情報セキュリティ
1.方針・基本的な考え方
情報セキュリティに関する個別方針
- 当社では、情報の取扱いリスクに関し、「情報セキュリティ方針」を制定し、すべての役職員が情報の適切な取扱い・管理・保護・維持すべく努めています。また、行動規範を示し、高い情報セキュリティレベルを確保することにより、経営活動に必要な情報の適切な管理を実現するために、全ての役員と社員を対象に「情報管理基本規程」を定めています。具体的には、情報管理リスクマネジメント、個人情報保護・管理、文書管理、ITセキュリティに関する規則や基準を定め、個人情報や機密情報の漏えい防止に努めています。
データ利用に関する個別方針
- 当社は、行動規範に基づいて、業務に携わるすべての組織と個人が守るべき個人情報と特定個人情報の保護に関する方針を定め、情報の保護、管理を徹底し、法規制の遵守及び、プライバシーを含めたパーソナルデータ全体の保護を確実に行っています。
2.推進体制
- 当社では、取締役会の諮問機関である「リスクマネジメント委員会」がグループ全体のリスクの管理と対応方針の決定を行います。委員会は決定内容を取締役会に付議し、取締役会が最終的な方針を議決します。
- 当社では、情報資産に関わるグループ全体の統一的な情報セキュリティの確保、サイバーインシデントへの対応方針の策定等を目的に、「セキュリティ委員会」を設置しています。同委員会の委員長は、取締役会の諮問機関である「リスクマネジメント委員会」の委員長であるCRO(最高リスク責任者)が務めています。また、CIO、CISO、情報危機管理室、BELL-CSIRT、法務部及びリスクマネジメント部の責任者が委員として参加しています。同委員会が各部門、グループ子会社及び関連会社の情報セキュリティ管理責任者と連携し、情報セキュリティの管理状況を的確に把握するとともに、情報セキュリティ強化のための各種施策をグループ全体に横断的に迅速に展開しています。
3.取り組み
予防策
- サイバーセキュリティ対策
- SOC(Security Operation Center)による24時間監視
- 従業員に対する周知・教育
- 標的型メール攻撃に対する全社員向け対策訓練を年に2回実施
- サイバーセキュリティに関する従業員のリテラシー向上と意識醸成のためのコミュニケーションの強化(「セキュリティニュース」等)
- イントラネット上に「サイバーセキュリティポータル」を公開し、サイバーセキュリティに関する最近の動向や事例を発信
事故(インシデント)対応
- CSIRT(Computer Security Incident Response Team)の体制を導入
- 当社は、サイバー攻撃等によるインシデント発生時における迅速な対応を実現するために、最高情報責任者(CIO)の配下に専門組織として「BELL-CSIRT」部門を設置しています。また、被害の規模や深刻度に応じたインシデント発生時の対応を定め、即座にインシデント対応(原因調査、対応策検討、サービス復旧)や再発防止を実施しています。
4.ISMS認証
- 当社は、BSIグループジャパン株式会社による審査にて、以下の通り情報セキュリティマネジメントシステム (ISMS)の国際規格の認証を取得しております。認証取得適用範囲の業務にかかわる全従業員は、引き続き情報セキュリティマネジメントの維持・向上の取り組みを継続していきます。
| 認証基準 | ISO/IEC27001:2022 |
|---|---|
| 認証付与機関 | 一般社団法人情報マネジメントシステム認定センター(ISMS-AC)、米国認定機関(ANAB) |
| 認証機関 | BSIグループジャパン株式会社 |
| 認証登録番号 | IS 581337 |
| 登録範囲 |
|
| 初回認証登録日 | 2003年5月19日 |
| 最終更新日 | 2025年2月24日 |
| 有効期限 | 2027年2月12日 |
| 審査頻度 | 1年ごとに維持審査、3年ごとに更新審査を実施 |
