CSR活動報告(各CSRガイドラインの活動報告) - リスクマネジメント
情報セキュリティリスクへの取り組み
情報セキュリティリスクへの取り組み
東レグループでは、グループ全体での情報セキュリティの維持・向上を目的として、2022年度に情報セキュリティに関する方針と体制を見直しました。
方針としては、すべての役員と社員(嘱託、パート、派遣を含む)が、情報セキュリティに関し、社会的責任を果たすために行動するための方針である「東レグループ情報セキュリティ基本方針」を定めています。
また、体制としては、全社を横断した情報セキュリティ推進のために東レ(株)総務・コミュニケーション部門長※1を委員長として、法務・コンプライアンス部門、人事・勤労部門、情報システム部門などの関係部署を委員とした「東レグループ情報セキュリティ推進委員会」を設置しています。方針審議と対策協議を行い、各本部・部門に設置している「情報セキュリティ委員会」へ対策を指示・フォローし、活動内容を経営会議に報告しています。各本部・部門の「情報セキュリティ委員会」は東レ(株)内の所属部署および所管する関係会社へ対策を指示し、状況を確認しています。
主な活動内容は次のとおりであり、取締役会には協議機関である経営会議での審議を経て報告されています。
- 東レグループ全体のリスク状況と世の中の動向を把握
- グループ共通のセキュリティ管理基準※2の策定/実施状況フォロー:関係会社が管理基準を達成しているか点検。未達の場合は各社が改善計画を作成。その進捗状況をフォロー。
- 定期的なセキュリティ診断およびモニタリング:第三者である情報セキュリティ企業による関係会社のインターネット接続部の評価。関係会社が必要な改善を実施し、進捗状況を「東レグループ情報セキュリティ推進委員会」がフォロー。
- セキュリティインシデント発生時の即時対応/被害拡大防止:発見した東レ(株)の各部署や各関係会社から24時間以内に総務・コミュニケーション部門長へ報告。被害およびその可能性に応じて、定められた手順で、社内外の関係者への連絡および被害の拡大防止のための対応を実施。
- ※1 2024年7月時点では専務執行役員が総務・コミュニケーション部門長を務めています。
- ※2 グループ共通のセキュリティ管理基準は、国際標準化機構(ISO)やアメリカ国立標準技術研究所(NIST)が発行している情報セキュリティ関連の規格を参照し、第三者であるセキュリティ企業の助言を得て作成されており、サイバー攻撃、内部犯行、社員の操作ミスなどのリスク要因への対策を包括しています。
東レグループ情報セキュリティ基本方針2022年4月制定
東レグループでは、情報セキュリティを重要な経営課題と位置付け、社会的責任を果たすためすべての役員と社員(嘱託、パート、派遣を含む)は、情報セキュリティに関し、本方針に基づいた行動を徹底します。
- 倫理・コンプライアンス
東レグループが活動する全ての国・地域において、法令を遵守し、企業倫理に反する情報の収集や利用を行いません。 - 体制・ルールの整備および運用
情報セキュリティ対策を推進し、また、情報漏えい時に迅速な対応を行うため、情報セキュリティに関する体制・ルールを整備し、適切に運用します。 - 情報の保護
業務上取り扱う情報を、重要度に応じて適切に保護します。また、個人情報を取り扱う場合は、個人情報保護の観点から、目的の範囲内で利用します。 - 情報システム基盤の維持
事業活動に必要な情報システムやネットワークを継続利用できるよう適切に管理します。 - 情報セキュリティの改善
情報技術の進展を踏まえ、定期的に情報セキュリティのあるべき姿を見直し、必要に応じて体制・ルールやその運用および情報システム基盤の改善を行います。
サイバー攻撃への対応
東レグループでは、高度化を続けるサイバー攻撃に対し、以下の複数の対策を推進しています。攻撃を防ぐだけの対策だけでなく、被害が発生した場合を想定した対策も実施しリスク軽減を図っています。
- グループ共通のセキュリティ管理基準の遵守
各関係会社では社内でのセキュリティ体制を整備し、端末やサーバー、利用者ID、秘密情報、個人情報などの情報資産を特定し、各情報資産の管理方法・セキュリティ対策のルールを定め運用、管理状況を定期的に点検します。なお、セキュリティ対策にはセキュリティー・インシデント発生時の対応手順や復旧のためバックアップ取得と復旧手順の整備も含みます。 - 端末管理
東レ(株)はパソコンやスマートフォンの仕様および設定の標準を整備し、各機器を一元管理する仕組みを併せて構築しています。この対応は東レグループ内にも展開中です。 - 認証管理
東レ(株)は多要素認証(MFA)機能を持った利用者IDを一元管理する仕組みを構築しています。この対応も東レグループ内に展開中です。 - ネットワーク管理
- (1)東レ(株)および各関係会社は、外部(インターネット)と社内ネットワーク間の通信を常時監視しています。
- (2)東レ(株)および各関係会社では、外部(インターネット)との接続部分について第三者である情報セキュリティ企業による定期的なリスク評価を行い、各社で必要な改善を実施しています。
- サーバーやクラウドサービス管理
東レ(株)および各関係会社のサーバーやクラウドサービスは台帳管理しています。また、東レ(株)ではセキュリティ監視機能を含む東レグループ共用のサーバー環境を整備しており、東レグループ内にも同様に展開中です。 - 教育・訓練の強化
サイバー攻撃の巧妙化に対してはIT面での対策だけでは不十分なため、東レ(株)および各関係会社では全従業員を対象とした定期的なeラーニングによる教育(年1回)や抜き打ちでの不審メール対応訓練を実施しています。
従業員による情報漏洩リスクへの対応
グループ共通のセキュリティ管理基準に則り、さまざまな対応を実施しています。
全従業員を対象とした情報セキュリティ教育を、年に1度実施するほか、新入社員や新任管理職など階層ごとの研修を実施し、「東レグループ情報セキュリティ基本方針」の周知・徹底を含めた、セキュリティに対する意識とスキルの向上を図っています。併せて、定期的なメールマガジンの配信や、社内報での情報セキュリティに関する連載を行っており、従業員全体のリテラシーの向上を促しています。
従業員がパソコン、スマートフォンの持ち出しをする際には、管理職の許可を必要とするほか、月に一度現物の実査を行い、半年に一度は資産棚卸しを行っています。また、紛失などのインシデントが発生した場合の対応方法を定め、被害を極小化するための仕組みを構築しています。
「CSRロードマップ 2025」におけるCSRガイドライン5「リスクマネジメント」の主な取り組みはこちらをご覧ください。