Information Security
情報セキュリティ
Basic Policy基本方針
エラングループ(以下「当社グループ」)は、心豊かな生活環境の実現に向け、企業の社会的責任として「情報セキュリティ」の基盤強化に取り組んでいます。今後も、サイバー攻撃等を含む情報セキュリティリスクを認識し、「情報セキュリティ」を重要な経営課題ととらえ、継続的な改善に努めます。
Governance of Information Security情報セキュリティのガバナンス
当社は、経営全般に関するコーポレートガバナンス体制に則し、最高執行責任者(COO)をトップとした執行機能と、その執行機能に対する監督機能である取締役会(BoD)による情報セキュリティガバナンス体制を構築しています。執行機能としては、COOがBoDや社外ステークホルダーに対し、情報セキュリティに関する説明責任を担っています。また、その実行責任はCOOの管掌下にある情報セキュリティ委員会およびその専任組織が担っており、情報セキュリティに関するグループ全体のリスク管理と戦略の策定・実行を統括しています。監督機能としては、経営全般に関するコーポレートガバナンスの一環としてCOOが最終的な監督責任を担っています。執行機能であるCOOは、BoDにエラングループ全体の情報セキュリティの状況を定期的に報告しており、環境の変化があった場合も随時報告することとしています。また、監査等委員会に対しては、より頻度を高めて定期的な報告を行っています。
より詳しい執行体制としては、グループ全体での情報セキュリティ戦略の策定と実行を統括するガバナンスレイヤー、策定された戦略に基づき各機能・部門内での計画を立案し実行を統括するマネジメントレイヤー、各機能・部門内で実行を担うエクセキューションレイヤーの3階層ごとに必要となるセキュリティ機能を定め、全社的に効果的・効率的な体制強化を進めます。また一般的なITシステムやデータガバナンスを含む情報セキュリティ(エンタープライズセキュリティ)、当社サービスに対する情報セキュリティ(プロダクトセキュリティ)それぞれのドメインごとに最適化したセキュリティ体制の構築を進めています。なお、個人情報保護に係る重要法令や社内規程の理解促進と遵守徹底(プライバシーコンプライアンス)は、個人情報保護管理担当本部長のもと体制の強化を推進しています。(https://www.kkelan.com/privacy/)
リスク管理については、セキュリティ統括管理者とその専任組織が、社外におけるサイバー攻撃の動向や業界におけるベストプラクティスなど様々な外的要因を考慮してグループ全体を対象としたリスク評価を行い、そのリスク評価を踏まえた上で、当社のビジネス戦略や顧客からの要求、法規制の動向などを考慮して中期戦略を策定します。そして各機能・部門が策定された戦略に基づいてリスク低減策を実行することにより、グループ全体で統一された基準に基づくバランスの取れたリスク低減が行われます。サイバー攻撃を受けた際等の危機管理体制については、迅速な対応、グループ全体や関係各機関との連携、経営陣による意思決定の3つが重要であるため、インシデントの迅速な抑え込みや復旧を担うCSIRTの構築に取り組んでいます。
Cybersecurity Strategyサイバーセキュリティ戦略
サイバーセキュリティーへの脅威に対しては、日々高度化・巧妙化する攻撃に対応するため入口、内部、出口の各層で様々なセキュリティ技術を導入し多層防御による情報資産の保護を行っていきます。
その一環として、サイバー攻撃を監視する活動を開始しており、ランサムウェアを含むマルウェアに関するアラートに対して、迅速に対応しています。また、実際の事案を基にしたインシデント対応訓練を実施し、対応手順の見直しを行っています。
パソコンには悪意のある挙動を検出し、パソコンが危険にさらされる前にあらゆるタイプの攻撃を阻止するマルウェア対策ソフトを導入するなど脅威の変化に対応できるよう、継続的な改善・強化を継続しています。
Personal Information Management個人情報の取扱いに関して
当社は、個人情報保護についてもJIS規格(JIS Q 15001)および「個人情報の保護に関する法律」に準拠した個人情報保護マネジメントシステムを維持するとともに、以下に掲げる個人情報保護方針のもと、役員および従業員に周知し、一般の方が、容易に入手できる措置を講じています。そして、この方針に従い個人情報の適切な保護に努めます。
(個人情報保護方針)
※当社は、一般財団法人日本情報経済社会推進協会(JIPDEC)から個人情報の取り扱いを適切に行う事業者に付与されるプライバシーマークの付与認定を受けています。
Education Initiatives教育に関する取り組み
全従業員を対象とした情報セキュリティ教育を、年に1度実施するほか、新入社員や新任管理職など階層ごとの研修や、プライバシーポリシーや個人情報の適切な取扱いについての教育・訓練を定期的に実施することで、セキュリティに対する意識とスキルの向上を図っています。併せて、社内報での情報セキュリティに関する連載を行っており、従業員全体のリテラシーの向上を促しています。