法令遵守と機密保持

情報セキュリティ

情報セキュリティ方針と体制

当社事業が社会的なインフラとしての側面を持つことを認識し、お客様の開示前のインサイダー情報を含む機密情報を守り、安全に取り扱うため、情報セキュリティ方針を定め、体制・システムの強化に努めています。

情報セキュリティ方針

「お客様の利便性や社員の操作性を守りつつ情報セキュリティ事故ゼロを実現する」という目標と、グループ全社員が遵守する10項目の行動指針からなる「情報セキュリティ方針」を定めています。

行動指針
  • 1. 組織的かつ継続的な運用を可能とするため、ISMS委員会を設置し、ISMSの確立と維持を行います。
  • 2. 機密性、完全性、可用性の高い信頼性実現に必要なリスクマネジメントを構築し、且つ実施します。
  • 3. リスクを合理的に評価するための基準とリスクアセスメント構造を確立します。
  • 4. 情報セキュリティに関する法的又は規制法律事項を遵守します。
  • 5. 契約上のセキュリティ要求事項を遵守します。
  • 6. 基本理念、目標、および行動指針は全社に適用します。
  • 7. 情報セキュリティ事件・事故が発生した場合迅速に処理し被害の拡大を防止します。
  • 8. 災害等の有事に備えて事業継続の対策を実施します。
  • 9. 情報セキュリティ管理策の有効性を測定し評価します。
  • 10. 情報セキュリティの教育、訓練を行い、啓発に努めます。
  • 11. 情報セキュリティに関する違反に対しては厳正な処分を行います。

情報セキュリティ体制・システム

ISO 27001への準拠を始めとして、当社におけるインサイダー情報管理および情報セキュリティ活動を確実に運用するために「インサイダー・情報セキュリティ委員会」を核とした体制を確立しています。
インサイダー情報を含む情報セキュリティに関する全ての活動は「インサイダー・情報セキュリティ委員会」のもとで協議・共有されています。

インサイダー情報を扱う業務システムについては集約化しており、営業から工場までの全部門を対象として定められた担当者以外はインサイダー情報に一切アクセスする権限を持たないよう一元管理する仕組みを実現しています。業務システムを集約化することでシステム間のデータ再入力や中間ファイル等によるデータ引渡しが不要となり、内部犯行および外部からの攻撃による情報漏えいリスクを低減しています。

また、インサイダー情報を扱う業務エリアを一般業務エリアから隔離し、そのデータを扱うファイルサーバーも一般のサーバーとは分離して運用しています。

CSIRT※1組織の構築

セキュリティインシデントへの対応を円滑に実施することを目的として、CSIRT体制を構築しています。

日々増加する脅威情報の把握と対策の検討や、インシデント発生時の対応手順の明確化、不正アクセスを早期に発見するためのログ監視等の活動を進めています。
標的型攻撃、ランサムウェア等の脅威に対するシミュレーションを定期的に実施し、対応手順の妥当性を確認しています。

  • ※1 CSIRT:Computer Security Incident Response Team(シーサート)コンピュータやネットワーク上で何らかの問題が起きていないかどうか監視するとともに、万が一問題が発生した場合にその原因解析や影響範囲の調査を行う組織の総称
インサイダー・情報セキュリティ委員会
インサイダー・情報セキュリティ委員会/委員長(社長)、監査室の下に個人情報保護管理者、ISMS管理責任者、事務局の下にCSIRT SOC※2と委員とまた、ISOワーキングメンバー ※2 SOC:Security Operation Center
当社におけるセキュリティ対策の概念図
セキュリティ施策 ・多層防御(入口対策,内部検知,出口対策) ・ISMSを核としたルール ・CSIRT※1組織による運用 ・セキュリティ教育 等/インサイダー情報管理 ・執務エリアの隔離 ・ネットワークの分離 ・アプリケーション内の制御 ・個人単位の厳密な権限設定と監査 ・インサイダー情報教育 等

インサイダー・情報セキュリティ活動

「サイバーセキュリティ経営ガイドライン」に対応した取り組み

当社においてサイバーセキュリティは重要な経営課題と捉えています。特に2015年に経済産業省により公表された「サイバーセキュリティ経営ガイドライン」で提示されている「サイバーセキュリティ経営チェックシート」の全要件には速やかに対応を実施することを、経営者によるCISO※2への指示項目としています。

  • ※2 CISO:Chief Information Security Officer 最高情報セキュリティ責任者

サイバーセキュリティの脅威分析と対応方針へのコミットメント

CISO※2による定期的なサイバーセキュリティの脅威分析を受け、経営レベルで脅威への対応方針およびリスクマネジメントの妥当性についての評価を実施しています。

社員への啓発活動

社員として守るべき必須項目を「プロネクサスグループ情報セキュリティ10カ条」としてまとめ、グループウェア内および社内の各所に掲示し、適正な行動を促すとともに社員向けの情報セキュリティ教育を定期的に実施しています。

「標的型メールによる防災訓練」や、eラーニングによる情報セキュリティ教育を定期的に実施しています。

インサイダー取引防止への取り組み

体制構築

当社は、企業のディスクロージャー・IRを支援する専門会社の責務として、インサイダー取引防止のため、組織体制、規則、教育、実務管理、情報システム、人事制度、監査等、広範囲の施策に取り組んでいます。組織としては、インサイダー・情報セキュリティ委員会が中心的な役割を担い、インサイダー情報の取扱いルールや未然防止ルールの設定、インサイダー情報の関与者の削減等を図っています。

インサイダー取引防止教育

全社員を対象とした年2回のインサイダー取引防止研修およびe-ラーニングによる理解度確認テスト、新入社員向け研修、加えて、機密情報に触れる機会の多い営業担当者やインサイダー情報取扱い担当者については、さらに年5回の専門研修を繰り返し実施しています。また、グループ会社や協力会社、業務委託先を対象とした定期研修や実地調査を継続的に実施しています。

株式取引規制

株式取引規制については、部長職以上、営業社員、インサイダー情報取扱い担当者の上場会社株券の売買を全面禁止とし、他の社員についても売買の際は事前申請による許可制を導入しています。また、毎年インサイダー取引防止のための誓約書の提出を全社員に義務づけています。