common_css

information-security_title

情報セキュリティ事業活動の基盤

information-security_main

情報保護に関する方針

ロームグループでは、事業活動を行う中で知り得たロームグループおよびステークホルダーの機密情報並びに個人情報について、情報セキュリティ方針および機密情報管理方針を定め管理徹底を図っています。

ロームグループ情報セキュリティ方針

1. コンプライアンス

ロームグループは、情報セキュリティに関する国内外の法令、規範および契約上の義務を遵守します。また、それらに準拠・適合した情報セキュリティ関連の社内規定を整備し、遵守徹底を図ります。

2. 情報セキュリティ管理体制

ロームグループは、情報セキュリティの取り組みを、経営ならびに事業における重要課題のひとつと認識し、トップマネジメントの指揮のもと、情報セキュリティ管理体制を確立し、組織的、人的、物理的および技術的な情報セキュリティを維持し、継続的改善に努めます。

3. 情報資産の保護

ロームグループは、ロームグループの扱う情報資産の機密性、完全性および可用性に対する脅威から情報資産を適切に保護し、適切な管理措置を講じます。

4. 事故発生予防と発生時の対応

ロームグループは、情報セキュリティ事故の防止に努めるとともに、万一、事故が発生した場合には、適切な初動対応を迅速に実施することで影響を最小限に抑え、その原因を究明して再発防止に努めます。

5. 教育・訓練

ロームグループは、トップマネジメントおよび従業員へ、情報セキュリティの意識向上を図るため、情報セキュリティに関する教育・訓練を継続的に行います。

6. サプライチェーン全体の情報セキュリティの確保

ロームグループは、取引先、委託先などのサプライチェーン全体の情報セキュリティの維持・向上を図ります。

ロームグループ機密情報管理方針

ロームグループでは、ステークホルダーからお預かりした情報資産並びに当社が保有する情報資産(以下、総称して「機密情報」といいます。)がロームグループの事業活動の重要基盤であり、これを適切に管理することがロームグループの遂行すべき社会的責任であるという認識のもと、この方針に則り、機密情報を適切に管理し保護することを宣言します。

  • 1. ロームグループは、機密情報の利用・管理にあたり、ロームグループの事業活動に適用される各種法令、規則、国・地域が定める指針、契約、その他の社会的規範を遵守します。
  • 2. ロームグループは、トップマネジメントの指揮のもと、機密情報管理体制(Confidential Information Management System(CIMS))を確立し、これを運用します。
  • 3. ロームグループは、機密情報の管理・保護のため、人的・組織的・技術的・物理的に適切な安全管理措置を講じます。
  • 4. ロームグループは、ロームグループが取扱う機密情報にアクセスできる全ての関係者(役員、社員(契約社員含む)、派遣社員、業務委託先など)に対して、機密情報管理についての教育訓練を継続的に実施します。
  • 5. ロームグループは、機密情報漏えい等の事故防止に努めるとともに、万一機密情報漏えい等の問題が発生した場合、その原因を迅速に究明し、再発防止のために必要な措置を講じます。
  • 6. ロームグループは、機密情報管理体制について定期的にリスクアセスメント・内部監査を実施し、継続的に改善・見直しを行います。

情報マネジメントシステム推進体制

ロームグループでは、事業継続性を高める情報セキュリティ体制の構築と中期経営計画を支えるITツールの整備・提供・活用の定着を「情報セキュリティガバナンス」「サイバーセキュリティ」「ITガバナンス」における重点課題と特定し、情報マネジメントシステムの運用を情報管理委員会が主体となって行っています。本委員会は、執行権限を持つ取締役や事業部責任者等が参加するEHSS統括委員会※1の下部組織に設けられ、ロームグループにおける情報セキュリティリスク・サイバーセキュリティリスク・ITガバナンスリスクを適切に管理する役割を担います。EHSS統括委員会の委員長は、これらのリスク管理をITに造詣の深いIT担当取締役に委譲することで、専門性の高い指導を行っています。
情報管理委員会の委員長は執行役員が務め、その下部組織には「機密情報マネジメント専門部会」「ISMS専門部会※2」「サイバーセキュリティ推進専門部会」、「IT化推進専門部会」、「デジタルアーキテクチャデザイン専門部会」を設けています。各専門部会においては、テーマごとに目標策定、施策、評価を行い、その進捗・結果を情報管理委員会に定期的に報告します。また、EHSS統括委員会は情報管理委員会のPDCAが適切に回っているかどうかを評価・確認し、適宜取締役会へ報告、相談を行い、マネジメントシステムの精度の維持・向上を図る体制を構築しています。取締役会は、サステナビリティ経営委員会と連携し、サステナビリティに関する方針・方向性・長期目標等について議論を行い、決定した内容をEHSS統括委員会に落とし込み、実現に向けた活動が行われているかを監督しています。

また、ローム、ローム浜松、ローム・ワコー、ローム・アポロ及びラピスセミコンダクタでは、情報セキュリティマネジメントシステムの認証である「ISO/IEC 27001」を取得しており、活動範囲はロームグループの社内情報システムに関わる企画、開発、保守、運用及び半導体・電子部品などの開発、製造、販売となっています。
さらに、自動車業界において情報セキュリティの重要性が高まっていることから、ローム、ラピスセミコンダクタ及びROHM Semiconductor GmbHでは、ドイツ自動車工業会による情報セキュリティ評価である「TISAX※3」認証も取得しています。(TISAX認証の詳細についてはENXポータル よりご確認下さい。)

今後も、従来の組織内外での監査や診断に加え、運用および認証範囲を継続して拡大することで、事業上の重要な機密情報の漏えいを防止し、不正利用を排除するための適切な情報管理を推進しています。

1. EHSS(Environment、Health and Safety、Sustainability)統括委員会:8つの下部マネジメントシステム(リスク管理BCM、サプライチェーン、労働、倫理、安全衛生、環境、情報、品質)を司り、それぞれのPDCAが適切に回っているかを確認する経営の執行責任者により構成された会議体

2. ISMS(Information Security Management System):組織における情報セキュリティを管理するための仕組みや枠組みであり、「ISO/IEC 27001」として標準が規定されている

3. TISAX(Trusted Information Security Assessment Exchange):自動車のサプライチェーン全体の中で適切なレベルの情報セキュリティを評価するために、ドイツの自動車メーカーなどからの要請に基づいてサプライヤーが外部の審査機関による情報セキュリティ監査を受ける仕組み

ガバナンス体制全体像

ガバナンス体制全体像

情報マネジメントシステム推進体制

情報マネジメントシステム推進体制図
重点課題 担当専門部会 重点実施項目 2023年度目標 2023年度実績 重点実施項目 2024年度目標
事業継続性を高める情報セキュリティ体制の構築 機密情報
マネジメント
専門部会
機密情報の適切な保護・活用を図るマネジメント体制の構築
  • ・海外関係会社4社に対し、本社のマネジメント体制を展開。
  • ・本社・国内関係会社のみならず、海外関係会社(全拠点)に対して広く社員への教育・啓発活動を実施する。
  • ・海外関係会社7社(独/米/泰)に対し、本社の機密情報マネジメントシステムを展開し、各社の責任体制や社内規程・機密保持誓約の内容および運用を再整備し機密管理レベルを底上げした。
  • ・ロームグループの全拠点の役員・従業員を対象に広く教育・啓発活動を実施した。
ロームグループ全体の機密情報管理体制の強化
  • ・中華圏・韓国の関係会社7社に対し、本社の機密情報マネジメントシステムを展開し、各社の責任体制や社内規程・機密保持誓約の内容および運用を再整備し機密管理レベルを向上する。
  • ・ロームグループの全拠点の役員・従業員を対象に広く教育・啓発活動を実施する。
  • ・機密情報マネジメントシステムの対応状況について内部監査を実施し、改善活動を行うことでPDCAサイクルを定着させる。
ISMS
専門部会
国内4工場へISMS活動を展開
ISMS拡大認証取得 2024年6月(継続)TISAX認証取得 2023年7月
国内4工場に対し、ISMS教育・啓発活動を行い、2024年3月までにISMS認証を取得できるレベルへ引き上げる。評価は内部監査で実施。 国内4工場においてISMS活動を開始し、期末時点において内部監査にてISMS認証取得可能レベルの達成を確認した。
TISAX認証を取得完了。
ロームグループ全体の情報セキュリティ体制強化
  • ・情報セキュリティ重大インシデント0件の達成
  • ・情報セキュリティインシデント件数の前年比半減
  • ・ロームグループ全拠点の情報システム部門にISMS活動を展開し、情報セキュリティ意識向上を図る。
サイバー
セキュリティ
推進専門部会
グループ全体のサイバーセキュリティ対策を底上げし、重大インシデント発生をゼロにする サイバーセキュリティ対策状況の関係会社内部監査を実施し、PDCAサイクルを定着させる。 国内外関係会社(15社)の内部監査にて、不適合箇所を抽出し、是正計画を指導した。 グループ全体のサイバーセキュリティ対策を底上げし、重大インシデント発生をゼロにする
  • ・サイバーセキュリティ対策状況の関係会社内部監査を実施し、PDCAサイクルを定着させる。
  • ・脆弱性管理を強化し、グループ全体のサイバー攻撃耐性を高める。
中期経営計画を支えるITツールの整備・提供・活用定着 IT化推進
専門部会
全社のIT化推進の取り組み状況の収集と共有 IT化の取り組み状況を全社で情報共有する基盤を構築し、類似ツールの乱立を抑止する。 IT化の取り組み状況を共有する基盤をViva Engageを用いて構築し、情報共有を開始した。 - -
ITツール展開時の提言・提案 全社適用するITツールを導入する際、問題となる可能性がある事項を早期検出し導入部門への提言・提案を実施。 Cent OSサポート終了に伴い、全社でLinuxを利用している部門関係者に状況調査ヒアリング実施。Oracle Linuxなど、代替について情報共有した。 Cent OS・HPC・Copilot等各ツール導入を進める 全社適用するITツールを導入する際、問題となる可能性がある事項を早期検出し導入部門への提言・提案を実施。

情報セキュリティに関する取り組み

お客様やお取引先様に関する情報、また当社の保有する情報を適切に管理することは、社会により良い商品やサービスを提供し、信頼される企業経営を行う上で欠かすことができません。ロームグループでは、以下の継続的な取り組みを通して、情報セキュリティ対策を進めています。また、万が一事故が発生した場合は、直ちにその原因を究明し、再発防止策を含む適切な対策を速やかに講じてまいります。

IT資産の管理

ロームでは、IT資産(PC端末・ソフトウェア・USBなどの記憶媒体や社内通信機器)の購買・廃棄フローを一元化し、IT資産管理ツールで利用状況のモニタリングを行うと共に、月次の棚卸を実施することで、厳密なIT資産の管理を行っています。
この取り組みを通じて、IT資産の不正利用やサイバー攻撃、セキュリティ違反等などのコンプライアンスリスク・セキュリティリスクを防止・管理しています。

IT資産の管理

キッティング:PCを業務で使える状態にするため、各種設定やソフトウェアのインストールを行う作業

情報機器におけるセキュリティ対策

社員が使用するパソコンをはじめとする情報機器に対して、ウイルス対策やWindowsの脆弱性対策を実施しています。さらに、万が一の紛失に備えて、多要素認証やリモート操作でパソコンを初期化できる仕組みを導入することにより、情報漏えいが発生しない環境を整備しています。
昨今のサイバー攻撃リスクの高まりを受け、ロームでは、社員が使用するパソコンを外部の専門機関により、サイバー攻撃の予兆を24時間365日体制で監視し、脅威を早期発見、早期対処する体制を整備しています。

情報機器におけるセキュリティ対策

情報セキュリティインシデント件数

2023年度は、重大な情報セキュリティインシデントは発生していません。

緊急事態発生時の対応手順と対策

ロームグループでは情報セキュリティルールの徹底をはじめとした様々な管理策によって、情報セキュリティインシデントの未然防止に努めています。
万が一事故が発生した場合に、速やかに適切な初動対応を行い、被害や損失を最小限に抑えるように、情報セキュリティインシデントまたは疑わしい事象を発見した際のエスカレーションプロセスを定めています。

緊急事態発生時の対応と対策は、年に1度確認を行っています。

緊急事態発生時の対応手順と対策

1. CIM(Confidential Information Management):機密情報管理

2. CSIRT(Computer Security Incident Response Team):サイバーセキュリティインシデントの対応を専門で行うためのチーム

脆弱性対策状況

クラウド化やテレワークの常態化といった働き方の変化により、ビジネスにIT環境が拡大しています。また、国内外の関係会社、取引先・委託先企業を狙ったサイバー攻撃リスクも年々増加しており、サプライチェーンにおけるセキュリティリスク管理の重要性が増しています。
このような背景から、ロームグループでは従来の資産管理ツールによる脆弱性管理に加え、外部のアタックサーフェスマネジメント(攻撃対象領域管理)サービスと、ペネトレーションテスト(疑似攻撃)を組み合わせて、サイバー攻撃耐性の強化を進めています。

脆弱性対策状況

教育・研修

情報漏えい発生の原因の多くは、誤操作やデバイス・情報の管理ミス、情報セキュリティに関する認識不足などが挙げられ、これらはいずれも「人」に起因しています。ロームでは、「人」によって起こるセキュリティリスクを防止・低減するため、入社時に「情報セキュリティ関連誓約書」に署名することで情報に対する社員の責任を明確にし、入社後も社員に対して継続的に訓練や教育を実施し、セキュリティリテラシーの向上に取り組んでいます。

【教育・研修実績】

教育・研修 目的・内容 年度 対象 受講者数 受講率
第2回標的型攻撃メール訓練 アカウント情報を詐取するフィッシングメールを模した訓練を行い、社員の意識向上と初動対応の定着を図る 2021年度 ローム
グループ
11,126名 98%
機密情報マネジメント教育eラーニング 機密情報管理強化のために改訂した社内規定の周知徹底を図る ローム 3,587名 99%
サイバーセキュリティ基本対策チェック パソコンの設定内容の再確認と基本動作の再徹底を行い、サイバー攻撃耐性の向上を図る ローム 3,536名 95%
サイバーセキュリティ教育eラーニング サイバーセキュリティ確保のために新規制定した社内規定の周知徹底を図る ローム 3,518名 97%
サイバーセキュリティ教育eラーニング サイバーセキュリティ確保のために新規制定した社内規定の周知徹底を図る 2022年度 ロームグループ 7,625名 97%
ISMS教育 ISMSの認証範囲拡大のため、「ISO/IEC27001」の基礎知識の習得と情報セキュリティマネジメントの理解促進を図る ロームグループ(国内) 902名 100%
機密情報マネジメント教育eラーニング 機密情報管理強化のために改訂した社内規定の周知徹底を図る ロームグループ(国内) 7,267名 100%
サイバーセキュリティ教育eラーニング サイバーセキュリティ確保のために改訂した社内規定の周知徹底を図る 2023年度 ロームグループ 12,455名 98%
ISMS教育 ISMSの認証範囲拡大のため、「ISO/IEC27001」の基礎知識の習得と情報セキュリティマネジメントの理解促進を図る ロームグループ(国内) 866名 100%
機密情報マネジメント教育eラーニング 機密情報管理強化のために改訂した社内規定の周知徹底を図る ロームグループ(国内) 7,607名 100%

個人情報保護管理の取り組み

ロームグループでは、個人情報の保護を重要な経営課題として認識し、お客様、お取引先様、株主・投資家の皆様等の個人情報につき、「個人情報の保護に関する法律」やその他国の指針を遵守し、安全かつ適正に管理することを目的として、以下の取り組みを実施しています。

プライバシーポリシーの策定、公開

個人情報の利用目的、お問い合わせ窓口、安全管理措置等を明確にしています。当該プライバシーポリシーは、弊社のホームページで公開しています。

プライバシーポリシー

個人情報保護規程の策定

ロームグループが有する個人情報の適正な取り扱いと管理・運用・保護に関する基本的事項を定め、全社員に公開しています。本規程では、個人情報を取り扱う部門においては、当該部門の部門長を責任者として充てることを定めています。また、個人情報の漏えい等の事案やその恐れが発生した場合の報告体制などを定め、状況の早期把握、被害の拡大防止を図っています。
なお、社員が個人情報保護規程に違反した場合には、懲戒処分の対象になることがあります。

従業員に対する教育の実施

個人情報の取り扱いに関する留意事項等について、全社員に対して教育を実施し、理解の向上に努めています。当該教育により、グループ全体でプライバシーポリシー、個人情報保護規程の浸透を図っています。

【教育・研修実績】

教育・研修 目的・内容 年度 対象 受講者数 受講率
労働・倫理eラーニング コンプライアンス(競争法遵守、贈収賄禁止、コンプライアンス・ホットライン、個人情報保護など)に関する知識の習得 2023年度 ローム全社員 3,941名 98.5%

情報セキュリティ認証

【ISO27001:2013(ISMS)認証】

場所 認定書 (初回登録日)
更新日/有効期限
認証機関/認定番号 対象となる製品あるいは業務の範囲
ローム株式会社 (2013/07/19)
2022/7/19
/2025/7/18
JQA-IM1197 ロームグループの社内情報システムに関わる企画、開発、保守、運用及び半導体・電子部品などの開発、製造、販売
【関連事業所】 ローム株式会社 本社 ロームグループの社内情報システムに関わる企画、開発、保守、運用及びSiCなどの開発、製造、販売
ローム株式会社 横浜テクノロジーセンター ロームグループの社内情報システムに関わる企画、開発、保守、運用
ローム株式会社 京都ビジネスセンター SiCなどの販売
ローム浜松株式会社 ローム浜松の社内情報システムに関わる企画、開発、保守、運用及び半導体素子及び半導体集積回路ウエハの製造
ローム・ワコー株式会社 ローム・ワコーの社内情報システムに関わる企画、開発、保守、運用及びダイオード素子、パワーLSI素子の製造
ローム・アポロ株式会社 筑後工場 ローム・アポロ筑後工場の社内情報システムに関わる企画、開発、保守、運用及びディスクリート素子(SiC)の製造
ラピスセミコンダクタ株式会社 本社 ラピスセミコンダクタの社内情報システムに関わる企画、開発、保守、運用
ラピスセミコンダクタ株式会社 宮崎工場 ラピスセミコンダクタの社内情報システムに関わる保守、運用及びSiCなどの製造
ラピスセミコンダクタ株式会社 宮城工場 ラピスセミコンダクタの社内情報システムに関わる保守、運用

アンケート

アンケート

アンケートに
ご協力ください

アンケート画面へ

New_company common.js