当社は、「安川グループ企業行動規準」のひとつに「情報セキュリティの徹底」を掲げており、この規準に基づき、自社の情報のみならず、他社の重要情報および個人情報の保護を徹底するとともに、秘密情報の漏洩およびインサイダー取引を防止します。
当社は、この規準を実践するために、「安川グループ企業行動規準ガイダンス」の「私たちの遵守事項」として下記を公表しております。
安川グループ企業行動規準ガイダンス中の以下項目
4. 安川グループは、特許権・著作権・商標権等の知的財産権を尊重し、自社の権利を保護するとともに、他者の権利を侵害いたしません。
5. 安川グループは、自社の情報のみならず、他社の重要情報および個人情報の保護を徹底するとともに、秘密情報の漏洩およびインサイダー取引を防止します。
6. 安川グループは、企業情報の開示ルールを遵守するとともに、適時に、正しい情報の開示に努めます。
7. 安川グループは、適切な情報の作成・保管を行うとともに、業務上の重要な判断・ 意思決定の根拠を適切に記録化します。
「ゼロトラスト・セキュリティ」を念頭に、安川グループ・グローバル全体の外部環境に影響されないロバストな情報セキュリティ管理活動を遂行します。具体的には、i3– Mechatronicsを軸としたYDX (YASKAWA Digital Transformation)推進活動において、その経営・顧客情報資産の格納場所である安川データレイクならびに社内システムのセキュリティ施策・緊急対応を適正に実施していくとともに、グローバルでの脅威インテリジェンス監視・対応を強化します。情報を経営資源と捉え、経営・顧客情報資産を事故・災害・犯罪などの脅威から守り、継続的に維持すべく、以下の方針に基づき取り組みます。
当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。
当社は、情報セキュリティに関する役割と責任を定め、維持及び改善のために組織を設置し、これを組織的に管理運用する体制を確立します。
当社は、リスクレベルを定義しレベルに応じた適切な情報セキュリティ対策を講じるため、多目的なリスク分析を行うとともに、脅威と脆弱性のリスク評価を行います。また、リスク評価の結果を踏まえ、継続的に情報セキュリティ対策を改善していきます。
当社は、すべての従業員に対し「経営・顧客情報資産を保護することは、当社の事業継続活動の基本であり、企業として重要な社会的責任であること」を十分に理解させ、すべての従業員に対して適切な教育・訓練を行います。
当社は、情報セキュリティに関わる法令、規制、ガイドライン等の義務を遵守・尊重します。
当社は、情報セキュリティに関わるインシデントが発生した場合は、原因調査、対策を迅速に実施し、影響が最小限になるように努めます。また情報セキュリティ事故の予防および再発防止策を含む適切な対策を講じます。
情報セキュリティ体制としては、最高情報セキュリティ責任者(CISO)のもと、情報セキュリティ委員会を通し全体を統括し、グローバル拠点および事業部門・子会社に推進責任者をおき、組織的に対応しています。
また、3線防御の体制に外部SOC(Security Operation Center)を取り入れ更なる体制強化を図っております。
社内SIRT組織の継続的な活動により、会社経営に影響を及ぼす重大なデータ侵害やインシデントは発生しておりません。(2023年2月時点)
また、ランサムウェアや標的型攻撃メールなどに対しても日々のセキュリティ対策により防御されており感染や業務影響はありません。
個人情報を含む情報資産の取り扱いについては、リスクを排除し安全に事業活動を行うため、「会社情報管理規程」を制定しています。本規程には、役員、従業員(委託外注者含む)に対して情報セキュリティに関する行動規範を示すもので、これに基づき「会社情報管理マニュアル」を作成し、お取引先さまからお預かりしたデータや社内加工データの秘密情報レベルを定義した上で、それらの作成・取得・公開範囲の定義から廃棄にいたる業務プロセスにあわせて運用しています。
CISO配下に情報システム統括部門ならびにSIRT部門を置き、セキュリティ強化に取り組んでいます。不正アクセスやサイバー攻撃の主な対策として、社外とのファイル授受のセキュリティ強化(上司承認とデータ自動暗号化)、インターネット分離、セキュリティアプライアンスによる社内システム防御、セキュリティオペレーションセンター(SOC)を活用した24時間監視、標的型メールへの対応訓練などを実施しています。
社内教育についても毎年1回、国内グループの従業員を対象に、情報セキュリティe-ラーニングを実施、関連する注意喚起も定期的におこない、従業員一人一人の情報セキュリティに対する意識向上の活動に努めています。
毎月1回、情報セキュリティ意識の向上を目的とし、リスクに対する予防策の実施状況やインシデント発生および対応状況などを社内に報告しています。