CSR活動報告(各CSRガイドラインの活動報告) - リスクマネジメント
情報セキュリティリスクへの取り組み
情報セキュリティリスクへの取り組み
東レグループでは、当社が有する重要技術情報・営業機密・個人情報、ハードウェアやソフトウェアなどの保護および適切な管理を目的として、「情報セキュリティリスク」を東レグループ優先対応リスクのひとつに位置付け、グループ全体でより包括的な取り組みを進めています。
東レ(株)総務・コミュニケーション部門長※1を委員長とした「東レグループ情報セキュリティ推進委員会」を2022年度に設置し、東レグループの会社を一元的に管理するとともに、各社個別最適からグループ全体最適を行う体制に変更しました。2022年度に取締役会決議を経て「東レグループ情報セキュリティ基本方針」を定め、当該委員会の統括・管理のもとで、当社グループ全体のリスク状況と世の中の動向を把握し、グループ共通のセキュリティ管理基準の策定・実施状況フォロー、定期的なセキュリティ診断およびモニタリングを通じて、東レグループ全体での情報セキュリティの維持向上を図っています。
また、情報漏洩やサイバー攻撃による情報システムの利用停止などのインシデント発生時は、発見・発覚を把握した東レ(株)の各部署や各関係会社から24時間以内に総務・コミュニケーション部門長へ報告します。被害およびその可能性に応じて、社内外の関係者への連絡および被害の拡大防止のための体制と対応手順を整備し、運用しています。
- ※1 2023年7月時点では専務執行役員が総務・コミュニケーション部門長を務めています。
東レグループ情報セキュリティ基本方針2022年4月制定
東レグループでは、情報セキュリティを重要な経営課題と位置付け、社会的責任を果たすためすべての役員と社員(嘱託、パート、派遣を含む)は、情報セキュリティに関し、本方針に基づいた行動を徹底します。
- 倫理・コンプライアンス
東レグループが活動する全ての国・地域において、法令を遵守し、企業倫理に反する情報の収集や利用を行いません。 - 体制・ルールの整備および運用
情報セキュリティ対策を推進し、また、情報漏えい時に迅速な対応を行うため、情報セキュリティに関する体制・ルールを整備し、適切に運用します。 - 情報の保護
業務上取り扱う情報を、重要度に応じて適切に保護します。また、個人情報を取り扱う場合は、個人情報保護の観点から、目的の範囲内で利用します。 - 情報システム基盤の維持
事業活動に必要な情報システムやネットワークを継続利用できるよう適切に管理します。 - 情報セキュリティの改善
情報技術の進展を踏まえ、定期的に情報セキュリティのあるべき姿を見直し、必要に応じて体制・ルールやその運用および情報システム基盤の改善を行います。
サイバー攻撃への対応
東レグループでは、高度化を続けるサイバー攻撃への対応として以下の取り組みを行っています。
- 従来からの取り組みの徹底・強化
東レグループが所有するパソコンやサーバ、通信機器の設定やセキュリティ対策の標準化や自動化など。
- ネットワークセキュリティ強化
- (1)外部(インターネット)と社内ネットワークの間、および社内ネットワークの中での通信内容の常時監視、分析。
- (2)外部(インターネット)との接続部分についての、専門家による定期的な脆弱性評価および適切な対応検討。
- 教育・訓練の強化
サイバー攻撃の巧妙化に対してはIT面での対策だけでは不十分なため、全従業員を対象とした定期的なeラーニングによる教育(年1回)や、数回に分けた抜き打ちでの不審メール対応訓練を実施。
従業員による情報漏洩リスクへの対応
全従業員を対象とした情報セキュリティ教育を、年に1度実施するほか、新入社員や新任管理職など階層ごとの研修を実施し、情報セキュリティ基本方針の周知・徹底を含めた、セキュリティに対する意識とスキルの向上を図っています。併せて、定期的なメールマガジンの配信や、社内報での情報セキュリティに関する連載を行っており、従業員全体のリテラシーの向上を促しています。
従業員がパソコン、スマートフォンの持ち出しをする際には、管理職の許可を必要とするほか、月に一度現物の実査を行い、半年に一度は資産棚卸しを行っています。また、紛失などのインシデントが発生した場合の対応方法を定め、被害を極小化するための仕組みを構築しています。
「CSRロードマップ 2022」におけるCSRガイドライン5「リスクマネジメント」の主な取り組みはこちらをご覧ください。