情報セキュリティ
基本的な考え方
情報セキュリティ対策の重要度は年々高まっており、ウイルス感染やシステムへの不正アクセス、個人情報の漏洩、サイバー攻撃など、多様化するリスクへの対策・方針を定めて未然に防止するとともに、インシデント発生時に影響を最小限に抑えることが重要です。当社グループは、「情報保護管理規程」「情報システム管理規程」などの規則・対応手順を定めるとともにITによる技術的・物理的な防御対策を実施し、適正な情報管理と情報セキュリティの維持・向上に取り組んでいます。
artienceグループ(以下、「当社グループ」という)は、当社グループが保有し取り扱うあらゆる情報を、重要な「情報資産」として適切に保護・管理し、完全な状態を維持し、いつでも事業活動に使用できるようにしておくことが、経営上の重要な責務であると認識します。特に、これら情報の取り扱いがICTシステムに強く依存している現代社会において、情報セキュリティのなかでも、電子化された情報に対するサイバーセキュリティの確保は必須と考えます。
この基本的な考え方に基づき、「情報セキュリティに関する基本方針」(以下、「本基本方針」という)を定め、情報セキュリティおよびサイバーセキュリティを確保すべく、情報資産およびICTシステムの適正な管理・運用に努めます。
- 適用範囲
本基本方針は、当社グループを構成するすべての会社および組織に適用されます。同時に、当社グループの役員、顧問、社員、契約社員、パートタイマー、派遣社員ほか当社グループの業務に従事するすべての人(以下、総称して「役職員等」という)に対しても適用されます。さらに、当社グループのサプライチェーンを構成するすべてのサプライヤーおよびビジネスパートナーやその他の関係者に対しても、本基本方針への理解と支持を求めます。
なお、本基本方針が対象とする情報の範囲は、当社グループが取り扱うすべての情報であり、これには社外第三者の情報も含まれます。 - 法令等の遵守
当社グループは、事業活動を展開する国または地域において適用される情報セキュリティに関する法令や規制、本基本方針を含む情報セキュリティおよびサイバーセキュリティに関する方針・社内規程・規則等を遵守します。また、情報セキュリティに関する社会行動規範、事業活動に伴う諸契約、情報の帰属先である社外第三者との取り決めに従います。
- 情報セキュリティ体制
当社グループは、情報セキュリティ活動を統括する部門が主管する「情報セキュリティオフィス」を設置します。情報セキュリティオフィスは、情報セキュリティおよびサイバーセキュリティに関する方針・社内規程・規則等の整備、リスク管理、インシデント対応、教育・研修、その他関連する全社レベルの情報セキュリティ活動を計画、推進、支援します。
また、当社グループの各社各部門は、情報セキュリティオフィスと連携して現場での情報セキュリティ活動を推進・実践する「情報セキュリティ管理者」を選任し、これによりグループ全体の情報セキュリティ体制を形成します。 - リスク管理
当社グループは、自身が取り扱う情報資産が、滅失、毀損、改ざん、漏洩、不正アクセス、サイバー攻撃等のリスクに常に曝されていることを深く認識し、必要かつ合理的なリスク管理を実践します。そのために、取締役会および代表取締役社長が監督するサステナビリティ委員会の下位組織であるリスクマネジメント部会と情報セキュリティオフィスの連携による、情報セキュリティリスク管理体制を構築します。
当社グループは、情報セキュリティおよびサイバーセキュリティに関するリスクの特定と評価、低減や対策などのリスク管理を実施するとともに、定期的または臨時に取締役会およびグループ経営会議に報告します。 - サイバーインシデントへの対応
当社グループは、サイバーインシデントの被害最小化と事業継続を目的とした緊急対応体制として、リスクマネジメント部会の直下に「artience-CSIRT」(artience-Cyber Security Incident Response Team)を設置します。artience-CSIRTは、
(1) 重要な資産である情報への被害低減と排除を確実に実行する
(2) 常にお客様第一を考え、迅速・誠実に対応する
(3) サイバー攻撃による犯罪に屈せず、ブランドイメージの維持向上を意識する
の行動原則に基づき、サイバーインシデント発生時の初動対応、対応方針決定、外部公表、当社グループ内外の組織との連携と情報収集、原因除去、復旧対応、再発防止策の検討を担います。 - サプライチェーンにおけるサイバーセキュリティの確保
当社グループは、あらゆる事業活動においてICTシステムを介した社外とのネットワークが不可欠であることに鑑み、当社グループのサプライチェーンを構成するサプライヤー、ビジネスパートナー、業務委託先、顧客やその他の関係者との情報共有および連携を通じて、サイバーセキュリティの確保に努めます。
- 教育・研修
当社グループは、本基本方針および関連する方針・社内規程・規則等に基づいた適切な教育プログラムを設計・作成し、すべての役職員等に対して情報セキュリティおよびサイバーセキュリティに関する教育・研修を定期的かつ反復的に実施します。また、これにより、役職員等の情報セキュリティリテラシーやスキルの向上を図り、当社グループとしての情報セキュリティレベルを確保します。
- 継続的な点検と改善
当社グループは、情報資産とICTシステムの管理・運用が適正に実施されていることを確認するために、定期的または臨時の内部監査や調査を実施します。また、情報セキュリティおよびサイバーセキュリティを取り巻く環境変化のスピードに適応すべく、情報セキュリティおよびサイバーセキュリティに関する情報を常に収集・分析し、最新環境の認識と理解に努めるとともに、関連する体制や取り組みを定期的に点検する、本基本方針を含む方針・規程・規則等を最新環境に合わせて改定するなど、情報セキュリティおよびサイバーセキュリティの継続的な改善を図ります。
- 改廃および管理
本基本方針の改廃は、artience株式会社の取締役会が決定しこれを行います。
また、本基本方針の改廃事務等を行う所轄部署は、artience株式会社の情報セキュリティ活動を統括する部門とします。
2024年5月10日 制定(2024年5月10日取締役会にて決議)
推進体制
情報セキュリティに関する取り組みやリスクへの対応は、artience(株)グループ情報システム部を主体に、グループ総務部(総務グループ、法務グループ)、グループ広報室と連携して推進しています。また、社員からの相談・通報窓口として、「情報セキュリティオフィス窓口」を設置しています。インシデント発生時には、その影響を最小限に抑えるため、「情報システム災害対策ガイドライン」、「artience-CSIRT※設置ガイドライン」に沿ってグループ情報システム部が事務局となる組織「artience-CSIRT」を設置し、リスクマネジメント部会やサステナビリティ委員会および経営層への報告と対応を行います。
- artience Cyber Security Incident Response Teamの略称
取り組み
2023年度の情報セキュリティ活動方針
リモートワーク等の多様な働き方とデータの利活用を前提として「artience-CSIRT」/情報セキュリティオフィス体制の実行性確保を進めることでサイバーインシデント対応や情報セキュリティ対策のさらなるレベルアップ
- CSIRT発足に伴う情報セキュリティの体制・推進強化
- データ活用と情報セキュリティ両立のための社員への継続教育
- 海外各社の情報セキュリティ対策への意識強化
- システムBCP対策再構築による技術的・物理的な防策強化
情報セキュリティに関する事故
2023年度は、個人情報の漏洩など、情報セキュリティに関する重大な事故は発生しませんでした。
個人情報の保護
個人情報保護の重要性を認識し、個人情報の取り扱いに関する法令・各種規範を遵守しながら、個人情報の適切な取り扱いと保護に関する取り組みを行っています。「プライバシーポリシー」を制定するとともに、「個人情報管理規程」を定めています。また、各部門で個人情報管理者を選任し、個人情報台帳により適切な情報管理を行い、お客様の信頼に応えられるよう努めています。2018年5月にEUで施行されたGDPR(EU一般データ保護規則)への対応など、各国の法規制を踏まえた取り組みも進めています。
サイバーセキュリティ対策
当社グループは、リスクマネジメントに関する基本方針に従い、サイバーインシデントに関わる不測の事態に対し、組織として対応力を強化させる必要があります。そのため、事態が発生した場合の被害の最小化と事業継続の維持を目的としてシステムBCP体制「artience-CSIRT」を設置しました。また、インシデント発生時の対応・復旧に合わせた「リスクマネジメント実施規則」「緊急対応規則」「情報システム災害対策ガイドライン」などの規則・対応手順に加え「artience-CSIRT設置ガイドライン」、「サイバーインシデント対応マニュアル」を整備し社内認知に努めています。
- 重要な資産である情報への被害低減と排除を確実に実行する。
- 常にお客様第一を考え、迅速・誠実に対応する。
- サイバー攻撃による犯罪に屈せず、ブランドイメージの維持向上を意識する。
セキュリティインシデント対応体制(2024年度)