リスクマネジメント
マテリアリティ「顧客のプライバシー」へのアプローチ
お客様やお取引先からいただいた情報は、社会的に保護されるべき情報であり、かつ当社にとっての情報資産でもあります。これらの情報を適切に保護・管理する活動は重要であると認識しています。
| 担当部署 | 法務、セキュリティ部門 |
|---|---|
| KPI | 情報セキュリティに関するクレーム件数 |
| 2018年度目標 | 0件 |
| 2016年度実績 | 0件 |
| バウンダリー(対象範囲) | アドバンテストグループ |
| 関連する方針 | 情報セキュリティ基本方針、個人情報保護方針 |
| 関連するコミットメント | ― |
| 責任部署・部門 | ― |
| 関連する苦情処理制度 | 問合せ・苦情等は以下のメールアドレスを社外向けWebで公開し受け付けている。 InformationSecurityCommittee@advantest.com |
| 評価 | ○ |
リスクマネジメントの基本方針
アドバンテストは、以下に該当する事態が発生した場合に、被害を最小限に食い止めるための対策を講じます。
- 災害や事件等により、当社の事業の継続が困難になるような建物、設備の損壊、ネットワーク等の機能停止の発生、もしくは発生の恐れのある場合
- 災害や事件等により、当社の役員、従業員が死傷、または生命、身体に危険が及ぶ可能性のある場合
- 社会的問題となるような不祥事や事件が発生した場合
- 前記の他、災害や事件等により、当社および関係会社の事業に重大な影響を与える事態が発生した場合
リスクマネジメント体制
アドバンテストは、2001年12月より社長を本部長とする危機管理本部を設置しています。危機管理本部は、上記に該当する事態が発生した場合に招集し、情報の一元化ならびに初期評価、初動対応の指揮、復旧計画立案等を行い、復旧が完了するまでの間、継続的に運営します。
事業継続計画
アドバンテストは、大規模災害の発生に備え、2007年度に以下の基本方針を定めました。当社は、この方針に則り、事業継続計画を立案しています。
事業継続計画の基本方針
- 大規模災害が発生した場合、人命の安全確保を最優先する。
- 取引先ならびに関係者へ与える影響を最小化し、企業としての責務を果たすことに努める。
- 地域社会と協調し、日頃の防災に努めるとともに、事業所周辺地域が被災した場合、その復興に努める。
当社は、2011年3月の東日本大震災以後、防災体制の見直しを進め、2012年度に首都直下地震および利根川の氾濫(洪水)を想定して、そのような災害時においても供給体制を維持できるよう事業継続計画(BCP)を再構築しました。このBCPでは基本方針に基づき以下の具体策を定めています。
| 基本方針 | 具体策 |
|---|---|
| 1.人命の安全確保 | 定期的に実施する防災訓練、安否確認訓練の継続に加え、危機管理・事業継続推進体制を強化し、人命の安全確保を最優先する。 |
| 2.供給責任の遂行 | 地震時は当社の生産工場(群馬工場)での供給体制を継続し、洪水時は代替地生産を前提とした供給体制を講じる。 |
| また、事業所やインフラ等の被災により、一定期間、勤務先への出社が困難となる場合に備え、自宅等にて優先業務を継続できる環境を整備する。 | |
| 3.地域・社会貢献 | 群馬R&Dセンタが明和町より洪水時避難所として指定されており、洪水発生時は、避難住民の受入先として地域に貢献する。 |
2016年度の取り組み
2016年度は、8月に危機管理本部の改組に伴い、役割や方針、および活動状況と3月に本社機能の確保に向けた初動対応についてのマネジメントレビューを2回実施しました。また、四半期ごとの活動では防災訓練と連動した建物、設備等の安全、二次災害防止点検等のBCP訓練や事業所の責任者や各担当の初動時の連携内容の整理、情報共有を行いました。さらに、3回の国内従業員向け安否確認訓練に加え、実際の地震に伴う安否確認も実施し、スピーディな安否登録が定着しました。
今後も、四半期ごとに各種訓練、およびその結果に基づく事業継続計画等の見直しを継続的に行いBCMS (Business Continuity Management System)の体制確立を目指します。
情報セキュリティ対策
アドバンテストでは、お客様、取引先からいただいた情報や、当社の技術・営業情報などを重要な情報資産であると認識し、これを適切に管理するため、規定の整備、管理体制の構築、社員教育をはじめとした情報セキュリティ対策を進めています。
情報セキュリティに関する方針およびルール
当社は、情報セキュリティ基本方針を定め、その基本方針を具体化するルールとして、「個人情報保護」、「機密情報管理」、「教育・インシデント対応」、「ITセキュリティ」の各ポリシーを制定しています。
情報セキュリティ管理体制
当社は、情報セキュリティ管理を経営の重要課題と捉え、管理本部長をグローバルな体制の情報セキュリティ管理責任者としています。
また、各国にはRegional Information Security Officerを置き、さまざまな角度からグループ全体に適用する情報セキュリティ対策の審議や方針・ルールの制定/改廃の検討を行い、各国が自主的に情報セキュリティ対策に取り組める体制を整えました。
具体的には、各社の管理部門長がRegional Information Security Officerとして、担当地域における情報セキュリティ管理に責任を負うとともに、実行担当者として各国の関連部門からメンバーを任命し実務にあたります。
アドバンテストグループ情報セキュリティ管理体制
情報セキュリティ教育
当社では、情報セキュリティにおける最後の砦は「人」であるという考えのもと、情報セキュリティについての方針や関連規定の周知徹底を図っています。情報セキュリティ教育は、「個人情報保護」、「機密情報管理」、「教育・インシデント対応」、「ITセキュリティ」の各ポリシーに基づいた内容と、実際のサイバー攻撃を想定したトレーニングを、国内外の全従業員が受講しています。
今後も、ルールの反復学習や、重大なトピックスを取り上げるなど、より実践的なコンテンツを開発・実施していきます。
情報セキュリティの強化に向けた取り組み
2011年度より、社内の監査部門が情報セキュリティに関する監査を行う体制としました。これにより、ルールに基づく、より客観的なチェックおよび被監査部門へのフィードバックが可能となりました。
情報機器の取り扱いについて、パソコンの利用については暗号化が施されたパソコンのみと定めていましたが、新たにシンクライアントパソコンも使用可能とし、端末内に情報を残さないセキュアな環境での業務を可能としました。また、スマートフォンの業務利用について、グループ統一のガイドラインを定め、業務の効率化およびお客様へのサービス向上を図っています。
今後は、これら情報セキュリティ対策の効果測定や、情報セキュリティの強み・弱みなどを確認できる客観的な評価基準を検討していきます。
機密情報保護
当社は、情報セキュリティ基本方針において、お客様との契約のもとに開示を受けた情報および当社の重要情報を機密情報と定義し、関連規定に従って取り扱うことを定めています。
機密情報が社外に流出しないよう、保管や開示などの適切な管理を行うことにより、機密情報を保護しています。2016年度においては、重要な機密情報漏えい等の事例はありませんでした。
個人情報保護
当社は、個人から提供された個人情報をプライバシーに関わる重要な情報であると認識し、適切な保護・管理に努めています。2016年度においては、重要な個人情報漏えい等の事例はありませんでした。
個人情報を保有する部門に個人情報の管理責任者を配置し、管理責任者に適切な管理をさせることで、個人情報の保護に努めています。また、各部門の個人情報の管理・運用に関して定期的に監査を実施し、不十分な点がある場合は改善を行っています。
海外のグループ会社においては、Regional Information Security Officerが、各国/地域の法令や要請に従い個人情報の保護・管理を行っています。
