テクマトリックスグループ(以下、当社グループ)は、最先端のIT技術、ネットワーク機器、サイバーセキュリティ関連の商品およびサービスを提供しています。顧客のビジネスモデル変革と競争力の強化をサポートすることを通じて社会課題を解決し、持続可能な社会の創造に貢献します。
社会の脅威となっているサイバー攻撃がより高度化・悪質化する中、当社グループは、お客さまからお預かりした情報をはじめ、保有するすべての情報資産の保護と適切な安全管理が極めて重要であると認識しています。こうした考えの下、テクマトリックス(以下、当社)では、各種法令を遵守するとともに、「情報セキュリティ・マネジメント・システム(ISMS)」の導入により「情報セキュリティ方針」に基づく活動を継続的に実施・改善していく体制を構築しています。
情報セキュリティについて
情報セキュリティ基本方針
個人情報保護基本方針
当社グループは、「情報基盤事業」「アプリケーション・サービス事業」および「医療システム事業」の推進に際して収集された皆さまの個人情報を適切に保護することは、重要な社会的責務であると認識しています。こうした考えの下、当社では、個人情報の保護に関する法律、個人情報保護に関するガイドラインなどの指針、その他個人情報保護に関する関係法令を遵守するとともに、個人情報保護方針を定め、体制を構築・維持するとともに、その継続的な改善に努めています。
>個人情報保護方針(テクマトリックス)
個人情報保護方針に基づき、国内・海外のグループ各社においてグループ基準に沿った個人情報の取り扱いに関するルールを定め、グループ各拠点の所在国はもとより事業活動において適用される各国地域の法令を遵守し、お客さまおよびステークホルダーからお預かりした個人情報を適法、適切に取り扱っています。
情報セキュリティのガバナンス
当社は、経営の透明性と効率性向上に関する当社のコーポレートガバナンスの基本的な考え方に即し、代表取締役社長をトップとする執行機能と、取締役会による監督機能を明確に分離し、情報セキュリティガバナンス体制を構築しています。
執行機能として、四半期ごと(※)に開催される情報セキュリティ委員会(委員長:代表取締役社長)で確認された、情報セキュリティマネジメントに関するPDCAサイクルの実施状況や、セキュリティ対策の強化に向けた課題や対応策に関する事項や、情報セキュリティ委員会と連携し、社内のセキュリティ対策の実行を行う「情報システム部門」の活動状況に関する事項について、取締役会に年1回以上報告しております。
また、監督機能としては、経営全般に関わるコーポレートガバナンスの一環として、社外取締役参加による透明性の高い取締役会において、業務執行に対する十分な監督監査の実現に取り組んでおります。
※コーポレート部門の社員を中心とする「事務局会議」は毎月開催
セキュリティインシデントの防止、検知および対応
当社では、平時の活動を通じて情報セキュリティインシデントの発生を未然に防止するとともに、インシデントを早期に検知し緊急対応を行う組織として、IT推進部内にCSIRT(Computer Security Incident Response team)を新設しました。ログからの予兆や監視を強化し、インシデントレベルごとの対応手順の整備や訓練を行うことで、検知から復旧まで迅速かつ正確な対応が可能な組織となっています。今後は社内のみならず、社外の関係組織との連携強化も図っていく方針です。
<インシデント対応に向けたセキュリティ強化のサイクル>
当社では、CSIRTによる対応をベースに、定期的なリスクアセスメントを通して現状把握と対策におけるPDCAを回し、ISMSの運用改善とインシデント対応力の強化に取り組んでいます。具体的には年に1回、リスク精査に基づくセキュリティ強化を項目ごとに実施し、インフラおよび運用面からリスクを特定・分析し、継続的にセキュリティ強化策を実施していくことで、次期セキュリティ戦略の見直しを行っています。
<中長期でのセキュリティ強化計画>
ISOだけでなくNISTなどの国際基準を意識したCSIRT活動、ルール整備を推進し、2024年までに内部セキュリティの強化、2026年までに顧客向けセキュリティの強化、2028年にはすべてのグループ会社をカバーするセキュリティ監視体制の確立を実現する計画です。
情報セキュリティ強化の取り組み
日々新しい技術が生まれ活用されていくIT社会では、セキュリティ対策においても、非常に広範囲かつ迅速な変化対応が求められます。当社グループでは、ステークホルダーの皆さまの大切な個人情報をお預かりする事業者として、システムの運用・監視強化をはじめ最新の情報に基づく技術的な対策などシステムセキュリティ強化の取り組みを継続的に実施しています。
<物理的対策:ルールの具体化を物理的側面で支援>
・情報機器の持ち出し管理
・施設立ち入り制限や、入退室(館)管理
・重要度の高い情報の施錠管理 など
<技術的対策:ルールの具体化を技術的側面で支援>
・情報機器のウイルス対策、ハードディスクの暗号化、EDRツールの導入
・外部公開するサーバの脆弱性確認や保護対策強化
・外部からの不正アクセスや情報漏洩の監視と制御 など
情報セキュリティの教育・啓発
当社グループは、情報セキュリティ対応・情報資産保全のために、すべての役員および従業員の情報セキュリティ意識を向上させ、各種ポリシーの遵守を徹底しなければならないと考えています。
こうした考えの下、当社およびグループ会社は、各社において情報セキュリティに関する教育・啓発活動を実施しております。当社は、教育コンテンツの情報提供などを通じてグループ各社の活動を支援しています。なお、当社においては、すべての役員および従業員に対して、標的型攻撃メール訓練を継続的に実施し、攻撃を受けた場合の報告経路を明確化するとともに新たな気づきを促すことにより、従業員一人一人のセキュリティリテラシーの底上げを図っています。
サプライヤーへの取り組み
近年国内外において、サプライチェーンを狙ったサイバー攻撃が増加しており、企業は自社内にとどまらず関連企業への影響も考え、セキュリティ対策を強化していくことが求められています。こうした背景を踏まえ、当社においても、委託先や調達先などサプライチェーン全体を考慮したセキュリティ対策について取り組みを開始しています。
<サプライヤーの提供サービスの監視およびレビュー>
当社では、取引先サプライヤー企業を対象に、少なくとも年1回、セキュリティ状況の把握を行っています。また、必要と判断した場合においては、個別に企業調査アンケート(※)によるセキュリティ調査・監査を実施しています。
2023年3月期は調査対象企業より100%の回答を頂きました。なお、アンケートの結果、必要な措置をしていない・該当がない企業については、現状・理由・対応予定について報告を頂いております。
※「個人情報保護及び情報セキュリティに関する認証取得状況」および「個人情報保護に関するマネジメント状況」に関する企業調査アンケート(個人情報保護に関する調査票)