情報セキュリティ
クレハグループは、経営の持続可能性に影響を及ぼす情報管理に関わる重大インシデント発生回避のために、情報セキュリティ基本方針を定め、当社グループの保有する情報資産の可用性、完全性、機密性を維持するための情報セキュリティ管理システムを運用しています。
方針
クレハグループ情報セキュリティ基本方針
クレハグループは、事業活動に関わるすべての情報を対象に、適切に共有・活用するための安全・確実な管理の確立を経営の重要課題のひとつと認識し、以下の項目を情報セキュリティの基本方針とします。
クレハグループ情報セキュリティ基本方針
- クレハグループは、保有する情報資産の可用性、完全性、機密性を維持し、適切に情報を管理するための情報セキュリティ・マネジメント活動を推進します。
- クレハグループは、情報セキュリティに関するグループ全体の継続的改善活動に基づき、従業員一人ひとりが情報セキュリティの重要性を認識し実践するための教育を継続的に実施します。
- クレハグループは、それぞれの情報資産についてリスクアセスメントを実施し、そのリスクの重要性に応じた適切な対策を実施します。
- クレハグループは、関連法令、規則等の遵守を徹底します。
個人情報・特定個人情報の取り扱い
当社は、個人のプライバシーを尊重するとともに、個人情報を適切に取り扱い、適正に保護することが、当社の重要な社会的責務であると認識し、個人情報・特定個人情報の取り扱いを定めています。
マネジメント体制
GRI 2-24
当社のコーポレート・ガバナンス体制に則し、取締役会は情報セキュリティの監督および情報セキュリティ基本方針などの重要事項の決定を行っています。 取締役会の諮問機関であるサステナビリティ委員会は原則年2回開催し、情報セキュリティを含む、当社グループが取り組むべきサステナビリティ課題についてモニタリングを行い、取締役会に提言を行っています。サステナビリティ推進委員会は、執行機能として、情報セキュリティを含むサステナビリティ課題について、グループ全体の具体的な計画を策定し、その進捗管理を行っています。
サステナビリティ推進委員会の下部組織として情報セキュリティ部会を設置し、JIS Q 27001:2014に準ずる情報セキュリティ管理システム(ISMS:Information Security Management System)を構築、運用して、情報セキュリティの継続的改善を推進しています。
また、2019年度には、万一の情報セキュリティ事故発生時に備えた対応チーム(CSIRT:Computer Security Incident Response Team)を立ち上げ、情報セキュリティ事故の最小化を図る体制を整えています。CSIRTが即時に機能するよう、重大脅威に対するフローや体制の見直しも図っています。
目標・実績
KPI | 対象範囲 | 2019年度 結果 |
2020年度 結果 |
2021年度 結果 |
2022年度 結果 |
2023年度 結果 |
2025年度 目標 |
---|---|---|---|---|---|---|---|
経営に影響を及ぼすセキュリティ事故発生件数 | クレハ | 0 | 0 | 0 | 0 | 0 | 0 |
国内グループ会社 | 0 | 0 | 0 | 0 | 0 | 0 | |
海外グループ会社 | 0 | 0 | 0 | 0 | 0 | 0 | |
個人情報漏えい事故発生件数 | クレハ | 0 | 0 | 0 | 0 | 0 | 0 |
国内グループ会社 | 0 | 0 | 0 | 0 | 0 | 0 | |
海外グループ会社 | 0 | 0 | 0 | 0 | 0 | 0 |
取り組み事例
サイバー攻撃対策
外部からのサイバー攻撃を検知・遮断するシステムおよび外部からの侵入を検知した場合は被害を最小化するシステムを導入しています。セキュリティベンダーによる24時間365日の監視サービスにより、システムの安定稼働を維持しています。
情報資産のリスクアセスメントの実施
情報セキュリティリスクアセスメントを計画的に実施し、保有する情報資産の情報セキュリティ上のリスク評価と対策実施によりリスク低減を図っています。
情報漏えいリスク対策
定期的なセキュリティベンダーによる診断を実施するとともに、日々高度化、巧妙化するサイバー攻撃に対応するセキュリティ強化策を講じることで、常に高レベルのセキュリティ体制を維持しています。
情報セキュリティ教育、訓練
全従業員に対して継続的に情報セキュリティ教育を実施しています。また、不審メールを受信した場合の正しい行動を学ぶため、メール利用者を対象に標的型攻撃メール模擬訓練を実施しています。
在宅勤務における情報セキュリティ対策
2022年7月より導入した在宅勤務制度において、在宅で業務を遂行する場合の情報セキュリティの考え方や各種ルール事項を詳細にまとめた「利用ガイド」を制定し、その遵守を在宅勤務適用時の条件のひとつとして定めています。
情報システムの災害対策
当社の基幹業務システムおよび社内メールシステムには、災害対策の環境を有するクラウドサービスを導入しています。また、電子ファイルシステムも災害対策を考慮し、堅牢な国内データセンターで稼働しています。