ガバナンス サイバーセキュリティ

指針・基本的な考え方

ＵＢＥグループ情報管理基本指針

私達は、情報の保護と会社情報の正しい開示を行います。

1. 個人情報、取引先情報の保護に努めます。
2. 未公開の企業情報（インサイダー情報）と会社の秘密情報の取り扱いについては、万全の注意を払います。
3. ステークホルダーに正確な会社情報を、迅速かつ公平に開示・提供します。

情報セキュリティ指針

1. ＵＢＥグループは、価値ある製品、技術、サービスの創造により豊かな社会の実現に貢献するため、情報セキュリティ運営体制のもと、社会に信頼され評価される会社としてふさわしい情報の開示、活用、保全及び管理を実現します。
2. ＵＢＥグループの役員および従業員等関係者ひとりひとりが、情報資産の重要性を認識し、企業活動に多大な影響を与えるさまざまな情報セキュリティを万全なものにするために、関係法令や社内規程類の遵守、社員教育・啓発、情報セキュリティ対策の実施を行います。また、情報セキュリティを確実に維持するため、情報セキュリティ関連活動の点検を定期的に行い、継続的な改善に努めます。

プライバシー・ポリシー

ＵＢＥグループでは、プライバシー・ポリシーを次のように定め、個人情報保護のための施策の実施、維持、改善のための活動を行なっています。

1. 事業の内容および規模を考慮した適切な個人情報の取り扱い（取得、利用、移送、保管、提供、廃棄等）に関する規程を整備し、遵守いたします。
2. 個人情報の保護に関する法令等を遵守いたします。
3. 個人情報の紛失、破壊、改ざん、漏えい等を防止するための安全対策を実施するとともに、万一事故が発生したときは速やかに必要な是正措置を講じます｡
4. 個人情報の保護に関する施策を継続的に見直し、改善・向上に努めます。

マネジメント体制

情報セキュリティ運営体制

ＵＢＥグループは、情報セキュリティに関する最高責任者として「情報セキュリティ統括責任者」を置き、その補佐及び諮問機関として、情報セキュリティに関わる重要事項等の立案、審議を行う「情報セキュリティ委員会」を設置し、情報セキュリティ確保のための様々な取り組みを行います。

目標と実績

サイバーセキュリティを重要な経営リスクの一つとして捉え、情報セキュリティ体制を構築するとともに、以下にセキュリティ対策を分類し取り組んでいる。

管理的対策（組織・人）

• 情報セキュリティに関わる社内体制、規程・基準類を整備、情報セキュリティ対策に関わる計画の策定（Plan）、対策の実施（Do）、継続的改善の実施（Check/Action）に取り組む。
• 情報セキュリティ教育や標的型攻撃メール訓練、またセキュリティに関する注意喚起などの啓発を行い、従業員のセキュリティに対するリテラシー向上を図る。

物理的対策

• 事務所の入退室管理、また、工場等、事業所の敷地境界や入退門管理などセキュリティ対策強化に取り組む。

技術的対策

• 巧妙化するサイバー攻撃への的確な対応、また、IoT、ICTの積極活用を支える基盤としてセキュリティ対策を強化する。

取り組み

情報セキュリティ担当部門は、各対策の目標（KPI）を定め、セキュリティ対策の強化に取り組んでいる。

リスク対応、対策評価

• 外部の第三者が提供の対策評価ツールを用いて各種セキュリティガイドラインの対応状況をチェック、業界平均と比較、遅れている対策の改善に取り組んでいる。 （経産省／サイバーセキュリティ経営ガイドライン、NIST／Cyber Security Framework、など）

社員教育・訓練

• 情報セキュリティ教育の実施
  全就労者を対象に、年1回ｅラーニングを実施している。
• 標的型攻撃メール訓練の実施
  全メール利用者を対象に年2回訓練を実施、また、訓練後にフォローアップを実施している。
• セキュリティインシデント対応訓練の実施
  CSIRT（Computer Security Incident Response Team）体制を整備し、ウイルス感染を想定した疑似訓練を年1回実施、セキュリティインシデント発生時の被害を最小化するための体制を確認している。
• IT-BCP訓練の実施
  万が一のデータセンター被災に備え、バックアップサイトで業務システムを再稼働できるようシステム環境および体制を確認している。

内部監査

社内における情報セキュリティの達成状況、及びＩＳＯ等各種基準の準拠・遵守状況等を定期的に監査し、情報セキュリティ統括責任者に対して、監査報告、是正勧告等を実施している。