情報セキュリティ

事業活動の基盤

情報保護に関する方針

ロームグループでは、事業活動を行う中で知り得たロームグループおよびステークホルダーの機密情報並びに個人情報について、情報セキュリティ方針および機密情報管理方針を定め管理徹底を図っています。

ロームグループ情報セキュリティ方針

1. コンプライアンス
ロームグループは、情報セキュリティに関する国内外の法令、規範および契約上の義務を遵守します。また、それらに準拠・適合した情報セキュリティ関連の社内規定を整備し、遵守徹底を図ります。
2. 情報セキュリティ管理体制
ロームグループは、情報セキュリティの取組みを、経営ならびに事業における重要課題のひとつと認識し、トップマネジメントの指揮のもと、情報セキュリティ管理体制を確立し、組織的、人的、物理的および技術的な情報セキュリティを維持し、継続的改善に努めます。
3. 情報資産の保護
ロームグループは、ロームグループの扱う情報資産の機密性、完全性および可用性に対する脅威から情報資産を適切に保護し、適切な管理措置を講じます。
4. 事故発生予防と発生時の対応
ロームグループは、情報セキュリティ事故の防止に努めるとともに、万一、事故が発生した場合には、適切な初動対応を迅速に実施することで影響を最小限に抑え、その原因を究明して再発防止に努めます。
5. 教育・訓練
ロームグループは、トップマネジメントおよび従業員へ、情報セキュリティの意識向上を図るため、情報セキュリティに関する教育・訓練を継続的に行います。
6. サプライチェーン全体の情報セキュリティの確保
ロームグループは、取引先、委託先などのサプライチェーン全体の情報セキュリティの維持・向上を図ります。

ロームグループ機密情報管理方針

ロームグループでは、ステークホルダーからお預かりした情報資産並びに当社が保有する情報資産(以下、総称して「機密情報」といいます。)がロームグループの事業活動の重要基盤であり、これを適切に管理することがロームグループの遂行すべき社会的責任であるという認識のもと、この方針に則り、機密情報を適切に管理し保護することを宣言します。

  • ロームグループは、機密情報の利用・管理にあたり、ロームグループの事業活動に適用される各種法令、規則、国・地域が定める指針、契約、その他の社会的規範を遵守します。
  • ロームグループは、トップマネジメントの指揮のもと、機密情報管理体制(Confidential Information Management System(CIMS))を確立し、これを運用します。
  • ロームグループは、機密情報の管理・保護のため、人的・組織的・技術的・物理的に適切な安全管理措置を講じます。
  • ロームグループは、ロームグループが取扱う機密情報にアクセスできる全ての関係者(役員、社員(契約社員含む)、派遣社員、業務委託先など)に対して、機密情報管理についての教育訓練を継続的に実施します。
  • ロームグループは、機密情報漏えい等の事故防止に努めるとともに、万一機密情報漏えい等の問題が発生した場合、その原因を迅速に究明し、再発防止のために必要な措置を講じます。
  • ロームグループは、機密情報管理体制について定期的にリスクアセスメント・内部監査を実施し、継続的に改善・見直しを行います。

情報マネジメントシステム推進体制

ロームグループでは、事業継続性を高める情報セキュリティ体制の構築と中期経営計画を支えるITツールの整備・提供・活用の定着を「情報セキュリティガバナンス」「サイバーセキュリティ」「ITガバナンス」における重点課題と特定し、情報マネジメントシステムの運用を情報管理委員会が主体となって行っています。本委員会は、執行権限を持つ取締役や事業部責任者等が参加するEHSS統括委員会※1の下部組織に設けられ、ロームグループにおける情報セキュリティリスク・サイバーセキュリティリスク・ITガバナンスリスクを適切に管理する役割を担います。
情報管理委員会の委員長は執行責任者が務め、その下部組織には「機密情報マネジメント専門部会」「ISMS(Information Security Management System) 専門部会」「サイバーセキュリティ推進専門部会」、「IT化推進専門部会」を設けています。各専門部会においては、テーマごとに目標策定、施策、評価を行い、その進捗・結果を情報管理委員会に定期的に報告します。また、EHSS統括委員会は情報管理委員会のPDCAが適切に回っているかどうかを評価・確認し、マネジメントシステムの精度の維持・向上を図る体制を構築しています。

また、グループのITを束ねるIT統括本部では、情報セキュリティマネジメントシステムの認証である、「ISO/IEC27001」を2013年より取得し、運用することで事業上の重要なデータなどの機密情報について、漏えいの防止、不正利用の排除などの適切な情報管理を推進しています。

  • ※1.
    EHSS(Environment、Health and Safety、Sustainability)統括委員会:8つの下部マネジメントシステム(環境、安全衛生、労働、倫理、情報、サプライチェーン、品質、リスク管理BCM)を司り、それぞれのPDCAが適切に回っているかを確認する経営の執行責任者により構成された会議体

【ガバナンス体制全体像】

ガバナンス体制全体像

【情報マネジメントシステム推進体制】

情報マネジメントシステム推進体制図
重点課題 担当専門部会 重点実施項目 2022年度目標
事業継続性を高める情報セキュリティ体制の構築 機密情報マネジメント
専門部会
機密情報の適切な保護・活用を図るマネジメント体制の構築 本社のマネジメント体制を国内関係会社へ展開する
ISMS専門部会 ビジネス継続、拡大に向けた、ISMS認証拡大とTISAX※2認証新規取得 欧州OEMから要請のあるSiC事業を中心とした関連組織で取得
サイバーセキュリティ
推進専門部会
サイバーセキュリティインシデント発生時の早期処置体制の確立 グループ全体で機能するCSIRT※3組織の立ち上げ
中期経営計画を支えるITツールの整備・提供・
活用定着
IT化推進専門部会 IT方針および情報、活動の共有化を図るための体制を構築 IT化方針をグループ全体で共有し、方向性を合わせる
CX※4・EX※5を向上するグループ全体のIT活用計画の策定 現場部門との対話を通して、顧客中心&従業員尊重のIT活用策を考案する
  • ※2.
    TISAX(Trusted Information Security Assessment Exchange):自動車のサプライチェーン全体の中で適切なレベルの情報セキュリティを評価するために、ドイツの自動車メーカーなどからの要請に基づいてサプライヤーが外部の審査機関による情報セキュリティ監査を受ける仕組み
  • ※3.
    CSIRT(Computer Security Incident Response Team):情報セキュリティにおけるインシデント対応するためのチーム
  • ※4.
    CX(Customer Experience):顧客との接点における好感度・満足度
  • ※5.
    EX(Employee Experience):従業員エンゲージメント

情報セキュリティに関する取組み

お客様やお取引先様に関する情報、また当社の保有する情報を適切に管理することは、社会により良い商品やサービスを提供し、信頼される企業経営を行う上で欠かすことができません。ロームグループでは、以下の継続的な取組みを通して、情報セキュリティ対策を進めています。また、万が一事故が発生した場合は、直ちにその原因を究明し、再発防止策を含む適切な対策を速やかに講じてまいります。

・ITの管理

ロームでは、IT資産(PC端末・ソフトウェア・USBなどの記憶媒体や社内通信機器)の購買・廃棄フローを一元化し、IT資産管理ツールで利用状況のモニタリングを行うと共に、月次の棚卸を実施することで、厳密なIT資産の管理を行っています。
この取組みを通じて、IT資産の不正利用やサイバー攻撃、セキュリティ違反等などのコンプライアンスリスク・セキュリティリスクを防止・管理しています。

IT資産の管理

※キッティング:PCを業務で使える状態にするため、各種設定やソフトウェアのインストールを行う作業

・デバイスにおけるセキュリティ対策

社員が使用するパソコンをはじめとするデバイスに対して、ウイルス対策やWindowsの脆弱性対策を実施しています。さらに、万が一の紛失に備えて、多要素認証やリモート操作でパソコンを初期化できる仕組みを導入することにより、情報漏えいが発生しない環境を整備しています。
昨今のサイバー攻撃リスクの高まりを受け、ロームでは、社員が使用するパソコンを外部の専門機関(Security Operation Center)により、サイバー攻撃の予兆を24時間365日体制で監視し、リスクを早期発見、早期対処する体制を整備しています。また、パソコンの操作ログを保管し、有事の際の解析と追跡(フォレンジック対応)を可能にしています。

・教育・研修

情報漏えい発生の原因の多くは、誤操作やデバイス・情報の管理ミス、情報セキュリティに関する認識不足などが挙げられ、これらはいずれも「人」に起因しています。ロームでは、「人」によって起こるセキュリティリスクを防止・低減するため、入社時に「情報セキュリティ関連誓約書」に署名することで情報に対する社員の責任を明確にし、入社後も社員に対して継続的に訓練や教育を実施し、セキュリティリテラシーの向上に取組んでいます。

【教育・研修実績】

教育・研修 目的・内容 年度 対象 受講者数 受講率
第1回標的型攻撃メールeラーニング システムの対策だけでは防げない、人を対象とした攻撃を防ぐために、社員一人ひとりのセキュリティに対する意識の向上を図る 2018年度 ローム 2,808名 83%
オンライン情報セキュリティ教育 機密情報の漏えいのリスクを再認識し、セキュリティ意識の向上を図る ノートPC
利用者
1,094名 92%
オンライン情報セキュリティ教育 リモート環境拡大に伴い、社員の情報セキュリティの重要性の再認識に向けて、ノートPCの利⽤・管理時における機密情報漏えいの防止ルールや具体的な注意点について教育 2019年度 ノートPC
利用者
1,465名 92%
情報セキュリティテスト 全社員の情報セキュリティ関連知識のレベルを把握し、今後の教育計画を策定するためにテストを実施 2020年度 ローム 3,157名 85%
情報セキュリティ教育eラーニング 在宅勤務の常態化に伴い、在宅時の情報漏えい防止や、WEB会議、電子メール等のオンラインコミュニケーションツール利用上の注意事項について重点的に教育 ローム 2,823名 80%
グレード昇格時教育 セキュリティ防御体制整備の推進を図る役割を担っているという認識を醸成するため、職位グレード昇格者に対して、巧妙化する標的型攻撃について、過去の被害事例や動画を用いた教育を実施 昇格者講習
受講者
272名 100%
第2回標的型攻撃メール訓練 アカウント情報を詐取するフィッシングメールを模した訓練を行い、社員の意識向上と初動対応の定着を図る 2021年度 ローム
グループ
11,126名 98%
機密情報マネジメント教育eラーニング 機密情報管理強化のために改訂した社内規定の周知徹底を図る ローム 3,587名 99%
サイバーセキュリティ基本対策チェック パソコンの設定内容の再確認と基本動作の再徹底を行い、サイバー攻撃耐性の向上を図る ローム 3,536名 95%
サイバーセキュリティ教育eラーニング サイバーセキュリティ確保のために新規制定した社内規定の周知徹底を図る ローム 3,518名 97%

個人情報保護管理の取組み

ロームグループでは、個人情報の保護を重要な経営課題として認識し、お客様、お取引先様、株主・投資家の皆様等の個人情報につき、「個人情報の保護に関する法律」やその他国の指針を遵守し、安全かつ適正に管理することを目的として、以下の取り組みを実施しています。

・プライバシーポリシーの策定、公開

個人情報の利用目的、お問い合わせ窓口、安全管理措置等を明確にしています。当該プライバシーポリシーは、弊社のホームページで公開しています。

・個人情報保護規程の策定

ロームグループが有する個人情報の適正な取り扱いと管理・運用・保護に関する基本的事項を定め、全社員に公開しています。本規程では、個人情報を取り扱う部門においては、当該部門の部門長を責任者として充てることを定めています。また、個人情報の漏えい等の事案やその恐れが発生した場合の報告体制などを定め、状況の早期把握、被害の拡大防止を図っています。
なお、社員が個人情報保護規程に違反した場合には、懲戒処分の対象になることがあります。

・従業員に対する教育の実施

個人情報の取り扱いに関する留意事項等について、全社員に対して教育を実施し、理解の向上に努めています。当該教育により、グループ全体でプライバシーポリシー、個人情報保護規程の浸透を図っています。

【教育・研修実績】

教育・研修 目的・内容 年度 対象 受講者数 受講率
改正個人情報保護法についてのeラーニング 個人情報保護法の基本と重要な改正内容の確認・理解 2022年度 国内ロームグループ 6,806名 98.8%