サステナビリティ | ガバナンス情報セキュリティ

基本的な考え方

ガバナンス

経営会議直属の「情報セキュリティ委員会」を設置し、グループ全体の情報セキュリティについてリスクに応じた対策を講じています。情報セキュリティ委員会は執行役員が委員長を務め、代表取締役社長CEOへ四半期に1回報告を行い、監査役に対しても年2回報告を行っています。
また、本社機能およびグローバル地域本社の代表者を非常任委員に加え、テーマに応じて臨機応変に対応できる体制とし、ガバナンスを強化しています。

情報セキュリティ管理体制図
情報セキュリティ組織(2025年6月現在)

各社に情報セキュリティ管理者を設置し、情報セキュリティインシデント発生時やチームメンバー(従業員)が不審な点に気づいた際等の情報セキュリティ委員会への報告体制を整備しています。また、インシデントの深刻度や緊急度に応じた上記ガバナンス体制に基づく報告ルートを定めています。なお、重大インシデントが発生・検出された場合は、情報セキュリティ委員会が危機管理委員会と連携し速やかな対応を行うこととしています。

情報セキュリティ教育

TDKグループでは情報セキュリティの維持と向上に取り組むために、情報セキュリティ教育とメール訓練をチームメンバーに実施しています。
最新のセキュリティ情勢を反映するなど、チームメンバーの教育・訓練を引き続き充実させ、システムでは補いきれないリスクにTDKグループ全社で対応していきます。

戦略

サイバー攻撃による、生産・販売・マーケティング・研究開発等の活動停止や、情報漏えいによる信用・信頼の失墜などは大きなビジネスインパクトとなるため、情報セキュリティを重要な経営課題の一つと捉えています。
被害の発生を防ぐとともに、万が一のときに被害を最小限に食い止めるようNIST(米国国立標準研究所)サイバーセキュリティフレームワーク(①統治、②特定、③防御、④検知、⑤対応、⑥復旧)をもとに、情報セキュリティの施策を強化しています。

[主な施策]

  • TDK Zero Trustの構築(②特定、③防御、④検知)
    被害の発生を防ぎ、被害を最小限に食い止めるため、TDK Zero Trustの構築に取り組みます。
    Zero Trustは、すべてのユーザー、デバイス、ネットワークへのアクセスを常に制限・監視し、外部からの攻撃を防ぎ、内部への拡散を抑制する施策です。TDKのビジネス環境に適したTDK Zero Trustを構築します。
  • サプライチェーンセキュリティ(①統治)
    TDKの事業活動を止めないために、TDKのみならずサプライチェーンの情報セキュリティ状況の把握と改善をTDKグループ全社に展開しています。
  • 内部不正リスク対策(③防御、④検知、⑤対応)
    情報漏えいによる信用・信頼の失墜を防ぐため、AI監視ツールなどを用いて、内部不正を防ぎます。
  • インシデント対応(⑤対応、⑥復旧)
    被害を最小限に食い止め速やかに復旧できるように、情報セキュリティインシデントに対応するための組織CSIRT(Computer Security Incident Response Team)を構築し、情報セキュリティインシデントが発生した際の対応体制や対応計画をCSIRP(Computer Security Incident Response Plan)に定めています。

リスク管理

情報セキュリティ委員会が最新のセキュリティ情勢を調査し、経営層に報告しています。懸念されるリスクに対して、TDKグループ内の対策実施状況を確認し、対応が必要なリスクに対し、適切な施策を決定し、TDKグループ全体に展開しています。
また、企業レベルのリスクについてはERM(Enterprise Risk Management)委員会とも連携しています。
外部からのリスクに対して、サイバー攻撃を行うハッカー側の視点でインターネット側から見たリスクを常時評価し、対応が必要なリスクの高い脆弱性に対し、速やかにアクションをとっています。
WEBサイトへの外部からの攻撃についてはWEBサイト防御サービスによりブロックされています。
内部からのリスクに対して、チームメンバーによる情報持ち出しへの対策を実施しています。

指標と目標

中長期目標

  • TDK Zero Trust
    被害の発生を防ぎ、被害を最小限に食い止めるため、TDK Zero Trustの構築に取り組みます。Zero Trustは、すべてのユーザー、デバイス、ネットワークへのアクセスを常に制限・監視し、外部からの攻撃を防ぎ、内部への拡散を抑制する施策です。TDKのビジネス環境に適したTDK Zero Trustを構築します。
  • 外部公開環境評価システムによる脆弱性評価
    950点満点中800点以上(グレードA)を継続

2024年度:TDK Zero Trustの定義と今中期の達成目標を定める。
2026年度:中期最終年度として、目標を達成する。

2024年度の目標と実績

2024年度目標 実績
TDK Zero Trustの定義と今中期の達成目標を定める TDK Zero Trustの定義と達成目標を定め、達成に向け活動を推進
外部公開環境評価システムによる脆弱性評価

全評価対象システム

950点満点中800点以上(グレードA)を継続 		全評価対象システムに対し、800点以上(グレードA)を達成

[主な実績]

NISTのサイバーセキュリティフレームワークに従い、情報セキュリティの施策を強化しました。

  • インターネット側から見たTDKグループ全社の脆弱性を評価(外部公開環境評価システムを利用)し、脆弱性を特定し改善(②特定、③防御、④検知)
  • サプライチェーンの情報セキュリティ状況を確認し改善を支援。TDKグループで活動を拡大(①統治)
  • 情報セキュリティインシデントに対する訓練(経営層向けおよび海外拠点向け等)を継続実施(⑤対応、⑥復旧)
  • 内部不正リスク対策として、AI監視ツールを海外拠点に展開し、内部不正リスクへの対策を強化(③防御、④検知、⑤対応)
  • 情報セキュリティ教育とメール訓練を実施(③防御)

評価と今後の取り組み

2024年度は構築活動の初年度として、TDKでのZero TrustをTDKグループ全社で明確に定義し、達成計画を策定しました。
今期はTDKグループ各社協力のもと体制を構築し、活動を推進しました。
2026年度には2024年度に定めた中期最終年度の目標達成を目指します。

取り組み

情報セキュリティ強化の取り組み

  • TDK Zero Trustの構築
    2024年度はTDK Zero Trustの定義と達成目標を定め、達成に向け活動を推進しました。
  • サプライチェーンセキュリティ
    TDKの事業活動を止めないために、TDKグループ全社で以下の施策を展開し、TDKのみならずサプライチェーンの情報セキュリティ状況の把握と改善を推進しました。
    最新のセキュリティ情勢を鑑み、活動の対象を拡大しました。
    • 調査票による情報セキュリティの管理体制と運用ルールの確認
    • 外部公開環境評価システムを用いた脆弱性の確認
    • 個別調査による実際の運用状況の確認
  • 内部不正リスク対策
    情報漏えいによる信用・信頼の失墜を防ぐため、AI監視ツールの導入拠点を海外に広げ、内部不正リスク対策を実施しました。
  • インシデント対応
    経営層向けにインシデント訓練を行い、経営層としての役割と対応を再認識しました。
    実担当者向けに国内および海外拠点へインシデント訓練を行い、インシデント発生時の対応手順を再確認しました。

[パートナーシップ構築宣言にて弊社活動が紹介]

サプライチェーンセキュリティの活動において、中小企業庁のパートナーシップ構築宣言 取り組み事例集にて弊社の活動が紹介されました。

情報セキュリティ教育

TDKグループでは情報セキュリティの維持と向上に取り組むために、毎年1回以上、情報セキュリティ教育と標的型攻撃メール訓練をチームメンバーに実施しています。
情報セキュリティ教育は、コンピュータの使用者を対象に、グループ各拠点で実施しており、教育の内容や頻度については、各拠点が置かれている環境や状況に応じて、適切な内容を取り入れています。
メール訓練も各拠点において、実際の攻撃メールを模したメールをチームメンバーに配信し、添付ファイルの開封者数やURLのクリック者数を確認しています。

脆弱性の特定と改善

サイバー攻撃を行うハッカー側の視点でインターネット側からTDKのシステムを常時グローバルでモニタリングし、対応が必要なリスクの高い脆弱性に対し、速やかにアクションをとっています。
さらにTDKグループでは、年に1回以上第三者による脆弱性診断を実施し、情報セキュリティの管理状況における脆弱性の特定および改善を行っています。

セキュリティインシデント対応の強化

情報セキュリティインシデントに対応するための組織CSIRT(Computer Security Incident Response Team)を構築し、情報セキュリティインシデントが発生した際の対応体制や対応計画をCSIRP(Computer Security Incident Response Plan)に定めています。
TDKグループでは、情報セキュリティに関する事業継続計画(IT-BCP)を策定し、情報セキュリティインシデント発生時の対応をあらかじめ定めています。また、IT-BCP訓練を年に1回以上実施し、その結果を踏まえて、定期的に計画の見直しも行っています。

情報セキュリティマネジメントの外部認証

TDKグループ一部拠点で、ドイツ自動車工業会が定める情報セキュリティ認証規格であるTISAX(Trusted Information Security Assessment Exchange)を取得しています。

個人情報の保護

TDKはTDK プライバシー・ポリシーのもと個人情報とプライバシーの保護に努めます。
また、TDK による個人情報の取り扱いすべてに適用されるTDK プライバシー・ポリシーの一部としてTDK 個人情報保護基本方針を定めています。

関連情報

TDKグループでは、個人情報も情報セキュリティの一つとして捉え、情報セキュリティの体制で個人情報の適正管理に努めています。個人情報の管理状況を年次で確認し、結果を踏まえた是正・改善を行っています。
情報セキュリティ委員会配下の組織として、個人情報保護分科会を設置し、個人情報保護のための機関と定め、個人情報の取扱いに関する問い合わせ窓口としています。

プライバシー侵害に関する苦情申し立て

2024年度、顧客プライバシーの侵害および顧客データの紛失に関して各グループ会社での発生報告およびお客様からの不服申し立ての受理はありませんでした。また、顧客データを二次的な用途で使用した事例もありません。