情報セキュリティ
情報セキュリティ管理方針
お客様、取引先からいただいた情報や、アドバンテストの技術・営業情報などは、重要な情報資産です。当社では、この情報資産を適切に管理するため、規定の整備、管理体制の構築、社員教育をはじめとした情報セキュリティ対策を進めています。
当社は、2012年4月にVerigy社との統合に対応して、情報セキュリティに関する基本方針・ルールおよび管理体制の見直しを行いました。これは、統合後の情報セキュリティ管理を同一の基準で行うことを目的としたものです。
情報セキュリティに関する方針およびルール
当社は、2003年7月、情報資産の適切な管理の重要性と、情報資産の機密性・完全性・可用性の確保に努めることを宣言した「情報セキュリティ基本方針」を定めています。今回の見直しにあたり、情報セキュリティ基本方針を具体化するルールとして、2012年4月、既存の規定類を整理・統合し、「個人情報保護」「機密情報管理」「教育・インシデント対応」「ITセキュリティ」の各ポリシーを制定しました。
情報セキュリティ管理体制
当社は、情報セキュリティ管理を経営の重要課題と捉え、管理本部長を務める常務執行役員をInformation Security Officerとし、グループ全体の情報セキュリティ管理責任者としています。
またInformation Security Officerのもと、グループ全体に適用する情報セキュリティ対策の審議や方針・ルールの制定/改廃の検討を行う組織として、2012年よりInformation Security Committeeを設置し、海外グループ会社を含めた各部門からメンバーを選出し、さまざまな角度から検討を行っています。
当社では、情報セキュリティ対策の実行や方針・ルールの遵守を確実に行うためには各部門が自律的に情報セキュリティに取り組む必要があると考え、グループの主要拠点に責任者を置き管理を行う体制としています。
具体的には、各社の管理部門長がRegional Information Security Officerとして、担当地域における情報セキュリティ管理に責任を負うとともに、Information Security Committeeで決定された対策を実行します。実行担当者として情報システム、法務、人事などの関連部門からRegional Information Security Teamのメンバーが任命され実務にあたります。
アドバンテスト・グループ情報セキュリティ管理体制
情報セキュリティ教育
アドバンテストでは、情報セキュリティにおける最後の砦は「人」であると考え、情報セキュリティについての方針や関連規定の周知徹底を図っています。
2011年度は、情報機器の取り扱いだけでなく、「情報漏えいのリスク」などをテーマに取り上げ、現場で起こった「ヒヤリ、ハット」を学習事例として、注意すべき点や関連する法令、社内ルールを学ぶ内容としました。また、eラーニングを導入し、より効率的に学習できる環境を整備しました。
今後も、守るべきルールの反復学習や、状況に合ったトピックスを取り上げるなど、より実践的なコンテンツを開発・実施していきます。
情報セキュリティの強化に向けた取り組み
従来、各部門における機密情報管理状況は、セキュリティ管理部門が現場に赴いて確認し、改善が必要なところについて指導を行ってきましたが、2011年度より社内の監査部門が情報セキュリティに関する監査を行う体制としました。これにより、ルールに基づく、より客観的なチェックおよび被監査部門へのフィードバックが可能となりました。
情報機器の取扱ルールの整備も併せて進め、パソコンの利用については、これまで盗難・紛失による情報漏えいのリスクを最小限にとどめるために、社員が社外で使用できるパソコンを、暗号化が施されたパソコンのみと定めていましたが、新たにシンクライアントパソコンも使用可能としました。これにより、端末内に情報を残さないセキュアな環境での業務を可能としました。また、急速に普及が進むスマートフォンの業務利用について、グループ統一のセキュリティ基準を定め、情報セキュリティを確保しながら、業務の効率化およびお客様へのサービスの向上を図っています。
今後は、これらの情報セキュリティ対策がどの程度効果を上げているか、また実施する対策の優先順位やアドバンテストの情報セキュリティの強み・弱みなどを確認できる客観的な評価基準を検討していきます。
機密情報保護
アドバンテストは、情報セキュリティ基本方針において、お客様との契約のもとに開示を受けた情報および当社の重要情報を機密情報と定義し、関連規定に従って取り扱うことを定めています。
具体的には、機密情報を保有する部署の長を管理責任者と定め、機密情報ごとに保管や開示などの適切な管理を行うことにより、社外流出や不正アクセスから機密情報を保護しています。
また、毎年の情報セキュリティ教育のなかで、機密情報管理の重要性と遵守すべきルールを繰り返し教育しています。
個人情報保護
アドバンテストは、個人から提供された個人情報をプライバシーに関わる重要な情報であると認識し、適切な保護・管理に努めています。
個人情報を保有する部門に個人情報の管理責任者を配置し、管理責任者に適切な管理をさせることで、個人情報の保護に努めています。また、各部門の個人情報の管理・運用に関して定期的に監査を実施し、不十分な点がある場合は改善を行っています。
海外のグループ会社においては、Regional Information Security Officerが、各国/地域の法令や要請に従い個人情報の保護・管理を行っています。