サステナビリティ | ガバナンス情報セキュリティ
基本的な考え方
TDKグループでは、情報セキュリティの維持向上のため、情報セキュリティ基本方針のもとグローバルに情報セキュリティ管理体制を構築し、活動しています。
情報セキュリティ基本方針
全般的な方向性
この方針は、TDKグループに適用します。
TDKグループは、ステークホルダーの皆様に更にご満足いただける信頼性の高い企業を目指すうえで、 個人情報・営業機密情報(顧客預かり情報を含む)の適正管理、財務情報の正確性・公明性および事業の継続性が重要と認識し、情報セキュリティの維持と向上に取り組みます。
具体的行動指針として、全員が以下の6つの活動を推進します。
行動指針
-
法令・規制の遵守
情報資産の取扱いにあたり、それぞれの国や地域における“情報の改ざん・漏洩・不正アクセス・不正利用を防止する法律”、“情報の信頼性・開示の正確性を要求する法律”、“個人情報を保護する法律”、“お客様との契約事項を含めた事業上の要求事項”を遵守します。 -
情報セキュリティ管理体制
情報セキュリティを組織的に管理運用する体制を確立し、その役割と責任を定めます。 -
リスクに応じた管理策の実施
情報資産に対する脅威と脆弱性を機密性・完全性・可用性の観点から識別し、リスクに応じた適切な管理策を適用します。また本基本方針に従った社内規程を整備し情報セキュリティ管理策を確実に実施します。 -
経営資源の提供
経営層は、この方針を実現するために必要な経営資源の提供を行います。 -
情報セキュリティの継続的改善
社内外の環境の変化に伴うリスクの変化をとらえ、情報セキュリティの継続的な改善に全員で務めます。 -
厳正な対処
経営層は、万一、この方針ならびに社内規程に反する行為があった場合は、「就業規則」および「企業倫理綱領」に従い、厳正に対処します。
2005年7月1日制定
2016年4月15日 改訂(2版)
ガバナンス
経営会議直属の「情報セキュリティ委員会」を設置し、グループ全体の情報セキュリティについてリスクに応じた対策を講じています。情報セキュリティ委員会は執行役員が委員長を務め、代表取締役社長CEOへ四半期に1回報告を行い、監査役に対しても年2回報告を行っています。
また、グローバル各地区の代表者による会議体を設置し、TDKグループ全社の情報セキュリティガバナンスを強化しています。
各社に情報セキュリティ管理者を設置し、情報セキュリティインシデント発生時や従業員が不審な点に気づいた際等の情報セキュリティ委員会への報告体制を整備しています。また、インシデントの深刻度や緊急度に応じた上記ガバナンス体制に基づく報告ルートを定めています。なお、重大インシデントが発生・検出された場合は、情報セキュリティ委員会が危機管理委員会と連携し速やかな対応を行うこととしています。
情報セキュリティ教育
TDKグループ全体で情報セキュリティの維持と向上に取り組むために、毎年1回以上、全従業員を対象とした情報セキュリティ教育とメール訓練を実施しています。
情報セキュリティ教育は、コンピュータの使用者を対象に、グループ各拠点で実施しており、教育の内容や頻度については、各拠点がおかれている環境や状況に応じて、適切な内容を取り入れています。
メール訓練も各拠点において、実際の攻撃メールを模したメールを従業員に配信し、添付ファイルの開封者数やURLのクリック者数を確認しています。
戦略
サイバー攻撃による、生産・販売・マーケティング・研究開発等の活動停止や、情報漏えいによる信用・信頼の失墜などは大きなビジネスインパクトとなるため、情報セキュリティを重要な経営課題の一つと捉えています。
被害の発生を防ぐとともに、万が一のときに被害を最小限に食い止めるようNIST(米国国立標準研究所)サイバーセキュリティフレームワーク(①統治、②特定、③防御、④検知、⑤対応、⑥復旧)をもとに、情報セキュリティの施策を強化しています。
[主な施策]
- Zero Trustの構築(②特定、③防御、④検知)
被害の発生を防ぎ、被害を最小限に食い止めるため、Zero Trustの構築に取り組みます。
Zero Trustは、すべてのユーザー、デバイス、ネットワークへのアクセスを常に制限・監視し、外部からの攻撃を防ぎ、内部への拡散を抑制する施策です。 -
サプライチェーンセキュリティ(①統治)
TDKの事業活動を止めないために、TDKのみならずサプライチェーンの情報セキュリティ状況の把握と改善をTDKグループ全社に展開していきます。 -
内部不正リスク対策(③防御、④検知、⑤対応)
情報漏えいによる信用・信頼の失墜を防ぐため、AI監視ツールなどを用いて、内部不正を防ぎます。 -
インシデント対応(⑤対応、⑥復旧)
被害を最小限に食い止め速やかに復旧できるように情報セキュリティインシデントに対応するための組織CSIRT(Computer Security Incident Response Team)を構築し、情報セキュリティインシデントが発生した際の対応体制や対応計画をCSIRP(Computer Security Incident Response Plan)に定めています。
また標的型攻撃メール訓練など従業員の教育・訓練を引き続き充実させ、システムでは補いきれないリスクにTDKグループ全社で対応していきます。
リスク管理
外部からのリスクに対して、サイバー攻撃を行うハッカー側の視点でインターネット側からTDKのシステムを常時モニタリングし、対応が必要なリスクの高い脆弱性に対し、速やかにアクションをとっています。そのモニタリングの結果は四半期に1回の社長報告など経営層に報告しています。
内部からのリスクに対して、従業員による情報持ち出しの対策について、ERM(Enterprise Risk Management)委員会に施策を報告しレビューを受けています。
指標と目標
中長期目標
- Zero Trust
被害の発生を防ぎ、被害を最小限に食い止めるため、Zero Trustの構築に取り組みます。Zero Trustは、すべてのユーザー、デバイス、ネットワークへのアクセスを常に制限・監視し、外部からの攻撃を防ぎ、内部への拡散を抑制する施策です。TDKのビジネス環境に適したZero Trustを構築します。
2024年度:TDK Zero Trustの定義を定め、初年度としての目標をTDKグループ全社で達成
2026年度:2024年度中に定めるTDK Zero Trustの達成レベルを実現
2023年度の目標と実績
2023年度目標 | 実績 |
---|---|
外部公開環境評価システムによる脆弱性評価 全評価対象システム 950点満点中800点以上(グレードA) |
全評価対象システムに対し、800点以上(グレードA)を達成 |
[主な実績]
NISTのサイバーセキュリティフレームワークに従い、情報セキュリティの施策を強化しました。
- インターネットからみたTDKグループ全社の脆弱性を評価(外部公開環境評価システムを利用)し、脆弱性を特定し改善(②特定、③防御、④検知)
-
サプライチェーンの情報セキュリティ状況を確認し改善を支援(②特定、③防御)
中小企業庁のパートナーシップ構築宣言 取り組み事例集にて弊社の活動が紹介されました。 - 危険なクラウドサービスの利用状況を検知する仕組みにより、不許可クラウドサービスをブロック(②特定、③防御、④検知)
- 情報セキュリティインシデントに対する訓練を実施(⑤対応、⑥復旧)
- 内部不正リスク対策として、AI監視ツールを導入し、内部不正を防止(③防御、④検知、⑤対応)
- サイバーリスク保険の加入更新(⑥復旧)
- 情報セキュリティ教育とメール訓練を実施(③防御)
評価と今後の取り組み
2023年度はサイバー攻撃を行うハッカー側の視点でインターネット側からTDKのシステムを常時モニタリングし、対応が必要なリスクの高い脆弱性に対し、TDKグループ各社協力のもと、改善状況の進捗を共有し、競争と協力関係を築き、速やかにアクションをとり、目標を達成することができました。
今後は、Zero Trustの構築を重点テーマとし、TDKでのZero TrustをTDKグループ全社で明確に定義し、より強固な情報セキュリティ体制を築いていきます。
取り組み
[情報セキュリティ強化の取り組み]
- Zero Trustの構築
Zero Trustの構築を重点テーマとし、TDKでのZero TrustをTDKグループ全社で明確に定義し、より強固な情報セキュリティ体制を築いていきます。
Zero Trustは、すべてのユーザー、デバイス、ネットワークへのアクセスを常に制限・監視し、外部からの攻撃を防ぎ、内部への拡散を抑制する施策です。TDKのビジネス環境に適したZero Trustを構築します。 - サプライチェーンセキュリティ
TDKの事業活動を止めないために、TDKグループ全社で以下の施策を展開し、TDKのみならずサプライチェーンの情報セキュリティ状況の把握と改善を推進します。 - 調査票による情報セキュリティの管理体制と運用ルールの確認
- 外部公開環境評価システムを用いた脆弱性の確認
- 個別調査による実際の運用状況の確認
[パートナーシップ構築宣言にて弊社活動が紹介]
サプライチェーンセキュリティの活動において、中小企業庁のパートナーシップ構築宣言 取り組み事例集にて弊社の活動が紹介されました。
脆弱性の特定と改善
サイバー攻撃を行うハッカー側の視点でインターネット側からTDKのシステムを常時グローバルでモニタリングし、対応が必要なリスクの高い脆弱性に対し、速やかにアクションをとっています。
さらにTDKグループでは、年に1回以上第三者による脆弱性診断を実施し、情報セキュリティの管理状況における脆弱性の特定および改善を行っています。
セキュリティインシデント対応の強化
情報セキュリティインシデントに対応するための組織CSIRT(Computer Security Incident Response Team)を構築し、情報セキュリティインシデントが発生した際の対応体制や対応計画をCSIRP(Computer Security Incident Response Plan)に定めています。
TDKグループでは、情報セキュリティに関する事業継続計画(IT-BCP)を策定し、情報セキュリティインシデント発生時の対応をあらかじめ定めています。また、IT-BCP訓練を年に1回以上実施し、その結果を踏まえて、定期的に計画の見直しも行っています。
個人情報の保護
TDKはTDK プライバシー・ポリシーのもと個人情報とプライバシーの保護に努めます。
また、TDK による個人情報の取り扱いすべてに適用されるTDK プライバシー・ポリシーの一部としてTDK 個人情報保護基本方針を定めています。
関連情報
TDKグループでは、個人情報も情報セキュリティの一つとして捉え、情報セキュリティの体制で個人情報の適正管理に努めています。個人情報の管理状況を年次で確認し、結果を踏まえた是正・改善を行っています。
情報セキュリティ委員会配下の組織として、個人情報保護分科会を設置し、個人情報保護のための機関と定め、個人情報の取扱いに関する問い合わせ窓口としています。
プライバシー侵害に関する苦情申し立て
2023年度、顧客プライバシーの侵害および顧客データの紛失に関して各グループ会社での発生報告およびお客様からの不服申し立ての受理はありませんでした。また、顧客データの二次利用も行っていません。