情報セキュリティ
基本的な考え方
情報システムは、事業活動のあらゆる側面において、重要な役割を担っています。
サイバー攻撃、不正アクセス、情報漏えい等で社内外から発生するリスクには、情報資産をあらゆる脅威から保護することが、経営の重要な課題と考えています。カネカグループでは、すべての役員・社員一人ひとりが情報管理の重要性と責任を持ち、適切な管理に取り組んでいます。
方針
情報管理基本方針
-
法令・ルールの遵守
社会や顧客からの信頼こそ、グループとして第一に守るべきものである。
法令、社会的規範、社内規程・手続等の遵守は、業務に携わる者全員の基本原則である。 -
機密情報の保護
製造・研究・販売等に関する機密情報は、グループの競争力の源泉である。
業務に携わる者は全員このことを十分認識し、これらの情報の外部流出や不正な目的による使用を防止する。特に個人情報や関係先から機密扱いで預託を受けた情報など、厳格な取扱いが必要な情報については、各社の情報管理責任者が情報を特定し厳重に管理する。 -
制度・仕組みの整備
情報を有効に活用し業務運営の効率化を図ることは、グループの事業の継続と拡大に不可欠な要素である。
安全に情報を活用するために、情報セキュリティに関するルールの整備や情報システム面での対応を進めるとともに、情報の管理責任の所在を明確にし、適正な情報管理に努める。 -
教育・啓発の実施
グループ経営の強化や外部資源活用の進展に伴い、さまざまな倫理観・価値観を持った人達が業務に関与している。
これらのメンバーとの協働がより円滑に行えるよう、情報セキュリティに係るリスクの認識を啓発し、倫理面も含めた教育活動の強化とその継続に努める。
「情報管理基本方針」「情報管理規程」を定め、国内外にわたる情報資産保護に向けた取り組みを強化しています。
推進体制
カネカグループでは、経営層によるリスク管理体制を構築し、取締役担当役員であるグループ情報管理責任者のもと、IoT Solutions Center(情報システム部門)内に情報セキュリティ専門組織を設置し、グループ全体で保有する情報を適切に管理し、情報漏えいなどのリスクの回避を図るとともに、情報の有効活用と業務の効率的な運用を推進しています。
情報セキュリティ強化への取り組み
重大な情報セキュリティ事故を未然に防止するため、各セキュリティ対策の強化に取り組んでいます。
サイバー攻撃への対応
米国国立標準技術研究所(NIST:National Institute of Standards and Technology)のサイバーセキュリティフレームワークの考え方をもとに、サプライチェーン全体を対象に各種セキュリティ対策を多層的に実装しています。また定期的に外部セキュリティベンダーによるセキュリティアセスメントをIT領域/OT(Operational Technology)領域で受診し、評価結果に基づき改善を進めています。
| 対策分類 | 対策内容 |
|---|---|
| Govern(統治) | ・情報セキュリティ規程・基準類の整備 |
| Identity(特定) | ・グループで利用しているPC・サーバの資産管理 |
| Protect(防御) | ・PC・サーバやネットワークに対するマルウェア対策、脆弱性対策 ・社員へのeラーニング、標的型攻撃メール訓練 |
| Detect(検知) | ・グローバルでのセキュリティ監視体制(SOC※)の構築 |
| Response(対応) | ・情報セキュリティインシデント対応体制の構築 |
| Recovery(復旧) | ・重要情報の定期的なバックアップ取得 |
※ SOC(Security Operation Center):情報システムへの脅威の監視や分析のための体制。
社員への情報管理強化
2023年度は、情報セキュリティに対するリテラシー向上のための教育を実施しました。
- 全社員へeラーニングの実施
- 全社員へ標的型攻撃メール訓練の実施(2回実施)
- 入社時(新卒/キャリア採用)の情報セキュリティ教育
- 情報セキュリティ専門組織でのインシデント対応訓練の実施
- 各部門/グループ会社の情報管理担当へ研修の実施
