common_css
information-security_title
情報セキュリティ事業活動の基盤
information-security_main
情報保護に関する方針
ロームグループでは、事業活動を行う中で知り得たロームグループおよびステークホルダーの機密情報並びに個人情報について、情報セキュリティ方針および機密情報管理方針を定め管理徹底を図っています。
ロームグループ情報セキュリティ方針
1. コンプライアンス
ロームグループは、情報セキュリティに関する国内外の法令、規範および契約上の義務を遵守します。また、それらに準拠・適合した情報セキュリティ関連の社内規定を整備し、遵守徹底を図ります。
2. 情報セキュリティ管理体制
ロームグループは、情報セキュリティの取り組みを、経営ならびに事業における重要課題のひとつと認識し、トップマネジメントの指揮のもと、情報セキュリティ管理体制を確立し、組織的、人的、物理的および技術的な情報セキュリティを維持し、継続的改善に努めます。
3. 情報資産の保護
ロームグループは、ロームグループの扱う情報資産の機密性、完全性および可用性に対する脅威から情報資産を適切に保護し、適切な管理措置を講じます。
4. 事故発生予防と発生時の対応
ロームグループは、情報セキュリティ事故の防止に努めるとともに、万一、事故が発生した場合には、適切な初動対応を迅速に実施することで影響を最小限に抑え、その原因を究明して再発防止に努めます。
5. 教育・訓練
ロームグループは、トップマネジメントおよび従業員へ、情報セキュリティの意識向上を図るため、情報セキュリティに関する教育・訓練を継続的に行います。
6. サプライチェーン全体の情報セキュリティの確保
ロームグループは、取引先、委託先などのサプライチェーン全体の情報セキュリティの維持・向上を図ります。
ロームグループ機密情報管理方針
ロームグループでは、ステークホルダーからお預かりした情報資産並びに当社が保有する情報資産(以下、総称して「機密情報」といいます。)がロームグループの事業活動の重要基盤であり、これを適切に管理することがロームグループの遂行すべき社会的責任であるという認識のもと、この方針に則り、機密情報を適切に管理し保護することを宣言します。
- 1. ロームグループは、機密情報の利用・管理にあたり、ロームグループの事業活動に適用される各種法令、規則、国・地域が定める指針、契約、その他の社会的規範を遵守します。
- 2. ロームグループは、トップマネジメントの指揮のもと、機密情報管理体制(Confidential Information Management System(CIMS))を確立し、これを運用します。
- 3. ロームグループは、機密情報の管理・保護のため、人的・組織的・技術的・物理的に適切な安全管理措置を講じます。
- 4. ロームグループは、ロームグループが取扱う機密情報にアクセスできる全ての関係者(役員、社員(契約社員含む)、派遣社員、業務委託先など)に対して、機密情報管理についての教育訓練を継続的に実施します。
- 5. ロームグループは、機密情報漏えい等の事故防止に努めるとともに、万一機密情報漏えい等の問題が発生した場合、その原因を迅速に究明し、再発防止のために必要な措置を講じます。
- 6. ロームグループは、機密情報管理体制について定期的にリスクアセスメント・内部監査を実施し、継続的に改善・見直しを行います。
情報マネジメントシステム推進体制
ロームグループでは、事業継続性を高める情報セキュリティ体制の構築と中期経営計画を支えるITツールの整備・提供・活用の定着を「情報セキュリティガバナンス」「サイバーセキュリティ」「ITガバナンス」における重点課題と特定し、情報マネジメントシステムの運用を情報管理委員会が主体となって行っています。本委員会は、執行権限を持つ取締役や事業部責任者等が参加するEHSS統括委員会※1の下部組織に設けられ、ロームグループにおける情報セキュリティリスク・サイバーセキュリティリスク・ITガバナンスリスクを適切に管理する役割を担います。
情報管理委員会の委員長は執行役員が務め、その下部組織には「機密情報マネジメント専門部会」「ISMS(Information Security Management System) 専門部会」「サイバーセキュリティ推進専門部会」、「IT化推進専門部会」を設けています。各専門部会においては、テーマごとに目標策定、施策、評価を行い、その進捗・結果を情報管理委員会に定期的に報告します。また、EHSS統括委員会は情報管理委員会のPDCAが適切に回っているかどうかを評価・確認し、マネジメントシステムの精度の維持・向上を図る体制を構築しています。
また、ロームとラピスセミコンダクタでは、情報セキュリティマネジメントシステムの認証である、「ISO/IEC 27001」の認証を取得しており、適用範囲はロームグループの社内情報システムに関わる企画、開発、保守、運用、およびSICなどの企画、開発、製造、販売です。
上記認証(ISO/IEC27001)に加え、自動車業界において情報セキュリティの重要性が高まっていることから、ローム(株)とラピスセミコンダクタ(株)では、ドイツ自動車工業会による情報セキュリティ評価である「TISAX(Trusted information Security Assessmeny Exchange)」認証を取得しています。(TISAX審査詳細についてはENXポータルよりご確認下さい。)
今後も、従来の組織内外での監査や診断に加え、運用および認証範囲を継続して拡大することで、事業上の重要な機密情報の漏えいを防止し、不正利用を排除するための適切な情報管理を推進しています。
1. EHSS(Environment、Health and Safety、Sustainability)統括委員会:8つの下部マネジメントシステム(環境、安全衛生、労働、倫理、情報、サプライチェーン、品質、リスク管理BCM)を司り、それぞれのPDCAが適切に回っているかを確認する経営の執行責任者により構成された会議体
ガバナンス体制全体像
情報マネジメントシステム推進体制
| 重点課題 | 担当専門部会 | 重点実施項目 | 2022年度目標 | 2022年度実績 | 重点実施項目 | 2023年度目標 |
|---|---|---|---|---|---|---|
| 事業継続性を高める情報セキュリティ体制の構築 | 機密情報 マネジメント 専門部会 |
機密情報の適切な保護・活用を図るマネジメント体制の構築 | 本社のマネジメント体制を国内関係会社へ展開する | 国内関係会社(7社)を対象に、機密管理体制の構築を完了(機密情報管理責任者・転倒者の決定、社内規定の整備、社員教育の実施など)。 | 機密情報の適切な保護・活用を図るマネジメント体制の構築 |
|
| ISMS 専門部会 |
ビジネス継続、拡大に向けた、ISMS認証拡大とTISAX※2認証新規取得 | 欧州OEMから要請のあるSiC事業を中心とした関連組織で取得 | SiC事業関連組織でTISAX審査を受審。 (改善計画を進め、2023年7月に認証取得予定。) |
国内4工場へISMS活動を展開 ISMS拡大認証取得 2024年6月(継続)TISAX認証取得 2023年7月 |
国内4工場に対し、ISMS教育・啓発活動を行い、2024年3月までにISMS認証を取得できるレベルへ引き上げる。評価は内部監査で実施。 | |
| サイバー セキュリティ 推進専門部会 |
サイバーセキュリティインシデント発生時の早期処置体制の確立 | グループ全体で機能するCSIRT※3組織の立ち上げ | グローバルCSIRTと関係会社毎(31組織)のローカルCSIRTの設置を完了。 | グループ全体のサイバーセキュリティ対策を底上げし、重大インシデント発生をゼロにする | サイバーセキュリティ対策状況の関係会社内部監査を実施し、PDCAサイクルを定着させる。 | |
| 中期経営計画を支えるITツールの整備・提供・活用定着 | IT化推進 専門部会 |
IT方針および情報、活動の共有化を図るための体制を構築 | IT化方針をグループ全体で共有し、方向性を合わせる | ロームグループ各社よりメンバーを招集し、IT化活動の内容を共有できる体制を構築。 | 全社のIT化推進の取り組み状況の収集と共有 | IT化の取り組み状況を全社で情報共有基盤を構築し、類似ツールの乱立を抑止する。 |
| CX※4・EX※5を向上するグループ全体のIT活用計画の策定 | 現場部門との対話を通して、顧客中心&従業員尊重のIT活用策を考案する。 | 顧客及び現場ニーズの観点も含め、ロームグループにおけるIT活用情報を収集し、課題点を抽出、共有実施。 | ITツール展開時の提言・提案 | 全社適用するITツールを導入する際、問題となる可能性がある事項を早期検出し導入部門への提言・提案を実施。 |
2. TISAX(Trusted Information Security Assessment Exchange):自動車のサプライチェーン全体の中で適切なレベルの情報セキュリティを評価するために、ドイツの自動車メーカーなどからの要請に基づいてサプライヤーが外部の審査機関による情報セキュリティ監査を受ける仕組み
3. CSIRT(Computer Security Incident Response Team):サイバーセキュリティインシデントの対応を専門で行うためのチーム
4. CX(Customer Experience):顧客との接点における好感度・満足度
5. EX(Employee Experience):従業員エンゲージメント
情報セキュリティに関する取り組み
お客様やお取引先様に関する情報、また当社の保有する情報を適切に管理することは、社会により良い商品やサービスを提供し、信頼される企業経営を行う上で欠かすことができません。ロームグループでは、以下の継続的な取り組みを通して、情報セキュリティ対策を進めています。また、万が一事故が発生した場合は、直ちにその原因を究明し、再発防止策を含む適切な対策を速やかに講じてまいります。
IT資産の管理
ロームでは、IT資産(PC端末・ソフトウェア・USBなどの記憶媒体や社内通信機器)の購買・廃棄フローを一元化し、IT資産管理ツールで利用状況のモニタリングを行うと共に、月次の棚卸を実施することで、厳密なIT資産の管理を行っています。
この取り組みを通じて、IT資産の不正利用やサイバー攻撃、セキュリティ違反等などのコンプライアンスリスク・セキュリティリスクを防止・管理しています。
キッティング:PCを業務で使える状態にするため、各種設定やソフトウェアのインストールを行う作業
情報機器におけるセキュリティ対策
社員が使用するパソコンをはじめとする情報機器に対して、ウイルス対策やWindowsの脆弱性対策を実施しています。さらに、万が一の紛失に備えて、多要素認証やリモート操作でパソコンを初期化できる仕組みを導入することにより、情報漏えいが発生しない環境を整備しています。
昨今のサイバー攻撃リスクの高まりを受け、ロームでは、社員が使用するパソコンを外部の専門機関により、サイバー攻撃の予兆を24時間365日体制で監視し、脅威を早期発見、早期対処する体制を整備しています。
教育・研修
情報漏えい発生の原因の多くは、誤操作やデバイス・情報の管理ミス、情報セキュリティに関する認識不足などが挙げられ、これらはいずれも「人」に起因しています。ロームでは、「人」によって起こるセキュリティリスクを防止・低減するため、入社時に「情報セキュリティ関連誓約書」に署名することで情報に対する社員の責任を明確にし、入社後も社員に対して継続的に訓練や教育を実施し、セキュリティリテラシーの向上に取り組んでいます。
【教育・研修実績】
| 教育・研修 | 目的・内容 | 年度 | 対象 | 受講者数 | 受講率 |
|---|---|---|---|---|---|
| 第1回標的型攻撃メールeラーニング | システムの対策だけでは防げない、人を対象とした攻撃を防ぐために、社員一人ひとりのセキュリティに対する意識の向上を図る | 2018年度 | ローム | 2,808名 | 83% |
| オンライン情報セキュリティ教育 | 機密情報の漏えいのリスクを再認識し、セキュリティ意識の向上を図る | ノートPC 利用者 |
1,094名 | 92% | |
| オンライン情報セキュリティ教育 | リモート環境拡大に伴い、社員の情報セキュリティの重要性の再認識に向けて、ノートPCの利⽤・管理時における機密情報漏えいの防止ルールや具体的な注意点について教育 | 2019年度 | ノートPC 利用者 |
1,465名 | 92% |
| 情報セキュリティテスト | 全社員の情報セキュリティ関連知識のレベルを把握し、今後の教育計画を策定するためにテストを実施 | 2020年度 | ローム | 3,157名 | 85% |
| 情報セキュリティ教育eラーニング | 在宅勤務の常態化に伴い、在宅時の情報漏えい防止や、WEB会議、電子メール等のオンラインコミュニケーションツール利用上の注意事項について重点的に教育 | ローム | 2,823名 | 80% | |
| グレード昇格時教育 | セキュリティ防御体制整備の推進を図る役割を担っているという認識を醸成するため、職位グレード昇格者に対して、巧妙化する標的型攻撃について、過去の被害事例や動画を用いた教育を実施 | 昇格者講習 受講者 |
272名 | 100% | |
| 第2回標的型攻撃メール訓練 | アカウント情報を詐取するフィッシングメールを模した訓練を行い、社員の意識向上と初動対応の定着を図る | 2021年度 | ローム グループ |
11,126名 | 98% |
| 機密情報マネジメント教育eラーニング | 機密情報管理強化のために改訂した社内規定の周知徹底を図る | ローム | 3,587名 | 99% | |
| サイバーセキュリティ基本対策チェック | パソコンの設定内容の再確認と基本動作の再徹底を行い、サイバー攻撃耐性の向上を図る | ローム | 3,536名 | 95% | |
| サイバーセキュリティ教育eラーニング | サイバーセキュリティ確保のために新規制定した社内規定の周知徹底を図る | ローム | 3,518名 | 97% | |
| サイバーセキュリティ教育eラーニング | サイバーセキュリティ確保のために新規制定した社内規定の周知徹底を図る | 2022年度 | ロームグループ | 7,625名 | 97% |
| ISMS教育 | ISMSの認証範囲拡大のため、「ISO/IEC27001」の基礎知識の習得と情報セキュリティマネジメントの理解促進を図る | ロームグループ(国内) | 902名 | 100% | |
| 機密情報マネジメント教育eラーニング | 機密情報管理強化のために改訂した社内規定の周知徹底を図る | ロームグループ(国内) | 7,267名 | 100% |
個人情報保護管理の取り組み
ロームグループでは、個人情報の保護を重要な経営課題として認識し、お客様、お取引先様、株主・投資家の皆様等の個人情報につき、「個人情報の保護に関する法律」やその他国の指針を遵守し、安全かつ適正に管理することを目的として、以下の取り組みを実施しています。
プライバシーポリシーの策定、公開
個人情報の利用目的、お問い合わせ窓口、安全管理措置等を明確にしています。当該プライバシーポリシーは、弊社のホームページで公開しています。
個人情報保護規程の策定
ロームグループが有する個人情報の適正な取り扱いと管理・運用・保護に関する基本的事項を定め、全社員に公開しています。本規程では、個人情報を取り扱う部門においては、当該部門の部門長を責任者として充てることを定めています。また、個人情報の漏えい等の事案やその恐れが発生した場合の報告体制などを定め、状況の早期把握、被害の拡大防止を図っています。
なお、社員が個人情報保護規程に違反した場合には、懲戒処分の対象になることがあります。
従業員に対する教育の実施
個人情報の取り扱いに関する留意事項等について、全社員に対して教育を実施し、理解の向上に努めています。当該教育により、グループ全体でプライバシーポリシー、個人情報保護規程の浸透を図っています。
【教育・研修実績】
| 教育・研修 | 目的・内容 | 年度 | 対象 | 受講者数 | 受講率 |
|---|---|---|---|---|---|
| 改正個人情報保護法についてのeラーニング | 個人情報保護法の基本と重要な改正内容の確認・理解 | 2022年度 | 国内ロームグループ | 6,806名 | 98.8% |
情報セキュリティ認証
【ISO27001:2013(ISMS)認証】
アンケート
アンケート
