東芝トップページ > 企業情報 > CSR > CSRパフォーマンス報告 > 公正な事業慣行 > 情報セキュリティ管理
情報セキュリティに関する方針
東芝は、「お客様の情報、経営情報、技術・生産情報など、事業遂行過程で取扱うすべての情報」の財産価値を認識し、会社情報を秘密として管理するとともに、その不適正な開示・漏洩・不当利用の防止など情報の保護に努めることを基本方針としています。この方針は、東芝グループ行動基準の「会社情報・会社財産の保護」の項に規定し、東芝グループの全役員・従業員に周知しています。
東芝は法令や社会環境の変化に対応し、また情報セキュリティをより確実に管理運用するため、関係する規程類を継続的に見直しています。
これらの取組みは、国内外グループ会社へ展開し、海外においては現地の事情をふまえた規程づくりと運用を進めています。
情報セキュリティの管理体制
東芝グループは、情報セキュリティを経営課題として取組むために、東芝の情報・セキュリティグループ担当執行役を統括責任者とし、スタフ部門長/社内カンパニー社長、グループ会社社長など、各組織のトップを責任者とする情報セキュリティ管理体制を構築しています。
情報セキュリティ統括責任者は、定期的に全社情報セキュリティ委員会を開催し全社に係る情報セキュリティを確実にするために必要な審議を行います。情報セキュリティセンター長は、全社情報セキュリティ委員会の事務局を務めるほか、情報セキュリティ統括責任者を補佐します。また情報セキュリティに係る社内規程が円滑、効率的かつ確実に運用されるよう施策を立案し、実行します。
全社情報セキュリティ委員会の各委員は、CRO(Chief Risk-Compliance Management Officer)、情報システム部門、法務部門、人事部門、知的財産部門他、関連スタフの部門長が務め、所管する業務範囲において情報セキュリティを確実にするために必要となる事項について責任を負います。
社内カンパニーにおいては、カンパニー社長が情報セキュリティ管理責任者を務め、各カンパニーの情報セキュリティについて全責任を負います。 また、管理責任者は実施管理者を任命し管理体制の運営について責任を負わせています。
また、管理責任者は、所管する東芝グループ会社に対して、東芝と同等レベルの情報セキュリティ管理を実施させるため、指導・支援を行います。
東芝グループ 情報セキュリティ管理体制
情報セキュリティに関する点検・監査
東芝は、多様な事業分野を有することから、全社の情報セキュリティを確保するためには、各部門が自律的にPDCAサイクルを回すことが大切だと考えています。そこで、東芝の全部門は毎年社内ルールの遵守状況を自主監査し、自ら改善計画を策定し改善を実行しています。
各部門の自主監査結果や改善活動については、情報セキュリティセンターが評価し、是正が必要であれば指導・支援するとともに、これらの状況を統括責任者に報告します。2010年度も、東芝の全部門が1月末までに自主監査を完了し、発見された不適合事項の改善を進めています。
また、これらの取り組みは海外を含む東芝グループ全体に展開しています。
2010年度は東芝のほか国内グループ会社194社、海外グループ会社213社が自主監査を実施し、各社の情報セキュリティレベルの向上につなげています。
なお、東芝グループでは、重要な秘密情報を取り扱う事業部門を中心に、情報セキュリティマネジメントシステム (ISMS:Information Security Management System) 認証を取得しています。2011年5月現在、東芝を含め、21社(25部門)で認証を取得しています。
情報セキュリティ対策
| 対策区分 | 内容 |
|---|---|
| (1)組織的対策: 体制をつくり、ルールをつくる |
|
| (2)人的、法的対策: ルールを従業員等に守らせる |
|
| (3)物的対策: ルールの具体化を物的側面で支援 |
|
| (4)技術的対策: ルールの具体化を技術的側面で支援 |
|
これらの施策は、情報セキュリティセンターが規程やガイドラインに盛り込み、全社通知のほか、半期毎に開催する全社説明会で説明し、その内容を全社情報共有データベースで参照できるようにしています。また東芝グループ会社に対しても東芝と同様に展開を図っています。
情報セキュリティ教育
東芝は、社内ルールの徹底を図るために、すべての役員、従業員、派遣社員を対象に、毎年情報セキュリティ・個人情報保護教育を実施しています。
2010年度は東芝で約3万人、東芝グループ全体で約17万人がe-ラーニングや講義を受講しました。
この定期教育のほか、情報セキュリティの推進実務者向けの、情報セキュリティ専門教育を実施しており、2010年度末までに延べ540名が受講しました。また新卒採用者導入教育の一環として情報セキュリティカリキュラムが組まれており、2010年度も全新入社員が情報セキュリティ教育を受講しました。
秘密情報に関する保護方針
東芝は、情報セキュリティ関連規程を定め、秘密情報の保護を適切に行っています。2005年11月施行の改正不正競争防止法を契機として、東芝では改めて、自社の情報と契約に基づき入手したお客様の秘密情報を適切に管理することを義務づけ、他社情報を自社情報に混入させないなど、ルールを強化しました。
この内容を徹底するため、2006年度の情報セキュリティ教育の際に、全従業員から秘密保持に係る誓約書を取得し、その後の新規採用者からも教育の実施後に誓約書を取得しています。
秘密情報の保護に関する体制
秘密情報の保護に関する体制
東芝は、情報セキュリティ管理体制を構築し、役割と責任を定め規程に基づく運用を行っています。
東芝は、情報セキュリティ関連規程に、「情報を作成し、若しくは第三者から守秘義務や管理義務を負って情報を入手した部門」を情報オーナー部門と定めています。情報オーナー部門長は、情報ごとに機密性、完全性、可用性を勘案して重要性を判断し、取扱方法を定めるなど、秘密情報の保護にあたって重要な役割を担っています。
秘密情報の漏洩など事故時の対応
秘密情報の漏洩など、万が一情報セキュリティ事故が発生した場合、情報セキュリティ事故報告体制に則り、迅速な対応を行っています。
情報セキュリティ事故報告体制
従業員は、会社情報の漏洩等の事故発生又はその可能性を認知した場合、直ちに実施管理者へ連絡します。報告を受けた実施管理者は、原因の究明や再発防止策の検討など、必要な措置を講じます。また法令などに違反するおそれのある重大な秘密情報の漏洩またはその可能性が発生した場合は、該当する法令などに従い、関連スタフ部門において協議のうえ、公表などの対応を実施します。
秘密情報に関わる事故発生の状況
2010年度は、会社が保有する重要な情報の漏洩事故は発生しておりません。引続き情報セキュリティに係る事故防止に向けて万全の態勢で取組んでまいります。
個人情報の保護に関する方針
当社が事業活動を通じてステークホルダーの皆様から取得した個人情報は、皆様の大切な財産であるとともに、当社にとっても新たな価値創造の源泉となる重要資産であることを認識して、個人情報の保護に取組んでいます。
東芝は、個人情報保護を早くから重視しており、2000年にJIS Q15001準拠の「東芝個人情報保護プログラム」を制定し、2001年にはプライバシーマークを取得しました。その後もマネジメントシステムの継続的改善に努め、2011年4月に6回目となる同マークの更新審査を受け、更新が認められました。
個人情報の保護に関する体制
東芝では、2000年5月に、プライバシーマーク取得を目指して規程を制定し、個人情報保護体制を構築してまいりました。
2004年10月には、情報セキュリティ管理体制と緊密な連携のもと活動を行なうため、全社事務局を情報セキュリティセンター内におきました。
東芝の個人情報保護に責任を持つ統括責任者を情報・セキュリティグループ担当執行役が務め、全社事務局が統括責任者を補佐して個人情報保護の施策展開を図っています。
社内の各組織においては、スタフ部門長/社内カンパニー社長など組織のトップを管理責任者、総務部門長を実施管理者、企画業務責任者および情報システム責任者を副実施管理者とする体制を構築し、個人情報保護に取組んでいます。
東芝グループ 個人情報保護体制
また、国内グループ会社でも2005年4月の個人情報保護法全面施行に合わせて、同様の体制構築を進め、個人情報保護を実施しています。
海外の東芝グループ会社は、各国の法制度に従った取り組みが行われています。
個人情報の漏洩など事故時の対応
東芝グループは、個人情報に係る事故の発生に備え、迅速な対応と情報公開を実施する体制を整え、万が一発生した場合は社内手続きに従って対応を行っています。
個人情報漏洩事故、またはそのおそれのある事案が発生した場合、各部門の実施管理者から情報セキュリティセンターに報告・連絡を行います。
報告を受けた情報セキュリティセンターでは、関連する法令・省庁指針などに従い、本人の権利利益の侵害の可能性を勘案の上、法務部リスク・コンプライアンスセンターなど関連部門と対応を協議します。
個人情報保護・管理に関する点検・監査
東芝グループでは、各部門が自律的にPDCAサイクルを回す事が個人情報や秘密情報を適切に管理するための確実な取組みであると考えています。その中心となるのが部門ごとに実施する自主監査です。各部門は当社規程の要求事項を記した情報セキュリティ・個人情報保護自主監査チェックリストをもとに自主監査を行い、不十分なところは改善計画を策定し、改善活動を行います。
個人情報保護は、遵法事項として、経営監査部が各部門に実施する経営監査項目のひとつになっています。
また、プライバシーマーク取得は個人情報保護の実効性を担保する効果的なアプローチであることから、東芝をはじめ、業務受託によりお客様の個人情報を大量に取扱う東芝グループ会社など合計23社が取得しています。(2011年5月現在)
個人情報に関わる事故発生の状況
2010年度は個人情報の漏洩事故は発生しておりません。引き続き個人情報保護に係る事故防止に向けて万全の態勢で取組んでまいります。
個人情報保護・管理に関する教育
個人情報保護に関する定期教育は、情報セキュリティ教育に合わせて、役員、従業員、派遣社員を対象として毎年実施しています。2010年度も、委託先に対する監督責任や事故防止の具体的対策を教育内容に織り込み、従業員等の意識啓発を図りました。
お客様の個人情報保護
東芝では、利用目的を明示し、原則としてお客様本人から同意を得て直接個人情報を取得しています。
取得する情報は、ご住所、お名前、電話番号、メールアドレスなどお客様とのご連絡やサービス提供のために必要不可欠である基本的な個人情報が大半です。東芝において保有する個人情報の主な利用目的は、以下のホームページに公表しています。
保有する個人情報は、社内規程に従って適切に取り扱っており、また情報セキュリティ管理体制と一体になって厳重に管理しています。
なお、株主の皆様の個人情報は、株式関連事務を委託している信託銀行において、厳重に管理しています。
従業員の個人情報保護
従業員の個人情報については、利用目的などに同意を得て取得・利用し、人事勤労部門を中心に厳重に管理しています。
採用応募者の個人情報も、利用目的に同意を得た範囲で利用し、適切に保護しています。
委託先での個人情報管理
東芝は、個人情報の取り扱いを外部業者へ委託する場合は、当社で定める「情報セキュリティ評価基準」に従い、プライバシーマーク取得業者など、適切な委託先を選定しています。
選定した委託先との間では通常の業務委託契約の他、個人情報保護に関する覚書の締結または誓約書の提出を義務付けています。また委託先の個人情報取り扱い状況を、立入監査などにより、定期的に確認しています。
カテゴリメニュー
CSRパフォーマンス
7つの中核主題
