情報セキュリティリスクへの取り組み

東レグループでは、情報セキュリティを重要な経営課題と捉え、グループ全体で維持・向上に取り組んでいます。方針としては、すべての役員と社員(嘱託、パート、派遣を含む)が情報セキュリティに関して社会的責任を果たして行動するため、「東レグループ情報セキュリティ基本方針」を定めています。
体制面では、全社横断的な情報セキュリティ推進のために、東レ(株)総務・法務・リスクマネジメント部門長(以下、総務・法務・RM部門長)を委員長※1、デジタルソリューション部門長を副委員長※1とし、人事・勤労部門や監査部などの関係部署を委員とする、東レグループ情報セキュリティ推進委員会を設置し、年2回(半期ごと)開催しています。
この委員会では、情報セキュリティに関する方針の審議や対策の協議を行い、各本部・部門に設置された情報セキュリティ委員会に対して対策の指示・フォローを行っています。また、活動内容は経営会議に報告しています。
各本部・部門の情報セキュリティ委員会は、東レ(株)内の所属部署および所管する関係会社に対して対策を指示し、その状況を確認しています。
主な活動内容は以下のとおりであり、取締役会には、協議機関である経営会議での審議を経て報告しています。

取締役会
経営会議
東レグループ情報セキュリティ推進委員会
委員長:総務・法務・リスクマネジメント部門長
事務局:総務部、統合システム推進部
東レ(株)各本部・部門の情報セキュリティ委員会
委員長:本部・部門長
事務局:各本部・部門で任命
東レ(株)各部署
関係会社
国・地域代表
監督・
意思決定
報告
報告・審議
指示
報告
指示
報告
支援依頼
支援
業務執行機能
東レグループ情報セキュリティ推進委員会図
  1. 東レグループ全体のリスク状況と世の中の動向を把握
  2. グループ共通のセキュリティ管理基準※2の策定/実施状況フォロー
    • 東レ(株)では、サイバー攻撃、内部犯行、社員の操作ミス、災害などのリスク要因への対策を包括した管理基準を策定しています。この基準は、情報セキュリティの3要素である「機密性」「完全性」「可用性」を考慮しており、ITによる技術的な対策に加えて、情報資産の管理や従業員の意識向上を目的とした教育訓練など、管理運営面での対策も含まれています。なお、業務委託先や利用しているクラウドサービスも対象範囲としています。
      また、東レグループ内での情報セキュリティ監査を実施し、同規準の遵守状況を点検した上で、改善点を抽出し、指導しています。
    • 関係会社においては、同基準の達成状況を自己点検し、改善計画を作成した上で、その内容を東レ(株)が確認し、指導しています。
  3. 定期的なセキュリティ診断およびモニタリング
    第三者である情報セキュリティ企業による関係会社のインターネット接続部の評価(脆弱性分析の一環として、ハッカー攻撃のシミュレーションなど)を実施しています。関係会社が行う改善の進捗状況についてもフォローしています。
  4. セキュリティインシデント発生時の即時対応/被害拡大防止
    東レ(株)の各部署や各関係会社においてセキュリティインシデントを発見した場合は、24時間以内に総務・法務・RM部門長へ報告することとしています。被害およびその可能性に応じて、定められた手順に従い、社内外の関係者への連絡および被害拡大防止のための対応を実施します。
  1. ※1 2025年7月時点では常務執行役員が総務・法務・RM部門長、上席執行役員がデジタルソリューション部門長を務めています。
  2. ※2 グループ共通のセキュリティ管理基準は、国際標準化機構(ISO)やアメリカ国立標準技術研究所(NIST)が発行している情報セキュリティ関連の規格を参照し、第三者であるセキュリティ企業の助言を得て作成しています。

方針等

東レグループ情報セキュリティ基本方針2022年4月制定

東レグループでは、情報セキュリティを重要な経営課題と位置付け、社会的責任を果たすためすべての役員と社員(嘱託、パート、派遣を含む)は、情報セキュリティに関し、本方針に基づいた行動を徹底します。

  1. 倫理・コンプライアンス
    東レグループが活動する全ての国・地域において、法令を遵守し、企業倫理に反する情報の収集や利用を行いません。
  2. 体制・ルールの整備および運用
    情報セキュリティ対策を推進し、また、情報漏えい時に迅速な対応を行うため、情報セキュリティに関する体制・ルールを整備し、適切に運用します。
  3. 情報の保護
    業務上取り扱う情報を、重要度に応じて適切に保護します。また、個人情報を取り扱う場合は、個人情報保護の観点から、目的の範囲内で利用します。
  4. 情報システム基盤の維持
    事業活動に必要な情報システムやネットワークを継続利用できるよう適切に管理します。
  5. 情報セキュリティの改善
    情報技術の進展を踏まえ、定期的に情報セキュリティのあるべき姿を見直し、必要に応じて体制・ルールやその運用および情報システム基盤の改善を行います。

サイバー攻撃への対応

東レグループでは、高度化を続けるサイバー攻撃に対し、以下の複数の対策を推進しています。攻撃を防ぐ対策だけでなく、被害が発生した場合を想定した対策も実施しリスク軽減を図っています。

  1. グループ共通のセキュリティ管理基準の遵守
    各関係会社では、社内でのセキュリティ体制を整備し、端末やサーバー、利用者ID、秘密情報、個人情報などの情報資産を特定した上で、それぞれの情報資産に対する管理方法やセキュリティ対策のルールを定めて運用しています。また、管理状況については定期的に点検を行っています。
    なお、セキュリティ対策には、セキュリティインシデントが発生した際の対応手順や、復旧のためのバックアップ取得および復旧手順の整備も含みます。
  2. 端末管理
    東レ(株)では、パソコンやスマートフォンの設定を標準化し、各機器を一元的に管理することで、サイバー攻撃を検知し、迅速に対応する仕組み(EDR:Endpoint Detection and Response)を構築しています。この取り組みは、東レグループ内にも展開を進めています。
  3. 認証管理
    東レ(株)では、多要素認証(MFA:Multi-Factor Authentication)機能を持った利用者IDを一元的に管理する仕組みを構築しています。この取り組みもまた、東レグループ内に展開を進めています。
  4. ネットワーク管理
    1. (1)東レ(株)および各関係会社では、外部(インターネット)と社内ネットワーク間の通信を常時監視しています。
    2. (2)東レ(株)および各関係会社では、外部(インターネット)との接続部分について第三者である情報セキュリティ企業による定期的なリスク評価を行い、各社で必要な改善を実施しています。
  5. サーバーやクラウドサービス管理
    東レ(株)および各関係会社では、サーバーやクラウドサービスの台帳管理を行っています。また、東レ(株)では、セキュリティ監視機能を含む東レグループ共用のサーバー環境を整備しており、東レグループ内にも同様に展開を進めています。
  6. 監視・対応の体制強化
    端末、認証、ネットワーク、サーバー管理における監視・分析情報を集約し、サイバー攻撃を発見し、迅速に対応する体制を構築しています。セキュリティインシデントが発生した際には、経営層やリスクマネジメント関係部署と情報を共有し、被害を最小限に抑える対応を図ります。
  7. 教育・訓練の強化
    サイバー攻撃の巧妙化に対してはIT面での対策だけでは不十分であるため、東レ(株)および各関係会社では、全従業員を対象に年1回のeラーニングによる定期的な教育を実施しています。また、抜き打ちでの不審メール対応訓練も実施しています。

従業員による情報漏洩リスクへの対応

東レグループでは、グループ共通のセキュリティ管理基準に則り、さまざまな対応を実施しています。
全従業員を対象とした年1回の情報セキュリティ教育に加え、新入社員や新任管理職など、階層ごとの研修も実施し、「東レグループ情報セキュリティ基本方針」の周知・徹底を含めたセキュリティに対する意識とスキルの向上を図っています。
また、定期的なメールマガジンの配信や社内報での情報セキュリティに関する連載を通じて、従業員全体のリテラシーの向上を促しています。
さらに、従業員がパソコン、スマートフォンを社外に持ち出す際には、管理職の許可を必要とするほか、月1回の現物実査および半年に1回の資産棚卸しを実施しています。
加えて、紛失などのインシデントが発生した場合の対応方法を定め、被害を極小化するための仕組みを構築しています。

「CSRロードマップ 2025」におけるCSRガイドライン5「リスクマネジメント」の主な取り組みはこちらをご覧ください。