リスクマネジメント
情報リスクマネジメント
方針・基本的な考え方
三井物産はIT利活用に対する基本理念を「IT基本方針」として宣言し、社員の更なる意識向上、ITガバナンスの浸透を図っていきます。
情報セキュリティ方針
- 情報セキュリティへの取組み
当社は、情報セキュリティの重要性を認識し、「三井物産コーポレート・ガバナンス及び内部統制原則」に則り情報の適時・有効な活用を図るため、関連規程の整備・実施を通じて、連結グローバル・グループ・ベースで情報資産(情報及びITシステム)に対する適切な管理を行い、これを継続的に改善して参ります。 - 法令等の遵守(コンプライアンスの確立)
当社は、情報セキュリティに関連する法令、確立された規格、その他の規範を遵守し、これらに準拠・適合した情報セキュリティの構築・確保に向け取り組みます。 - 情報資産の保護
当社は、情報資産の機密性、完全性及び可用性を確保するための適切な管理を行い、これらを脅かすすべての脅威から情報資産を保護することに努めます。 - 事故への対応
当社は、情報セキュリティに関する事故の発生予防に努めるとともに、万一事故が発生した場合は、事故対応のみならず再発防止策を含む適切な対策を速やかに講じます。
2005年9月制定
2013年10月改正
代表取締役社長 堀 健一
目標
- サイバーセキュリティ上の重要な関係会社を毎年指定し、「三井物産グループサイバーセキュリティ原則」への準拠状況をモニタリングする。
体制・システム
当社のグローバル・グループ情報戦略に関わる重要方針については、経営会議の諮問機関で、「情報戦略委員会規程」に基づいて設置されたCDIO(チーフ・デジタル・インフォメーション・オフィサー)を委員長とする情報戦略委員会の審議を経て経営方針に沿い策定されています。2024年3月期、情報戦略委員会は、合計8回開催しました。2021年3月期に策定したDX事業戦略・データドリブン経営戦略・DX人材戦略からなる「DX総合戦略」の進捗をモニタリングしたほか、当社グローバル・グループシステムのあるべき姿を具体化する「グランドデザイン」、サイバー攻撃に対応するための体制拡充・点検・訓練方針、グローバルネットワーク、次世代人事システム、アジャイル開発内製化、生成AIの活用、IT/DX R&D、戦略的DX支援制度等に関する討議を行いました。
同委員会を中心とした体制のもと、情報システムの構築運営や情報セキュリティ面で必要となる以下の各規程の整備を通じて、情報漏えいやサイバー攻撃等、想定される各リスクの管理を含む内部統制体制の強化を進めています。
- 情報システム管理規程:情報資産の調達・導入からその運用方法を規定
- ITセキュリティ規程:ITセキュリティの面でのシステム主管部の行動原理を規定
- 情報管理規程:情報リスク管理体制、情報管理に関する基本事項を規定
- 個人情報保護規程:事業遂行上必要となる個人情報の取扱いに関する規程(国内のみが対象)
- サイバーセキュリティ対策に関する規程:サイバー攻撃等への予防及び事件発生時の緊急対策に関する規程
- 三井物産グループサイバーセキュリティ原則:当社グループ各社が共通的に実施することを目指す、基本的サイバーセキュリティ対策
また、特定の企業・組織を狙い撃ちする標的型攻撃、ランサムウェア(ファイルが暗号化され復号と引き換えに身代金を要求)、BEC(Business Email Compromise:ビジネスメール詐欺)、及び不特定多数を狙ったばらまき型メール攻撃等、日々発生するサイバー攻撃が巧妙化・高度化・深刻化する中、当社グローバル・グループでのサイバーセキュリティ対策は重要性を増しており、年1回、情報戦略委員会並びに経営会議での審議を経て、取締役会に報告しています。
| 管掌役員 | 松井 透(代表取締役専務執行役員、CDIO(チーフ・デジタル・インフォメーション・オフィサー)、情報戦略委員会 委員長) |
|---|---|
| 審議機関 | 情報戦略委員会 |
| 事務局 | デジタル総合戦略部 |
リスク管理
当社グループでは、全社一元的にリスクを管理する統合リスク管理体制を構築しています。統合リスク管理体制においては、事務局を務めるコーポレートスタッフ部門担当部署が全社的観点でリスクを統括します。
情報システム及び情報セキュリティに関するリスクは、重要なリスクの一つと位置づけ、以下の対応策を講じています。
- 情報システムの安全性及び情報セキュリティ強化のため、関連規程を整備し、当社及び連結子会社が保有する情報及び情報システムにおける機密性、完全性及び可用性を適切に確保し、またリスク管理水準を改善するための指針を継続的に示して情報漏えい等のリスクを管理しています。
- 当社グローバル・グループでのサイバーセキュリティ対策強化のため、当社グループ各社が準拠すべき「三井物産グループサイバーセキュリティ原則」を定めています。また、関係会社各社で年1回実施する「サイバーセキュリティベースライン調査」で準拠状況をセルフチェックするとともに、「サイバーセキュリティアセスメント」による第三者評価も実施しています。
- 当社では、サイバーBCP(事業継続計画)として、被害の規模や深刻度に応じたセキュリティインシデント発生時の対応をあらかじめ定めています。
個人情報保護
個⼈情報保護管理体制は、個人情報保護マネジメントシステム(PMS:Personal Information Protection Management System)総責任者のもとにPMS事務局を設置し、当社の「個⼈情報保護⽅針」「個⼈情報保護規程」を踏まえて、全役職員へ個⼈情報の保護の周知徹底を図っています。当社及び関係会社は多様な商品を取り扱っており、とりわけB to C(Business to Consumer)と称される消費財の事業分野を中⼼に、個⼈情報の取扱いが多く、その保護、管理に細⼼の注意を払っています。このため、事故防⽌の観点から、教育徹底に加えて、社内各部署に「個⼈情報管理担当者」を設置し、⽇常業務における個⼈情報の管理状況を継続して確認し、必要に応じて改善しています。2018年5月に適用が開始されたGDPR(EU一般データ保護規則)への対応に関しては、社内ルールを制定し、EU個人データを取り扱う際の各部署における管理体制・運用ルールを整備しています。また、イントラネットを通じた社内周知を行い、GDPRで求められる運用管理(処理活動記録義務対応等)を行っています。GDPR以外の海外での個人情報保護関連規制についても、適時に対応していくことが企業価値を向上させるものと認識し取り組んでいます。
取組み
当社では、米国国立標準技術研究所(National Institute of Standards and Technology)のサイバーセキュリティフレームワークに沿って対策を立案・実行し、サイバーセキュリティ専門子会社である三井物産セキュアディレクションの知見を活用しながら、「予防」「鍛錬」「処置」の3つのステップに分けて対策を講じています。
(1)予防
当社ではサイバーハイジーン(IT公衆衛生)が重要と考えており、IT環境を健全な状態に保つとともに、役職員のセキュリティ意識醸成を目指しています。システム観点では、IT資産の状態把握のためのインベントリの適切な管理や、攻撃の糸口になる箇所を掌握する脆弱性管理等に取り組んでいます。また、人に焦点を当てた啓発活動では、サイバーセキュリティに関する意識向上、攻撃被害拡大防止を目的として、関係会社を含む役職員に「サイバーセキュリティポータル」を公開し、サイバーセキュリティに関する最近の動向、事例や役職員が取るべき対策等の各種情報を発信しています。一般役職員向けとセキュリティ担当者向けには、それぞれ「サイバーセキュリティe-Learning」を作成し、活用しています。
(2)鍛錬
当社は、従来の「境界型セキュリティ」(「社内は安全だが、外部は危険」という考えに基づき、社内ネットワークと社外ネットワークの境界線を中心としたセキュリティ対策)から「ゼロトラスト」(ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものはすべて信用せずに検証するセキュリティ対策)に転換し、デバイス、データ、ネットワーク、クラウド等の各IT領域でのセキュリティ対策を強化しています。また、グローバルでの24時間365日のセキュリティ監視、及び有事の際の対応体制を構築・維持・拡充しています。
(3)処置
当社は、サイバーセキュリティ対策の中心として「MBK-CSIRT(Computer Security Incident Response Team)」を構築し、各部門のサイバーセキュリティ担当と連携し、報告・支援する仕組みを確立しており、組織的・継続的なインシデント対応や再発防止を実現しています。また、被害の規模や深刻度に応じたセキュリティインシデント発生時の対応を定め、必要に応じた有効性確認のための訓練を定期的に実施しています。