を高める情報セキュリティ体制の構築 | 機密情報 マネジメント 専門部会 |
機密情報の適切な保護・活用を図るマネジメント体制の構築 |
|
|
ロームグループ全体の機密情報管理体制の強化 |
|
ISMS 専門部会 |
国内4工場へISMS活動を展開 ISMS拡大認証取得 2024年6月(継続)TISAX認証取得 2023年7月 |
国内4工場に対し、ISMS教育・啓発活動を行い、2024年3月までにISMS認証を取得できるレベルへ引き上げる。評価は内部監査で実施。 | 国内4工場においてISMS活動を開始し、期末時点において内部監査にてISMS認証取得可能レベルの達成を確認した。 TISAX認証を取得完了。 |
ロームグループ全体の情報セキュリティ体制強化 |
|
|
サイバー セキュリティ 推進専門部会 |
グループ全体のサイバーセキュリティ対策を底上げし、重大インシデント発生をゼロにする | サイバーセキュリティ対策状況の関係会社内部監査を実施し、PDCAサイクルを定着させる。 | 国内外関係会社(15社)の内部監査にて、不適合箇所を抽出し、是正計画を指導した。 | グループ全体のサイバーセキュリティ対策を底上げし、重大インシデント発生をゼロにする |
|
|
中期経営計画を支えるITツールの整備・提供・活用定着 | IT化推進 専門部会 |
全社のIT化推進の取り組み状況の収集と共有 | IT化の取り組み状況を全社で情報共有する基盤を構築し、類似ツールの乱立を抑止する。 | IT化の取り組み状況を共有する基盤をViva Engageを用いて構築し、情報共有を開始した。 | - | - |
ITツール展開時の提言・提案 | 全社適用するITツールを導入する際、問題となる可能性がある事項を早期検出し導入部門への提言・提案を実施。 | Cent OSサポート終了に伴い、全社でLinuxを利用している部門関係者に状況調査ヒアリング実施。Oracle Linuxなど、代替について情報共有した。 | Cent OS・HPC・Copilot等各ツール導入を進める | 全社適用するITツールを導入する際、問題となる可能性がある事項を早期検出し導入部門への提言・提案を実施。 |
情報セキュリティに関する取り組み
お客様やお取引先様に関する情報、また当社の保有する情報を適切に管理することは、社会により良い商品やサービスを提供し、信頼される企業経営を行う上で欠かすことができません。ロームグループでは、以下の継続的な取り組みを通して、情報セキュリティ対策を進めています。また、万が一事故が発生した場合は、直ちにその原因を究明し、再発防止策を含む適切な対策を速やかに講じてまいります。
IT資産の管理
ロームでは、IT資産(PC端末・ソフトウェア・USBなどの記憶媒体や社内通信機器)の購買・廃棄フローを一元化し、IT資産管理ツールで利用状況のモニタリングを行うと共に、月次の棚卸を実施することで、厳密なIT資産の管理を行っています。
この取り組みを通じて、IT資産の不正利用やサイバー攻撃、セキュリティ違反等などのコンプライアンスリスク・セキュリティリスクを防止・管理しています。
![IT資産の管理](/documents/11401/12007931/information-security-img_01.jpg/c09facaf-8320-0c97-fce0-128349ae8a83?t=1713331490810)
キッティング:PCを業務で使える状態にするため、各種設定やソフトウェアのインストールを行う作業
情報機器におけるセキュリティ対策
社員が使用するパソコンをはじめとする情報機器に対して、ウイルス対策やWindowsの脆弱性対策を実施しています。さらに、万が一の紛失に備えて、多要素認証やリモート操作でパソコンを初期化できる仕組みを導入することにより、情報漏えいが発生しない環境を整備しています。
昨今のサイバー攻撃リスクの高まりを受け、ロームでは、社員が使用するパソコンを外部の専門機関により、サイバー攻撃の予兆を24時間365日体制で監視し、脅威を早期発見、早期対処する体制を整備しています。
![情報機器におけるセキュリティ対策](/documents/11401/12007931/information-security-img_04.jpg/fddbd94f-30e1-9ed5-3b83-9774b0f427e3?t=1713331490243)
情報セキュリティインシデント件数
2023年度は、重大な情報セキュリティインシデントは発生していません。
緊急事態発生時の対応手順と対策
ロームグループでは情報セキュリティルールの徹底をはじめとした様々な管理策によって、情報セキュリティインシデントの未然防止に努めています。
万が一事故が発生した場合に、速やかに適切な初動対応を行い、被害や損失を最小限に抑えるように、情報セキュリティインシデントまたは疑わしい事象を発見した際のエスカレーションプロセスを定めています。
緊急事態発生時の対応と対策は、年に1度確認を行っています。
![緊急事態発生時の対応手順と対策](/documents/11401/13191791/information-security-img_06.webp/587cb3f3-e5aa-c839-fdb5-9e11ed07a195?t=1722822536263)
1. CIM(Confidential Information Management):機密情報管理
2. CSIRT(Computer Security Incident Response Team):サイバーセキュリティインシデントの対応を専門で行うためのチーム
脆弱性対策状況
クラウド化やテレワークの常態化といった働き方の変化により、ビジネスにIT環境が拡大しています。また、国内外の関係会社、取引先・委託先企業を狙ったサイバー攻撃リスクも年々増加しており、サプライチェーンにおけるセキュリティリスク管理の重要性が増しています。
このような背景から、ロームグループでは従来の資産管理ツールによる脆弱性管理に加え、外部のアタックサーフェスマネジメント(攻撃対象領域管理)サービスと、ペネトレーションテスト(疑似攻撃)を組み合わせて、サイバー攻撃耐性の強化を進めています。
![脆弱性対策状況](/documents/11401/13191791/information-security-img_07.webp/573cbb42-7f86-d74b-9be0-4cacc348a8c9?t=1722822535997)
教育・研修
情報漏えい発生の原因の多くは、誤操作やデバイス・情報の管理ミス、情報セキュリティに関する認識不足などが挙げられ、これらはいずれも「人」に起因しています。ロームでは、「人」によって起こるセキュリティリスクを防止・低減するため、入社時に「情報セキュリティ関連誓約書」に署名することで情報に対する社員の責任を明確にし、入社後も社員に対して継続的に訓練や教育を実施し、セキュリティリテラシーの向上に取り組んでいます。
【教育・研修実績】
教育・研修 | 目的・内容 | 年度 | 対象 | 受講者数 | 受講率 |
---|---|---|---|---|---|
第2回標的型攻撃メール訓練 | アカウント情報を詐取するフィッシングメールを模した訓練を行い、社員の意識向上と初動対応の定着を図る | 2021年度 | ローム グループ |
11,126名 | 98% |
機密情報マネジメント教育eラーニング | 機密情報管理強化のために改訂した社内規定の周知徹底を図る | ローム | 3,587名 | 99% | |
サイバーセキュリティ基本対策チェック | パソコンの設定内容の再確認と基本動作の再徹底を行い、サイバー攻撃耐性の向上を図る | ローム | 3,536名 | 95% | |
サイバーセキュリティ教育eラーニング | サイバーセキュリティ確保のために新規制定した社内規定の周知徹底を図る | ローム | 3,518名 | 97% | |
サイバーセキュリティ教育eラーニング | サイバーセキュリティ確保のために新規制定した社内規定の周知徹底を図る | 2022年度 | ロームグループ | 7,625名 | 97% |
ISMS教育 | ISMSの認証範囲拡大のため、「ISO/IEC27001」の基礎知識の習得と情報セキュリティマネジメントの理解促進を図る | ロームグループ(国内) | 902名 | 100% | |
機密情報マネジメント教育eラーニング | 機密情報管理強化のために改訂した社内規定の周知徹底を図る | ロームグループ(国内) | 7,267名 | 100% | |
サイバーセキュリティ教育eラーニング | サイバーセキュリティ確保のために改訂した社内規定の周知徹底を図る | 2023年度 | ロームグループ | 12,455名 | 98% |
ISMS教育 | ISMSの認証範囲拡大のため、「ISO/IEC27001」の基礎知識の習得と情報セキュリティマネジメントの理解促進を図る | ロームグループ(国内) | 866名 | 100% | |
機密情報マネジメント教育eラーニング | 機密情報管理強化のために改訂した社内規定の周知徹底を図る | ロームグループ(国内) | 7,607名 | 100% |
個人情報保護管理の取り組み
ロームグループでは、個人情報の保護を重要な経営課題として認識し、お客様、お取引先様、株主・投資家の皆様等の個人情報につき、「個人情報の保護に関する法律」やその他国の指針を遵守し、安全かつ適正に管理することを目的として、以下の取り組みを実施しています。
プライバシーポリシーの策定、公開
個人情報の利用目的、お問い合わせ窓口、安全管理措置等を明確にしています。当該プライバシーポリシーは、弊社のホームページで公開しています。
個人情報保護規程の策定
ロームグループが有する個人情報の適正な取り扱いと管理・運用・保護に関する基本的事項を定め、全社員に公開しています。本規程では、個人情報を取り扱う部門においては、当該部門の部門長を責任者として充てることを定めています。また、個人情報の漏えい等の事案やその恐れが発生した場合の報告体制などを定め、状況の早期把握、被害の拡大防止を図っています。
なお、社員が個人情報保護規程に違反した場合には、懲戒処分の対象になることがあります。
従業員に対する教育の実施
個人情報の取り扱いに関する留意事項等について、全社員に対して教育を実施し、理解の向上に努めています。当該教育により、グループ全体でプライバシーポリシー、個人情報保護規程の浸透を図っています。
【教育・研修実績】
教育・研修 | 目的・内容 | 年度 | 対象 | 受講者数 | 受講率 |
---|---|---|---|---|---|
労働・倫理eラーニング | コンプライアンス(競争法遵守、贈収賄禁止、コンプライアンス・ホットライン、個人情報保護など)に関する知識の習得 | 2023年度 | ローム全社員 | 3,941名 | 98.5% |
情報セキュリティ認証
【ISO27001:2013(ISMS)認証】
アンケート