BIPROGYグループはICT企業として、情報管理を最重要課題と位置づけています。
1990年に情報セキュリティ委員会を立ち上げて以来、長年情報セキュリティ対策に取り組んできました。2018年からはサイバーセキュリティ経営を継続的に実践するためのサイバーセキュリティ戦略を策定し、各種施策を推進しています。
当社グループは、ICTで培ってきた経験と実績を活かし、一企業だけでは解決できない社会課題を、さまざまな業種のお客様と連携してビジネスエコシステムをつくり出すことにより解決していきます。さらに、社会課題解決の実績・知見と、志を共にする人々とのネットワーク、長年の経験にもとづくデジタル技術を組み合わせて、「デジタルコモンズ」の社会実装を推進していきます。私たちが挑戦をし続けることによって、新しい価値が生み出され、持続可能なよりよい社会が実現されます。そして参画されたお客様の企業価値も、私たち自身の企業価値も向上します。そのためには私たちBIPROGYグループは常に情報セキュリティに関する安心・安全を確保し、お客様の信頼に応え続ける必要があります。情報セキュリティ対策をグループ役職員全員の意識に浸透させるとともに、サイバー攻撃など社会全体の課題に取り組みサプライチェーン全体で常に世界最高水準の情報セキュリティレベルを目指すことをここに宣言します。それを実現するためにグループ全体の安全管理措置の体制・運用ルールを定めた上で、サービス提供を担当する組織が安全管理措置の確実な実施に努め、その実施内容を専門組織が全社レベルで統一的・客観的に確認し、さらにそれらの実施状況を監査部門が的確に監査・モニタリングすることで形骸化を防止し継続的に改善します。またその進捗をお客様をはじめとしたステークホルダーに継続的に報告いたします。
私たちは顧客・パートナーと共に社会を豊かにする価値を提供し、社会課題を解決する企業にふさわしいサイバーセキュリティ経営を実践します。
2024年4月1日
BIPROGY株式会社
代表取締役社長 齊藤 昇
当社グループの情報セキュリティ推進体制は、CISOが委員長を務める総合セキュリティ委員会とその下部組織、および各組織の情報セキュリティ責任者/担当者で構成されています。
総合セキュリティ委員会は、当社グループのサイバーセキュリティ戦略の策定と個人情報保護を推進し、それに基づく諸施策を検討し推進します。CRMOが委員長を務めるリスク管理委員会と連携し、重大事故発生時には、原因究明と再発防止策のグループ全体への徹底を図ります。総合セキュリティ委員会の各活動については、CRMOから経営会議および取締役会へ報告しています。また、CISOは、サステナビリティ委員会に委員として参画しており、マテリアリティの一つとしての取り組み報告等、当社グループ全体のサステナビリティ戦略に関わる件については、サステナビリティ委員会委員長であるCSOから取締役会へ報告しています。
さらにサイバーセキュリティに対応するため、総合セキュリティ委員会の傘下に、サイバーセキュリティ戦略推進プロジェクトを設置し、グループ内の関係部門・組織と連携した組織横断的な体制で推進しています。また、サイバー攻撃の未然防止と事故対応を専門とする技術支援チーム(CSIRT)、ならびにグループ内のネットワーク、サーバーなどに対する脅威の監視・分析を目的とした、グループ内SOC(Security Operation Center)を設置・運用しています。
各組織の情報セキュリティ対策責任者および個人情報管理者は、各組織における情報セキュリティに関する一義的な管理責任を負い、組織内へのルールの周知徹底、施策の導入・運用、実施状況の点検、見直し、改善などを継続的に実施し、情報セキュリティの維持・向上をはかっています。
責任者 | 執行役員 CISO 宮下 尚 |
---|---|
審議機関 | 総合セキュリティ委員会 |
サイバー攻撃の手法は日々増加・高度化しています。当社グループはICT企業として、ビジネスにおけるデータの利活用が必須です。また、事業活動を通じて多くのお客様の秘密情報・個人情報に接しています。そのため、サイバーセキュリティリスクへの対応を最重要課題と位置づけており、デジタルトランスフォーメーションによる新たなビジネスの創出とサイバーセキュリティリスクへの対応を、表裏一体のこととして取り組んでいます。当社グループは、サイバーセキュリティ経営の実現のため、政府の「サイバーセキュリティ戦略」や経済産業省の「サイバーセキュリティ経営ガイドライン」などを踏まえ、サイバーセキュリティ戦略を策定しています。この戦略は、サイバーセキュリティ経営を継続的に実践するためのビジョン、ミッション、目的を明確化するとともに、広範囲かつ多様なセキュリティ施策で構成されています。戦略推進のため、グループ全体の情報セキュリティマネジメントを統括する「総合セキュリティ委員会」のもと、サイバーセキュリティ経営を実践しています。
具体的には、
などを行っています。
2021年度に、アセスメントによる成熟度の可視化を行い、3年間の重点対応の基本方針として、「ビジネス環境の多様化に対応するためのサイバーセキュリティ施策の実施」、「重大インシデントが懸念されるセキュリティ脅威への対応の強化」、「システムライフサイクル全体を強く意識した継続的セキュリティ対策の実装」などを定めています。
「重大なセキュリティインシデント発生数」0件、をマテリアリティのKPIおよび目標の一つとしており、年次の達成度評価の結果は、役員報酬に連動する仕組みとしています。2023年度の「重大なセキュリティインシデント発生数」は、1件でした。2023年11月に当社が受託業務において管理するサーバーが不正アクセスを受け、お客様情報漏えいおよび漏えいのおそれがある事案が発生しました。
なお、本件についての再発防止措置は実施済みです。
また、2022年6月21日に発生したUSBメモリーの紛失事案については、当初予定していた再発防止策については実施済み又は今後の実施目処を具体化済みであり、現在はさらなる改善策を継続的に検討・実施するとともに、本事故に関する意識の希薄化・形骸化を防止するための施策を実施しています。
再発防止策 | 概要 |
---|---|
(1)組織的安全管理措置 | 機密性が高い顧客情報資産にアクセスするプロジェクトの安全管理措置強化 新たに設置したセキュリティ専門組織がその安全管理措置の妥当性を外側から客観的に審査・承認し、網羅的に管理・モニタリングする仕組み・体制を整備 |
(2)物理的・技術的安全管理措置 | 可搬メディアの安全管理対策強化 受託業務および社内業務における可搬メディアの利用状況の責任者による確認の徹底 |
(3)委託先管理 | 安全管理措置および個人データの取り扱いの管理強化 教育・指導等により委託先監督に関する法令・当社グループ規程の遵守徹底。上記(1)組織的安全管理措置と内部監査の中で運用状況を確認・モニタリング |
(4)意識醸成等さらなる施策 | 本事案の風化、意識の希薄化、再発防止策の形骸化の防止徹底 二度と同様の事象を発生させないことをグループ役職員全員の意識と自覚に刻み込むため、毎年6月の本事案発生日を含む週を「情報セキュリティ週間」とすることを決定。2023年度は6月19~23日とし、CISOからグループ役職員へのメッセージを発信し、各種の情報セキュリティならびに個人情報保護関連の研修などを実施 |
ますます複雑化・巧妙化する情報セキュリティ上の脅威に適切かつ迅速に対処するため、グループ全社員を対象としたeラーニングや階層別集合研修、技術者向けサイバーセキュリティ研修および演習、協力企業様への計画的な研修を実施しています。
そのほか、日頃から情報セキュリティに関するさまざまなメッセージをPC起動時に自動表示するなど、セキュリティへの意識を継続的に高め、文化として根づかせる工夫を行っています。近年多発しているサイバー攻撃全般については、社外の事例をオリジナル教材に活用し、危機意識や当事者意識の醸成を図っています。
また、セキュリティ事故を報告するエスカレーションプロセスを明確に定めており、全従業員向けの情報セキュリティ研修にて周知徹底しています。2023年度の全グループ社員対象の個人情報保護に関する内容を含むセキュリティeラーニングの受講率は100%でした。
(2024年4月現在)
既存のテクノロジーのみならず、新たなテクノロジーの研究開発およびサービスを提供する際、それらが社会に良い影響を与えるだけではなく、負の影響や想定してい...
リスク管理委員会では、管理対象とするリスクをグループ全体で共通化し一元的に管理することを目的に、グループ共通のリスク分類体系を整備しています。現在、個...
ますます複雑化・巧妙化する情報セキュリティ上の脅威に適切かつ迅速に対処するため、グループ全社員を対象としたeラーニングや階層別集合研修、技術者向けサイ...
(2024年4月現在) BIPROGY株式会社 UEL株式会社 ケンブリッジ・テクノロジー・パートナーズ株式会社 株式会社...