Governance ガバナンス

情報セキュリティ

情報セキュリティ

BIPROGYグループはICT企業として、情報管理を最重要課題と位置づけています。

1990年に情報セキュリティ委員会を立ち上げて以来、長年情報セキュリティ対策に取り組んできました。2018年からはサイバーセキュリティ経営を継続的に実践するためのサイバーセキュリティ戦略を策定し、各種施策を推進しています。

biprogy株式会社, biprogy株式会社 財務部, biprogy株式会社 法務部, biprogy株式会社 人事部, biprogy株式会社 購買マネジメント部, biprogy株式会社 品質マネジメント部, biprogy株式会社 業務部, biprogy株式会社 広報部, biprogy株式会社 組織開発部

情報セキュリティ基本方針

当社グループは、ICTで培ってきた経験と実績を活かし、一企業だけでは解決できない社会課題を、さまざまな業種のお客様と連携してビジネスエコシステムをつくり出すことにより解決していきます。さらに、社会課題解決の実績・知見と、志を共にする人々とのネットワーク、長年の経験にもとづくデジタル技術を組み合わせて、「デジタルコモンズ」の社会実装を推進していきます。私たちが挑戦をし続けることによって、新しい価値が生み出され、持続可能なよりよい社会が実現されます。そして参画されたお客様の企業価値も、私たち自身の企業価値も向上します。そのためには私たちBIPROGYグループは常に情報セキュリティに関する安心・安全を確保し、お客様の信頼に応え続ける必要があります。情報セキュリティ対策をグループ役職員全員の意識に浸透させるとともに、サイバー攻撃など社会全体の課題に取り組みサプライチェーン全体で常に世界最高水準の情報セキュリティレベルを目指すことをここに宣言します。それを実現するためにグループ全体の安全管理措置の体制・運用ルールを定めた上で、サービス提供を担当する組織が安全管理措置の確実な実施に努め、その実施内容を専門組織が全社レベルで統一的・客観的に確認し、さらにそれらの実施状況を監査部門が的確に監査・モニタリングすることで形骸化を防止し継続的に改善します。またその進捗をお客様をはじめとしたステークホルダーに継続的に報告いたします。

私たちは顧客・パートナーと共に社会を豊かにする価値を提供し、社会課題を解決する企業にふさわしいサイバーセキュリティ経営を実践します。

  1. BIPROGYグループの事業活動において取り扱う重要な情報資産を情報セキュリティによる保護の対象とします。また、情報資産に接するBIPROGYグループに所属する全ての役員・従業員ならびに協力会社の従業員等を情報セキュリティの適用対象とします。
  2. BIPROGYグループ各社の経営陣は、情報資産に対し、物理的、技術的、組織的および人的なセキュリティの各側面においてリーダーシップをとって適切な情報セキュリティ対策を講じ、情報資産を漏洩、破壊、改ざん、不正アクセスまたはサイバー攻撃などの脅威から保護する責務を負います。
  3. BIPROGYグループは、サプライチェーンにおけるICT関連業務の外部委託先において、当社グループの情報セキュリティ基準に準じた適切な情報セキュリティ対策が講じられていることを確認します。
  4. BIPROGYグループは、情報セキュリティの推進にあたり、お客様との契約および関連法令を順守します。
  5. BIPROGYグループは、外部のサイバー攻撃に関する情報共有活動への積極的な参加を通じ、当社グループ内のみならず社会全体の防御に貢献します。
  6. BIPROGYグループ各社の経営陣は、高度なセキュリティ技術を保有する人材を計画的かつ継続的に確保すると共に、役員・従業員ならびに協力会社の従業員等に対し、情報セキュリティの重要性を認識させ、情報資産を適切に取り扱うよう周知徹底を図り、継続的に教育を実施し、セキュリティリスクの高い業務やお客様サービスへの要員のアサインメントを行います。
  7. BIPROGYグループ各社の役員・従業員は、別途定めるBIPROGYグループ情報セキュリティポリシーならびに関連する各社の社内諸規程及び諸規範に基づき、誠実に行動します。なお、違反した場合には、就業規則違反等により懲戒、並びに法的措置の対象とします。
  8. BIPROGYグループは、万一、情報セキュリティ上の事件または事故が発生した場合、迅速に対処する体制を確立し、被害を最小限にとどめると共に再発防止に努めます。また、平時・緊急時のいずれにおいても経営陣による適切な情報開示、コミュニケーションを状況に応じて行います。
  9. BIPROGYグループは、地震・災害及びインフルエンザの流行又は情報システムの重大な故障、情報資産の毀損や消滅等によって、事業活動が中断・停止することを最小限に抑えるために、物理的・技術的・組織的および人的な予防措置を講じます。また、万一の事態に備え、事業継続計画を策定し、事業活動と重要な業務プロセスの継続を確保します。
  10. BIPROGYグループは、本基本方針に基づく情報セキュリティ目的を定め、その目的の達成に向けた活動を継続的に実施・改善してゆく体制および仕組みを確立するために情報セキュリティマネジメントシステムを導入し、情報セキュリティの推進を図ります。

2024年4月1日
BIPROGY株式会社
代表取締役社長 齊藤 昇

biprogy株式会社, biprogy株式会社 財務部, biprogy株式会社 法務部, biprogy株式会社 人事部, biprogy株式会社 購買マネジメント部, biprogy株式会社 品質マネジメント部, biprogy株式会社 業務部, biprogy株式会社 広報部, biprogy株式会社 組織開発部

情報セキュリティの推進体制

当社グループの情報セキュリティ推進体制は、CISOが委員長を務める総合セキュリティ委員会とその下部組織、および各組織の情報セキュリティ責任者/担当者で構成されています。

総合セキュリティ委員会は、当社グループのサイバーセキュリティ戦略の策定と個人情報保護を推進し、それに基づく諸施策を検討し推進します。CRMOが委員長を務めるリスク管理委員会と連携し、重大事故発生時には、原因究明と再発防止策のグループ全体への徹底を図ります。総合セキュリティ委員会の各活動については、CRMOから経営会議および取締役会へ報告しています。また、CISOは、サステナビリティ委員会に委員として参画しており、マテリアリティの一つとしての取り組み報告等、当社グループ全体のサステナビリティ戦略に関わる件については、サステナビリティ委員会委員長であるCSOから取締役会へ報告しています。

さらにサイバーセキュリティに対応するため、総合セキュリティ委員会の傘下に、サイバーセキュリティ戦略推進プロジェクトを設置し、グループ内の関係部門・組織と連携した組織横断的な体制で推進しています。また、サイバー攻撃の未然防止と事故対応を専門とする技術支援チーム(CSIRT)、ならびにグループ内のネットワーク、サーバーなどに対する脅威の監視・分析を目的とした、グループ内SOC(Security Operation Center)を設置・運用しています。

各組織の情報セキュリティ対策責任者および個人情報管理者は、各組織における情報セキュリティに関する一義的な管理責任を負い、組織内へのルールの周知徹底、施策の導入・運用、実施状況の点検、見直し、改善などを継続的に実施し、情報セキュリティの維持・向上をはかっています。

情報セキュリティおよび個人情報保護推進体制図
責任者 執行役員 CISO 宮下 尚
審議機関 総合セキュリティ委員会
biprogy株式会社, biprogy株式会社 財務部, biprogy株式会社 法務部, biprogy株式会社 人事部, biprogy株式会社 購買マネジメント部, biprogy株式会社 品質マネジメント部, biprogy株式会社 業務部, biprogy株式会社 広報部, biprogy株式会社 組織開発部

サイバーセキュリティ戦略

サイバー攻撃の手法は日々増加・高度化しています。当社グループはICT企業として、ビジネスにおけるデータの利活用が必須です。また、事業活動を通じて多くのお客様の秘密情報・個人情報に接しています。そのため、サイバーセキュリティリスクへの対応を最重要課題と位置づけており、デジタルトランスフォーメーションによる新たなビジネスの創出とサイバーセキュリティリスクへの対応を、表裏一体のこととして取り組んでいます。当社グループは、サイバーセキュリティ経営の実現のため、政府の「サイバーセキュリティ戦略」や経済産業省の「サイバーセキュリティ経営ガイドライン」などを踏まえ、サイバーセキュリティ戦略を策定しています。この戦略は、サイバーセキュリティ経営を継続的に実践するためのビジョン、ミッション、目的を明確化するとともに、広範囲かつ多様なセキュリティ施策で構成されています。戦略推進のため、グループ全体の情報セキュリティマネジメントを統括する「総合セキュリティ委員会」のもと、サイバーセキュリティ経営を実践しています。

具体的には、

  1. 緊急時の対策として、事故対応技術支援チーム(CSIRT)の強化
  2. 米国国立標準研究所(NIST)のサイバーセキュリティフレームワークに準拠したアセスメントを実施し、その評価結果に基づきリスクベースで優先度をつけた各種対策の推進
  3. 教育・研修による危機対応力の強化
  4. サイバーセキュリティ対策基盤を整備し、ゼロトラストモデル※1への移行
  5. 政府が推進する官民の情報共有体制であるサイバーセキュリティ協議会へサイバー関連事業者等として参画
  6. サイバー攻撃のシミュレーションを含む脆弱性分析の実施
  7. ITインフラおよび情報セキュリティマネジメントシステムに対する、外部監査人による監査※2
  8. 万が一の予期せぬ事態による情報流出に対応するため、一定額までの保険を付保

などを行っています。

  • ※1すべてのアクセスを信頼せず、すべてを検査することを前提に「ユーザー」、「デバイス」に対する認証を行いアクセス権限があるか否かを検証してセキュリティを守る考え方
  • ※2「ISMS認証の外部審査」「プライバシーマーク制度の外部審査」「監査法人による調査、インタビュー」を実施

2021年度に、アセスメントによる成熟度の可視化を行い、3年間の重点対応の基本方針として、「ビジネス環境の多様化に対応するためのサイバーセキュリティ施策の実施」、「重大インシデントが懸念されるセキュリティ脅威への対応の強化」、「システムライフサイクル全体を強く意識した継続的セキュリティ対策の実装」などを定めています。

サイバーセキュリティ戦略概要図
biprogy株式会社, biprogy株式会社 財務部, biprogy株式会社 法務部, biprogy株式会社 人事部, biprogy株式会社 購買マネジメント部, biprogy株式会社 品質マネジメント部, biprogy株式会社 業務部, biprogy株式会社 広報部, biprogy株式会社 組織開発部

情報セキュリティインシデント発生実績

「重大なセキュリティインシデント発生数」0件、をマテリアリティのKPIおよび目標の一つとしており、年次の達成度評価の結果は、役員報酬に連動する仕組みとしています。2023年度の「重大なセキュリティインシデント発生数」は、1件でした。2023年11月に当社が受託業務において管理するサーバーが不正アクセスを受け、お客様情報漏えいおよび漏えいのおそれがある事案が発生しました。

なお、本件についての再発防止措置は実施済みです。

また、2022年6月21日に発生したUSBメモリーの紛失事案については、当初予定していた再発防止策については実施済み又は今後の実施目処を具体化済みであり、現在はさらなる改善策を継続的に検討・実施するとともに、本事故に関する意識の希薄化・形骸化を防止するための施策を実施しています。

USBメモリー紛失事案再発防止策の概要
再発防止策 概要
(1)組織的安全管理措置 機密性が高い顧客情報資産にアクセスするプロジェクトの安全管理措置強化
新たに設置したセキュリティ専門組織がその安全管理措置の妥当性を外側から客観的に審査・承認し、網羅的に管理・モニタリングする仕組み・体制を整備
(2)物理的・技術的安全管理措置 可搬メディアの安全管理対策強化
受託業務および社内業務における可搬メディアの利用状況の責任者による確認の徹底
(3)委託先管理 安全管理措置および個人データの取り扱いの管理強化
教育・指導等により委託先監督に関する法令・当社グループ規程の遵守徹底。上記(1)組織的安全管理措置と内部監査の中で運用状況を確認・モニタリング
(4)意識醸成等さらなる施策 本事案の風化、意識の希薄化、再発防止策の形骸化の防止徹底
二度と同様の事象を発生させないことをグループ役職員全員の意識と自覚に刻み込むため、毎年6月の本事案発生日を含む週を「情報セキュリティ週間」とすることを決定。2023年度は6月19~23日とし、CISOからグループ役職員へのメッセージを発信し、各種の情報セキュリティならびに個人情報保護関連の研修などを実施
biprogy株式会社, biprogy株式会社 財務部, biprogy株式会社 法務部, biprogy株式会社 人事部, biprogy株式会社 購買マネジメント部, biprogy株式会社 品質マネジメント部, biprogy株式会社 業務部, biprogy株式会社 広報部, biprogy株式会社 組織開発部

情報セキュリティおよび個人情報保護についての教育・啓発活動

ますます複雑化・巧妙化する情報セキュリティ上の脅威に適切かつ迅速に対処するため、グループ全社員を対象としたeラーニングや階層別集合研修、技術者向けサイバーセキュリティ研修および演習、協力企業様への計画的な研修を実施しています。

そのほか、日頃から情報セキュリティに関するさまざまなメッセージをPC起動時に自動表示するなど、セキュリティへの意識を継続的に高め、文化として根づかせる工夫を行っています。近年多発しているサイバー攻撃全般については、社外の事例をオリジナル教材に活用し、危機意識や当事者意識の醸成を図っています。

また、セキュリティ事故を報告するエスカレーションプロセスを明確に定めており、全従業員向けの情報セキュリティ研修にて周知徹底しています。2023年度の全グループ社員対象の個人情報保護に関する内容を含むセキュリティeラーニングの受講率は100%でした。

biprogy株式会社, biprogy株式会社 財務部, biprogy株式会社 法務部, biprogy株式会社 人事部, biprogy株式会社 購買マネジメント部, biprogy株式会社 品質マネジメント部, biprogy株式会社 業務部, biprogy株式会社 広報部, biprogy株式会社 組織開発部

ISMS(ISO/IEC27001:2013/JIS Q 27001:2014)認証の取得

(2024年4月現在)

  • BIPROGY株式会社
  • UEL株式会社
  • ケンブリッジ・テクノロジー・パートナーズ株式会社
  • 株式会社エイファス
  • キャナルペイメントサービス株式会社
  • ユニアデックス株式会社
  • エス・アンド・アイ株式会社
  • USOLベトナム有限会社
  • 株式会社国際システム
  • G&Uシステム・サービス株式会社
  • 株式会社トレードビジョン
  • 株式会社ユニエイド
  • BIPROGY福祉会
biprogy株式会社, biprogy株式会社 財務部, biprogy株式会社 法務部, biprogy株式会社 人事部, biprogy株式会社 購買マネジメント部, biprogy株式会社 品質マネジメント部, biprogy株式会社 業務部, biprogy株式会社 広報部, biprogy株式会社 組織開発部
ガバナンス
コーポレート・ガバナンス

コーポレート・ガバナンスコードの対応状況

すべてに対応しています。コーポレート・ガバナンスおよび内部統制に関する詳細は、以下のWebサイトをご覧ください。 https://www.bip...

ガバナンス
コーポレート・ガバナンス

基本的な考え方

BIPROGYグループが持続的に成長し、中長期的な企業価値の向上を図るためには、適正かつ有効な監視・監督のもと、経営者による健全かつ迅速な経営判断を可...

ガバナンス
コーポレート・ガバナンス

コーポレート・ガバナンス体制

当社は、社外取締役を含む取締役会による監督および社外監査役を含めた監査体制が経営の監視に有効と判断し、監査役会設置会社制度を採用しています。 ...

ガバナンス
コーポレート・ガバナンス

コーポレート・ガバナンス強化の取り組み

当社グループは、透明・公正かつ迅速・果断な意思決定を行う仕組みとしてのコーポレート・ガバナンス強化のため、常に改善に取り組んでいます。また、ビジネスエ...

ガバナンス
コーポレート・ガバナンス

取締役・監査役の多様性

当社取締役会は、取締役8名(うち2名が女性)のうち、ベンチャー投資・グローバルビジネス経験、国際課税やジェンダー、ESG/サステナビリティ分野における...

ガバナンス
コーポレート・ガバナンス

取締役の選任について

執行役員を兼務する取締役(以下、経営陣幹部)候補者については、高いモチベーションおよび倫理観を備え、当社の経営を的確かつ効率的に遂行することができる知...

ガバナンス
コーポレート・ガバナンス

取締役の解任について

CEOを含む経営陣幹部が、法令または定款等に違反した場合、経営陣幹部として不正、不当または背信の行為等があった場合、またはその役割・機能を十分に発揮し...

ガバナンス
コーポレート・ガバナンス

取締役会の実効性向上の取り組み

当社では、持続的な企業価値向上のためには、取締役会がその機能を十分発揮し、ガバナンスの強化を図ることが重要であると考え、2016年度より毎年、前年度の...

ガバナンス
コーポレート・ガバナンス

サクセッション・プラン

当社のサクセッション・プランでは、最高経営責任者に求められる重要な資質として、「真摯さ(integrity)」をベースとし、「先見性・ビジョン構築力」...

ガバナンス
コーポレート・ガバナンス

役員報酬制度

業務執行取締役の報酬として、業績に連動する賞与と株式報酬の割合を増やし、業績目標を100%達成した場合には固定報酬、業績連動賞与(親会社の所有者に帰属...

ガバナンス
コーポレート・ガバナンス

政策保有株式について

当社は、取引先との関係維持・強化により収益基盤の拡大につながるなど、当社の企業価値向上に資すると認められる場合には、当該取引先の株式を政策的に保有する...

ガバナンス
コーポレート・ガバナンス

株主・投資家との建設的な対話に関する方針

当社グループでは、国内外の株主・投資家の皆様へ適時適切に情報を開示するとともに、双方向のコミュニケーションを積み重ねることが公正な価値評価につながると...

ガバナンス
人の尊厳を守る研究開発・事業推進への取り組み

人の尊厳を守る研究開発・事業推進への取り組み

既存のテクノロジーのみならず、新たなテクノロジーの研究開発およびサービスを提供する際、それらが社会に良い影響を与えるだけではなく、負の影響や想定してい...

ガバナンス
人の尊厳を守る研究開発・事業推進への取り組み

ビジネスに関係する倫理の取り組み

当社グループにおける新たなテクノロジーの研究開発およびサービスを通じた社会実装を、倫理的・法的・社会的な観点(ELSI: Ethical, Legal...

ガバナンス
人の尊厳を守る研究開発・事業推進への取り組み

生命科学研究倫理審査委員会

生命科学研究倫理審査委員会では、社外有識者を招き、人を対象とする研究について倫理的配慮、科学的妥当性を審査します。これにより、人に関連する研究の実験参...

ガバナンス
人の尊厳を守る研究開発・事業推進への取り組み

AI倫理指針の策定・運用

近年、膨大なデジタルデータを取り扱うために生み出されたコンピューティングアーキテクチャと、蓄積されたデータをもとに学習し、認識・推論を行う AI 技術...

ガバナンス
リスクマネジメント

リスクマネジメントに対する考え方

激甚化する大規模自然災害、不祥事や情報セキュリティ上の脅威に加え、新型コロナウイルス感染症のような企業活動に重大な影響を及ぼすリスクは日々、多様化・複...

ガバナンス
リスクマネジメント

リスクマネジメント体制

当社グループは、経営に重大な影響を及ぼすさまざまなリスクに対して、適切な対応策を講じるための体制として、CRMO(チーフ・リスク・マネジメント・オフィ...

ガバナンス
リスクマネジメント

リスクマネジメントの仕組み(リスクの把握、対応、見直し)

リスク管理委員会では、管理対象とするリスクをグループ全体で共通化し一元的に管理することを目的に、グループ共通のリスク分類体系を整備しています。現在、個...

ガバナンス
リスクマネジメント

2023年度の取り組み

2023年度は「レジリエンス強化戦略2023」を策定し、2021年度から「ビジネスエコシステム創出企業として危機管理能力とレジリエンス※を高める」をビ...

ガバナンス
リスクマネジメント

重要なリスク

投資者の判断に重要な影響を及ぼす可能性のある事項には、以下のようなものがあります。 事業等のリスク 経済動向お...

ガバナンス
リスクマネジメント

事業継続計画 BCP

BIPROGYグループの事業継続計画 情報システムは、今や電力、水道、ガスなどと同様に、社会機能を維持するための重要なライフラインと言えます。当...

ガバナンス
情報セキュリティ

情報セキュリティ

BIPROGYグループはICT企業として、情報管理を最重要課題と位置づけています。 1990年に情報セキュリティ委員会を立ち上げて以来、長年情報セキ...

ガバナンス
情報セキュリティ

情報セキュリティ基本方針

当社グループは、ICTで培ってきた経験と実績を活かし、一企業だけでは解決できない社会課題を、さまざまな業種のお客様と連携してビジネスエコシステムをつく...

ガバナンス
情報セキュリティ

情報セキュリティの推進体制

当社グループの情報セキュリティ推進体制は、CISOが委員長を務める総合セキュリティ委員会とその下部組織、および各組織の情報セキュリティ責任者/担当者で...

ガバナンス
情報セキュリティ

サイバーセキュリティ戦略

サイバー攻撃の手法は日々増加・高度化しています。当社グループはICT企業として、ビジネスにおけるデータの利活用が必須です。また、事業活動を通じて多くの...

ガバナンス
情報セキュリティ

情報セキュリティインシデント発生実績

「重大なセキュリティインシデント発生数」0件、をマテリアリティのKPIおよび目標の一つとしており、年次の達成度評価の結果は、役員報酬に連動する仕組みと...

ガバナンス
情報セキュリティ

情報セキュリティおよび個人情報保護についての教育・啓発活動

ますます複雑化・巧妙化する情報セキュリティ上の脅威に適切かつ迅速に対処するため、グループ全社員を対象としたeラーニングや階層別集合研修、技術者向けサイ...

ガバナンス
情報セキュリティ

ISMS(ISO/IEC27001:2013/JIS Q 27001:2014)認証の取得

(2024年4月現在) BIPROGY株式会社 UEL株式会社 ケンブリッジ・テクノロジー・パートナーズ株式会社 株式会社...

ガバナンス
個人情報保護

個人情報保護の基本⽅針とマネジメント

BIPROGYグループは、個人情報の適切な取り扱いと保護の重要性を認識し、企業にとっての社会的責務として、個人情報保護の基本方針を定め、当社グループの...

ガバナンス
個人情報保護

個人情報保護の推進体制

当社グループの個人情報保護責任者は、CISOが務めています。 個人情報保護マネジメントシステムに則り、個人情報保護戦略を策定し、CISOが委員長...

ガバナンス
個人情報保護

個人情報保護についての教育・啓発活動

情報セキュリティおよび個人情報保護についての教育・啓発活動https://biprogy.disclosure.site/ja/themes/1...

ガバナンス
個人情報保護

プライバシーマーク認証の取得

(2024年4月1日現在) BIPROGY株式会社 UEL株式会社 ユニアデックス株式会社 エス・アンド・アイ株式会社 ...

ガバナンス
コンプライアンス

方針

グループコンプライアンス基本方針 BIPROGYグループは、社会を構成する一員として、国内外の法令を遵守するとともに、高い倫理観の下、社会規範に...

ガバナンス
コンプライアンス

推進体制

当社グループは、チーフ・コンプライアンス・オフィサー(CCO)を委員長とするコンプライアンス委員会を設置し、グループ全体でのコンプライアンス・プログラ...

ガバナンス
コンプライアンス

取り組み

コンプライアンス状況の点検と課題抽出 当社グループの全役職員を対象に、「コンプライアンス意識調査」を実施し、コンプライアンスの浸透状況を測っています...

ガバナンス
腐敗防止

腐敗防止

BIPROGYグループは、国連グローバル・コンパクトに賛同し、強要と贈収賄を含むあらゆる形態の腐敗の防止に取り組むことを約束しています。 当社グ...

ガバナンス
腐敗防止

腐敗防止の考え方

当社グループは、事業活動を行う各国・各地域の適用法令や規則(これには日本の不正競争防止法を含みます)を遵守し、健全な商習慣と社会通念に沿った公正な事業...

ガバナンス
腐敗防止

推進体制

コンプライアンス推進の一環として推進体制を整えています。 コミュニケーション・ルート(内部通報制度)は、贈収賄などの腐敗行為についても対象としており...

ガバナンス
腐敗防止

取り組み

政治寄付、ロビー活動 政治団体などへの寄付金の支出については、稟議制度により事前に承認を得ることとしています。 2023年度の政治献金・ロ...

ガバナンス
税務方針

税務方針

基本方針 BIPROGYグループは、法令・社会規範・社内規程の遵守はもとより、事業を行うそれぞれの国・地域の文化や慣習を理解し、高...

ガバナンス
税務方針

地域別納税額

地域別納税額(2023年度) ...