ロームグループでは、事業継続性を高める情報セキュリティ体制の構築と中期経営計画を支えるITツールの整備・提供・活用の定着を「情報セキュリティガバナンス」「サイバーセキュリティ」「ITガバナンス」における重点課題と特定し、情報マネジメントシステムの運用を情報管理委員会が主体となって行っています。本委員会は、執行権限を持つ取締役や事業部責任者等が参加するEHSS統括委員会^※1の下部組織に設けられ、ロームグループにおける情報セキュリティリスク・サイバーセキュリティリスク・ITガバナンスリスクを適切に管理する役割を担います。EHSS統括委員会の委員長は、これらのリスク管理をITに造詣の深いIT担当取締役に委譲することで、専門性の高い指導を行っています。
情報管理委員会の委員長は執行役員が務め、その下部組織には「機密情報マネジメント専門部会」「ISMS専門部会^※2」「サイバーセキュリティ推進専門部会」、「IT化推進専門部会」、「デジタルアーキテクチャデザイン専門部会」を設けています。各専門部会においては、テーマごとに目標策定、施策、評価を行い、その進捗・結果を情報管理委員会に定期的に報告します。また、EHSS統括委員会は情報管理委員会のPDCAが適切に回っているかどうかを評価・確認し、適宜取締役会へ報告、相談を行い、マネジメントシステムの精度の維持・向上を図る体制を構築しています。取締役会は、サステナビリティ経営委員会と連携し、サステナビリティに関する方針・方向性・長期目標等について議論を行い、決定した内容をEHSS統括委員会に落とし込み、実現に向けた活動が行われているかを監督しています。

また、ローム、ローム浜松、ローム・ワコー、ローム・アポロ及びラピスセミコンダクタでは、情報セキュリティマネジメントシステムの認証である「ISO/IEC 27001」を取得しており、活動範囲はロームグループの社内情報システムに関わる企画、開発、保守、運用及び半導体・電子部品などの開発、製造、販売となっています。
さらに、自動車業界において情報セキュリティの重要性が高まっていることから、ローム、ラピスセミコンダクタ及びROHM Semiconductor GmbHでは、ドイツ自動車工業会による情報セキュリティ評価である「TISAX^※3」認証も取得しています。(TISAX認証の詳細についてはENXポータル よりご確認下さい。)

今後も、従来の組織内外での監査や診断に加え、運用および認証範囲を継続して拡大することで、事業上の重要な機密情報の漏えいを防止し、不正利用を排除するための適切な情報管理を推進しています。

1. EHSS(Environment、Health and Safety、Sustainability）統括委員会：8つの下部マネジメントシステム（リスク管理BCM、サプライチェーン、労働、倫理、安全衛生、環境、情報、品質）を司り、それぞれのPDCAが適切に回っているかを確認する経営の執行責任者により構成された会議体

2. ISMS(Information Security Management System)：組織における情報セキュリティを管理するための仕組みや枠組みであり、「ISO/IEC 27001」として標準が規定されている

3. TISAX(Trusted Information Security Assessment Exchange)：自動車のサプライチェーン全体の中で適切なレベルの情報セキュリティを評価するために、ドイツの自動車メーカーなどからの要請に基づいてサプライヤーが外部の審査機関による情報セキュリティ監査を受ける仕組み

ガバナンス体制全体像

お客様やお取引先様に関する情報、また当社の保有する情報を適切に管理することは、社会により良い商品やサービスを提供し、信頼される企業経営を行う上で欠かすことができません。ロームグループでは、以下の継続的な取り組みを通して、情報セキュリティ対策を進めています。また、万が一事故が発生した場合は、直ちにその原因を究明し、再発防止策を含む適切な対策を速やかに講じてまいります。

IT資産の管理

ロームでは、IT資産（PC端末・ソフトウェア・USBなどの記憶媒体や社内通信機器）の購買・廃棄フローを一元化し、IT資産管理ツールで利用状況のモニタリングを行うと共に、月次の棚卸を実施することで、厳密なIT資産の管理を行っています。
この取り組みを通じて、IT資産の不正利用やサイバー攻撃、セキュリティ違反等などのコンプライアンスリスク・セキュリティリスクを防止・管理しています。

キッティング：PCを業務で使える状態にするため、各種設定やソフトウェアのインストールを行う作業

情報機器におけるセキュリティ対策

社員が使用するパソコンをはじめとする情報機器に対して、ウイルス対策やWindowsの脆弱性対策を実施しています。さらに、万が一の紛失に備えて、多要素認証やリモート操作でパソコンを初期化できる仕組みを導入することにより、情報漏えいが発生しない環境を整備しています。
昨今のサイバー攻撃リスクの高まりを受け、ロームでは、社員が使用するパソコンを外部の専門機関により、サイバー攻撃の予兆を24時間365日体制で監視し、脅威を早期発見、早期対処する体制を整備しています。

情報セキュリティインシデント件数

2023年度は、重大な情報セキュリティインシデントは発生していません。

緊急事態発生時の対応手順と対策

ロームグループでは情報セキュリティルールの徹底をはじめとした様々な管理策によって、情報セキュリティインシデントの未然防止に努めています。
万が一事故が発生した場合に、速やかに適切な初動対応を行い、被害や損失を最小限に抑えるように、情報セキュリティインシデントまたは疑わしい事象を発見した際のエスカレーションプロセスを定めています。

緊急事態発生時の対応と対策は、年に1度確認を行っています。

1. CIM(Confidential Information Management)：機密情報管理

2. CSIRT(Computer Security Incident Response Team)：サイバーセキュリティインシデントの対応を専門で行うためのチーム

脆弱性対策状況

クラウド化やテレワークの常態化といった働き方の変化により、ビジネスにIT環境が拡大しています。また、国内外の関係会社、取引先・委託先企業を狙ったサイバー攻撃リスクも年々増加しており、サプライチェーンにおけるセキュリティリスク管理の重要性が増しています。
このような背景から、ロームグループでは従来の資産管理ツールによる脆弱性管理に加え、外部のアタックサーフェスマネジメント（攻撃対象領域管理）サービスと、ペネトレーションテスト（疑似攻撃）を組み合わせて、サイバー攻撃耐性の強化を進めています。

教育・研修

情報漏えい発生の原因の多くは、誤操作やデバイス・情報の管理ミス、情報セキュリティに関する認識不足などが挙げられ、これらはいずれも「人」に起因しています。ロームでは、「人」によって起こるセキュリティリスクを防止・低減するため、入社時に「情報セキュリティ関連誓約書」に署名することで情報に対する社員の責任を明確にし、入社後も社員に対して継続的に訓練や教育を実施し、セキュリティリテラシーの向上に取り組んでいます。

ロームグループでは、個人情報の保護を重要な経営課題として認識し、お客様、お取引先様、株主・投資家の皆様等の個人情報につき、「個人情報の保護に関する法律」やその他国の指針を遵守し、安全かつ適正に管理することを目的として、以下の取り組みを実施しています。

プライバシーポリシーの策定、公開

個人情報の利用目的、お問い合わせ窓口、安全管理措置等を明確にしています。当該プライバシーポリシーは、弊社のホームページで公開しています。

プライバシーポリシー

個人情報保護規程の策定

ロームグループが有する個人情報の適正な取り扱いと管理・運用・保護に関する基本的事項を定め、全社員に公開しています。本規程では、個人情報を取り扱う部門においては、当該部門の部門長を責任者として充てることを定めています。また、個人情報の漏えい等の事案やその恐れが発生した場合の報告体制などを定め、状況の早期把握、被害の拡大防止を図っています。
なお、社員が個人情報保護規程に違反した場合には、懲戒処分の対象になることがあります。

従業員に対する教育の実施

個人情報の取り扱いに関する留意事項等について、全社員に対して教育を実施し、理解の向上に努めています。当該教育により、グループ全体でプライバシーポリシー、個人情報保護規程の浸透を図っています。