グループ会社一覧

情報セキュリティマネジメント

マネジメント情報

事業活動との関わり

不二製油グループが事業活動を通して社会に貢献していくための基盤としてリスクマネジメントが重要であり、デジタルデータの価値が向上する昨今ではリスクマネジメントのテーマの一つとして、情報セキュリティマネジメントが期待されます。また、情報セキュリティマネジメントは、自社の経営情報のみならず、お客様や従業員などのデータ保護を徹底するという側面からも重要です。

考え方

不二製油グループでは、情報システムを取り巻くさまざまな脅威に対し、情報資産の機密性・完全性・可用性を確保・維持するためにセキュリティレベルの向上に取り組んでいます。当社グループの方針として、情報管理規程および情報セキュリティ規程を策定し、規程の周知徹底に向けた従業員教育を継続して行っています。技術的には、外部からの不正アクセスを防御する仕組みやコンピュータウイルスを防御する仕組みなど、多層的な対策を講じています。今後も、情報セキュリティレベルの検証・確認・向上を継続してまいります。

推進体制

情報セキュリティマネジメントについては、最高財務責任者(CFO)の管掌のもとで取り組みを推進しています。同管掌役員のもと、情報管理統括責任者およびCSIRT(Computer Security Incident Response Team)を設置しています。CSIRTが各グループ会社に対して情報管理責任者および情報セキュリティ管理者を指名するとともに、外部の専門家の助言を得ながら、計画的に全グループ会社の情報セキュリティ水準向上を図っています。
また、ESGマテリアリティ※1の一つとして、取締役会の諮問機関であるESG委員会※2において進捗や成果を確認しています。ESG委員会の結果については取締役会に対して報告し、取締役会のレビューを受けています。

目標・実績

〇:目標に対して90%以上達成、△:目標に対して60%以上達成、×:60%未満

2020年度目標 2020年度実績 自己評価
情報セキュリティマネジメント成熟モデルのCOBITレベル4への到達
  • 売上高、個人情報の取り扱い有無などの観点で抽出した事業影響の特に大きなグループ会社8社に対し、セキュリティ内部監査を実施。
  • グループ全社のセキュリティ詳細把握を実施し、グループ各社における是正と改善のためのPDCAサイクルを構築。
  • COBITレベル4へ到達。
  • ※ COBIT:ITガバナンスの成熟度を測るフレームワークで、0~5段階で評価。5が最も成熟しているレベル(Optimizing)。2020年4月時点ではレベル3。

考察

COBITレベル4では、ITセキュリティを担保する活動の実施を証明可能で、情報資産保護とITセキュリティの確保遵守状況が測定可能で、改善が必要な場合に対処できる状態にすることが求められています。これらの要件への対応を目的に導入したセキュリティ内部監査では、監査以外のセキュリティ対策では発見できなかった運用上の課題などが明確化し、セキュリティレベル向上施策としての実効性を確認できました。

Next Step

ITセキュリティマネジメントにおいて、一部のグループ会社における、IT部門管轄外システムの存在および当該システムのセキュリティ管理の不足を課題として認識しています。これら課題への対策として、以下の2021年度目標に取り組んでまいります。

  • リスクトレンドを反映した「セキュリティ内部監査」の継続と監査対象システムのIT部門管轄までの拡大

具体的な取り組み

教育

グループ会社の従業者を対象に、2018年度よりeラーニングを中心としたITセキュリティ意識づけ教育を実施しています。2020年度の受講率は97.5%で、今後100%を目指して教育内容の充実・受講の促進に努めます。

セキュリティ内部監査

グループ会社におけるセキュリティ要件への遵守状況を、明示的な証跡とともに把握し、是正のためのPDCAサイクルを構築するために、2020年度よりセキュリティ内部監査を実施しています。初年度の監査対象会社は8社で、15の観点から実施しました。今後、対象会社を増やすとともに、監査における観点の拡充を図ります。