ガバナンス サイバーセキュリティ

指針・基本的な考え方

UBEグループ情報管理基本指針

私達は、情報の保護と会社情報の正しい開示を行います。

  1. 個人情報、取引先情報の保護に努めます。
  2. 未公開の企業情報(インサイダー情報)と会社の秘密情報の取り扱いについては、万全の注意を払います。
  3. ステークホルダーに正確な会社情報を、迅速かつ公平に開示・提供します。

UBEグループ情報セキュリティ基本指針

UBEグループは、強固な情報セキュリティ体制を構築し、永続的にサイバーセキュリティの被害を防ぐことで企業の信頼性を高め、ステークホルダーとの関係を発展させ、企業価値の向上を実現します。また、情報の適正開示、有効活用と保全及び会社の情報資産の適切な管理を推進し、社会に信頼され評価される会社を目指します。

スコープ

UBEグループ(UBE株式会社および連結子会社)及び連結対象外であってもネットワークを共同利用する会社を対象とします。

ゴール

従業員一人ひとりの高いセキュリティリテラシーと、高度なセキュリティ対策の導入による強固な情報セキュリティ体制で、様々なサイバー攻撃に耐えうる先進的なセキュリティ企業グループを目指します。そのために以下を実践します。

  1. 教育・訓練を強化し、従業員一人ひとりのセキュリティ意識の更なる向上を図ります。
  2. 全事業所において、物理的セキュリティ対策を強化し、不正な侵入を防止します。
  3. サイバー攻撃の動向に合わせ技術的セキュリティ対策を強化し、サイバー攻撃耐性を高めます。

コミットメント

  • 対外影響のあるセキュリティ事故の発生件数0件/年維持
  • 情報セキュリティ教育の受講率100%維持
  • 2027年度末までに、SecureScketchによる情報セキュリティ評価スコア 900点
  • 2027年までに、各職場の営業秘密保護対応および規程・基準遵守率100%
  • 2027年までに、標的型攻撃メール訓練開封率5%以下、開封連絡率75%以上
  • 2027年までに、全グループ会社の脆弱性アセスメントを実施

責任部署・見直し

情報システム部が統括管理を行います。

本指針は、中期経営計画に合わせ3年に1回の定期見直しを実施します。期中に見直しが必要な場合は、情報セキュリティ委員会で審議し、承認を得ます。

プライバシー・ポリシー

UBEグループでは、プライバシー・ポリシーを次のように定め、個人情報保護のための施策の実施、維持、改善のための活動を行なっています。

  1. 事業の内容および規模を考慮した適切な個人情報の取り扱い(取得、利用、移送、保管、提供、廃棄等)に関する規程を整備し、遵守いたします。
  2. 個人情報の保護に関する法令等を遵守いたします。
  3. 個人情報の紛失、破壊、改ざん、漏えい等を防止するための安全対策を実施するとともに、万一事故が発生したときは速やかに必要な是正措置を講じます。
  4. 個人情報の保護に関する施策を継続的に見直し、改善・向上に努めます。

マネジメント体制

情報セキュリティ運営体制

UBEグループは、情報セキュリティに関する最高責任者として「情報セキュリティ統括責任者」を置き、その補佐及び諮問機関として、情報セキュリティに関わる重要事項等の立案、審議を行う「情報セキュリティ委員会」を設置し、情報セキュリティ確保のための様々な取り組みを行います。

figure

目標と実績

サイバーセキュリティを重要な経営リスクの一つとして捉え、情報セキュリティ体制を構築するとともに、以下にセキュリティ対策を分類し取り組んでいる。

管理的対策(組織・人)

  • 情報セキュリティに関わる社内体制、規程・基準類を整備、情報セキュリティ対策に関わる計画の策定(Plan)、対策の実施(Do)、継続的改善の実施(Check/Action)に取り組む。
  • 情報セキュリティ教育や標的型攻撃メール訓練、またセキュリティに関する注意喚起などの啓発を行い、従業員のセキュリティに対するリテラシー向上を図る。

物理的対策

  • 事務所の入退室管理、また、工場等、事業所の敷地境界や入退門管理などセキュリティ対策強化に取り組む。

技術的対策

  • 巧妙化するサイバー攻撃への的確な対応、また、IoT、ICTの積極活用を支える基盤としてセキュリティ対策を強化する。

取り組み

情報セキュリティ担当部門は、各対策の目標(KPI)を定め、セキュリティ対策の強化に取り組んでいる。

リスク対応、対策評価

  • 外部の第三者が提供の対策評価ツールを用いて各種セキュリティガイドラインの対応状況をチェック、業界平均と比較、遅れている対策の改善に取り組んでいる。 (経産省/サイバーセキュリティ経営ガイドライン、NIST/Cyber Security Framework、など)

社員教育・訓練

  • 情報セキュリティ教育の実施
    全就労者を対象に、年1回eラーニングを実施している。
  • 標的型攻撃メール訓練の実施
    全メール利用者を対象に年2回訓練を実施、また、訓練後にフォローアップを実施している。
  • セキュリティインシデント対応訓練の実施
    CSIRT(Computer Security Incident Response Team)体制を整備し、ウイルス感染を想定した疑似訓練を年1回実施、セキュリティインシデント発生時の被害を最小化するための体制を確認している。
  • IT-BCP訓練の実施
    万が一のデータセンター被災に備え、バックアップサイトで業務システムを再稼働できるようシステム環境および体制を確認している。

内部監査

社内における情報セキュリティの達成状況、及びISO等各種基準の準拠・遵守状況等を定期的に監査し、情報セキュリティ統括責任者に対して、監査報告、是正勧告等を実施している。