持続可能なガバナンス

  1. ホーム
  2. 持続可能性
  3. Sustainable Governance
  4. Information Security Management


Information Security Management

持続可能性

情報セキュリティ

日々増大する情報セキュリティリスクと挑戦に対応するため、当社は「ソフト・ハード両面の施策」を採用した情報セキュリティ管理戦略を制定し、設備防護、システム防御、および人材のセキュリティ意識を強調し、情報資産の機密性、完全性、可用性を確保します。

政府の関連法令要求に準拠し、会社全体の情報セキュリティガバナンス構造を強化するため、2023年11月に情報セキュリティ長を設置し、情報セキュリティ小グループを設立して、情報セキュリティ管理の推進、監督及び監査を担当します。

永道は台湾支社の総経理として情報セキュリティ責任者を務め、台湾および揚州の情報部門の同僚と共に情報セキュリティチームを結成しました。情報セキュリティチームの構造は以下の通りです:

情報セキュリティ管理戦略

情報セキュリティ長が情報セキュリティ方針と制度の計画、推進、調整、監督および監査業務を担当し、情報セキュリティチームのメンバーは職責に基づいて各種情報セキュリティ管理事項を遂行します。

情報セキュリティ小委員会は毎四半期に一度会議を招集し(年間合計4回)、少なくとも毎年一度情報セキュリティ方針と目標を見直し、内部情報セキュリティ検査と監査業務を実施し、具体的な管理策と改善措置を提案し、定期的に取締役会に情報セキュリティ推進成果を報告します。

2025年度に合計4回の情報セキュリティ小委員会会議を招集し、管理目標を確実に実行し、2025年11月11日に取締役会に報告します。

具体的な管理案

セキュリティ管理を実現するため、当社は以下のような具体的な施策を推進しています:

  1. ファイアウォール、ネットワークコアスイッチを投入し、ネットワーク分割と最小権限の原則を実施することで潜在リスクを低減します。
  2. 定期的にコンピュータシステムのソフトウェアのパッチとセキュリティ更新を行います。
  3. 各ネットワークサービスの利用は情報セキュリティポリシーに基づいて実行されます。
  4. 定期的にデータバックアップを行い、重要なデータが追跡および復元可能であることを確認します。
  5. 台湾工場はすでにMFA多要素認証システムを導入済みです。揚州工場は2025年に評価を完了し、2026年に正式に導入予定です。
  6. 2025年からAIリアルタイムウイルス対策ソフトウェアを導入し、即時脅威検出と防御能力を強化します。
  7. コンピュータ機器は専門家によって管理され、アカウントとパスワードは強力なパスワードポリシーを設定し、定期的に変更します。
  8. 遠隔ログインシステムにおけるアクセス権限管理をし、業務要求に応じて適切なアクセス権限を付与する。
  9. 毎年1回の災害復旧演習を実施し、運用の継続性を確保する。
  10. 毎年少なくとも1回の社会貢献活動訓練を実施し、従業員の防災意識を向上させる。
  11. 毎年少なくとも一度全社員向けの情報セキュリティ教育訓練を実施し、全体の情報セキュリティ意識を継続的に向上させます。
  12. 情報安全チームのメンバーは毎年12時間以上の情報セキュリティトレーニングを受け、専門能力を継続的に向上させる。
  13. 不定期に情報セキュリティ啓発活動を開催し、情報セキュリティ文化を全社員に浸透させる。
推進状況

当社は2025年度に情報セキュリティガバナンスと防護体制を引き続き強化し、関連の推進成果は以下の通りです。

  1. 年間4回の情報セキュリティ小委員会を開催し、定期的に情報セキュリティリスクと管理の有効性を検査し、情報セキュリティ管理目標の効果的な実現を確認します。
  2. 2回の全社員向け情報セキュリティ教育訓練を実施し、社員の情報セキュリティリスクに対する認識と予防能力を向上させる。
  3. 毎四半期にセキュリティ意識向上のための電子メールを4通送信し、同僚のセキュリティ意識を継続的に強化し、ソーシャルエンジニアリングとセキュリティインシデントのリスクを低減します。
  4. IEC 62443-4-1規格を導入し、製品セキュア開発ライフサイクル(SDL)を構築し、製品開発の初期段階からセキュリティ設計を取り入れ、全体の情報セキュリティの堅牢性を向上させる。
  5. 300セットのAIリアルタイムウイルス対策ソフトウェアを新規購入し、エンドポイントの即時脅威検出と防御能力を強化し、セキュリティ攻撃のリスクを低減します。
  6. Yangzhou Data Pointは多要素認証(MFA)システムの調達を完了し、2026年に正式導入を完了する計画で、アカウントとデータ取得の安全性をさらに向上させる。
将来の推進方向

将来、当社は段階的にゼロトラスト(Zero Trust)セキュリティアーキテクチャを導入し、すべてのユーザーとデバイスが会社のリソースにアクセスする前に厳格な認証を必要とすることを確保します。

同時に、ネットワーク防御能力をさらに強化するため、2026年に侵入検知システムを構築し、ネットワークの異常行動を即時監視し、脅威に対する適応能力を向上させる予定です。

国際標準および認証において、2025年に製品開発段階のIEC 62443-4-1認証を完了する計画であり、2026年に正式にISO 27001情報セキュリティ管理システム認証プロジェクトを開始し、より完璧な情報セキュリティガバナンスシステムを構築します。

重大なデータセキュリティインシデントの損失

今年までに、当社では情報セキュリティ事件は発生しておらず、会社の商業的信用の損害、顧客関係への影響、または営業利益の損失を引き起こした事例もありません。これは情報セキュリティ管理戦略が初期の効果を示しており、今後も情報セキュリティガバナンスと防護能力をさらに向上させ続けることを示しています。