1. HOME
  2. サステナビリティ
  3. ガバナンス
  4. 情報セキュリティ
sitemap

情報セキュリティ

推進体制

JSRではサイバーセキュリティ統括室が中核となり、JSRグループ全体の情報セキュリティ向上を図っています。サイバーセキュリティ統括室は、グループ全体の情報セキュリティの維持管理、従業員への教育・啓発、サイバー攻撃インシデント発生時の対応力強化などについて、社外の専門家とも連携して継続的に取り組んでいます。

個人情報については、個人情報保護法およびGDPR(EU一般データ保護規則)等の関連法令に準拠し、個人情報の適正な取扱いと管理の強化に努めています。総務担当執行役員を個人情報管理責任者とし、総務部および人財開発部が主管部門として、個人情報の保護および従業員への周知・教育を推進しています。

方針/基本的な考え方

JSRグループは、情報セキュリティを重要な経営課題と位置付け、「情報セキュリティ方針」を定めています。当該方針に基づき従業員への周知を徹底することで情報の適正管理を図ります。

情報セキュリティ方針

  • JSRグループは、当社および顧客・取引先などの第三者の情報資産については、法令その他の社会的規範を遵守して取り扱うと共に、これを適切に保護していきます。
  • JSRグループは、業務を効率的に遂行するため、当社の情報資産の整備につとめ、これを積極的に活用していきます。当社役員および従業員は、当社の情報資産を、与えられた権限の範囲内で業務の目的のためにのみ利用します。
  • JSRグループは、組織・体制を整備し、情報セキュリティに関する教育を行い、本方針及び関連諸規程の周知徹底をはかり、情報セキュリティ確保に向けた対策を推進します。
  • JSRグループは、適切な人的・組織的・技術的施策を講じ、情報資産に対する外部からの不正侵入、漏洩、改ざん、紛失・盗難、破壊などが発生しないよう努めます。
  • JSRグループは、万一情報資産にセキュリティ上の問題が発生した場合、その原因を迅速に究明し、その被害を最小限にとどめ、再発防止に努めます。
  • JSRグループは、外部環境の変化などに適切に対応するため、情報セキュリティ対策の評価・見直しを定期的に実施します。

指標と目標

リスクや事業規模等を踏まえ、毎年選定したグループ会社を対象に、JSR グループが導入する情報システムに必要なセキュリティ対策を規定した「JSRグループセキュリティガイドライン」の定着とセキュリティレベルの改善状況をモニタリングします。

今年度も対象となったすべてのJSRグループ会社に対して、ガイドラインの運用状況およびセキュリティレベルの改善状況を確認し、全体として着実な進捗を確認しました。引き続きガイドラインの定着と改善計画の実行を進めます。

取り組み

1. サイバーセキュリティに関わる取り組み

(1)技術的対策

JSRグループでは高度なサイバー攻撃にも対応できることを目指し、必要な技術的対策を積極的に導入しています。具体的な取り組みは以下のとおりです。

  • ファイアウォール、ネットワーク侵入検知・防止システム導入により、外部からの不正アクセスを遮断
  • 社内の全パソコン、及びサーバーにサイバー攻撃のような不審な挙動を検知する仕組みを導入し、リアルタイムでの脅威検知と対応を実施
  • 外部から侵入の恐れがあるシステムの脆弱性について、定期的なスキャンと迅速なセキュリティパッチの適用により、システムの安全性を維持
  • 外部専門機関が運営するSOC(Security Operation Center)を活用し、24時間365日体制で監視

(2)人的対策

情報セキュリティハンドブック

従業員が情報漏洩リスクに対する感度をさらに高め、常にルールに則って行動できるよう、情報セキュリティハンドブックを発行するとともに、 eラーニングによる従業員へのセキュリティ教育を定期的に実施しています。

(3)組織的対策

JSRグループ会社のセキュリティアセスメントおよび改善状況のモニタリングを実施しています。当該アセスメント結果に基づき、改善が必要な拠点に対して改善指摘事項一覧を作成し、当該指摘事項が改善されるまでモニタリングを行っています。また、近年はサプライチェーンにおけるリスクマネジメントの重要性の高まりから、取引先のセキュリティアセスメントも実施しています。さらに、セキュリティインシデントの発生状況や各種セキュリティ監査の状況等については、定期的に役員会議へ報告を行い、組織全体でのセキュリティガバナンスを推進しています。

2. 個人情報保護に関わる取り組み

JSRグループは、高度情報通信社会における個人情報保護の重要性を認識し、「個人情報の保護に関する法律」に基づいてプライバシー・ポリシーおよび個人情報取扱規程を定めています。あわせて、マイナンバー制度に対応するため特定個人情報取扱規程を定めています。

これらの規程のなかで、関連法令およびプライバシー・ポリシーに基づき、特定個人情報などの「取得」、「保管」、「利用」、「提供」、「開示、訂正、利用停止」、「廃棄」の各段階における留意事項および安全管理措置について定め、特定個人情報などの適正な取り扱いを確保しています。

また、GDPR(EU一般データ保護規則)の対象となる個人データを取り扱うグループ会社に対して、データの取得・処理・移転におけるGDPR遵守体制の構築・運用を支援しています。

例えば、2024年度は、JSRグループの体制変更に伴い、欧州委員会の定める標準契約条項(Standard Contractual Clauses:SCC)に基づいて締結していたグループ間のデータ保護契約(Intra-Group Data Processing and Data Transfer Agreement)を改定し、未締結であった一部グループ会社を同保護契約に契約当事者として追加しました。これにより、グループ全体のデータ保護体制を最新基準へと整備し、国境を越えるデータ移転の適法性と安全性を確保しています。その結果、法令順守の徹底、監査対応力の向上とリスク低減、ならびに運用ルールの統一による業務の平準化を実現し、グローバルなデータ活用を円滑に推進できる基盤を強化しました。