リスクマネジメント
情報リスクマネジメント
方針・基本的な考え方
三井物産はIT利活用に対する基本理念を「IT基本方針」として宣言し、社員の更なる意識向上、ITガバナンスの浸透を図っていきます。
情報セキュリティ方針
- 情報セキュリティへの取組み
当社は、情報セキュリティの重要性を認識し、「三井物産コーポレート・ガバナンス及び内部統制原則」に則り情報の適時・有効な活用を図るため、関連規程の整備・実施を通じて、連結グローバル・グループ・ベースで情報資産(情報及びITシステム)に対する適切な管理を行い、これを継続的に改善して参ります。 - 法令等の遵守(コンプライアンスの確立)
当社は、情報セキュリティに関連する法令、確立された規格、その他の規範を遵守し、これらに準拠・適合した情報セキュリティの構築・確保に向け取り組みます。 - 情報資産の保護
当社は、情報資産の機密性、完全性及び可用性を確保するための適切な管理を行い、これらを脅かすすべての脅威から情報資産を保護することに努めます。 - 事故への対応
当社は、情報セキュリティに関する事故の発生予防に努めるとともに、万一事故が発生した場合は、事故対応のみならず再発防止策を含む適切な対策を速やかに講じます。
2005年9月制定
2013年10月改正
代表取締役社長 堀 健一
目標
目標と取組実績
| 目標 | 成果指標 | 2025年3月期実績 |
|---|---|---|
| サイバーセキュリティ上の重要な関係会社を毎年指定し、「三井物産グループサイバーセキュリティ原則」への準拠状況をモニタリングする | 準拠率 | 80% |
体制・システム
当社のグローバル・グループ情報戦略に関わる重要方針については、経営会議の諮問機関で、「情報戦略委員会規程」に基づいて設置されたCDIO(チーフ・デジタル・インフォメーション・オフィサー)を委員長とする情報戦略委員会の審議を経て経営方針に沿い策定されています。2025年3月期、情報戦略委員会は、合計9回開催しました。2021年3月期に策定したDX事業戦略・データドリブン経営戦略・DX人材戦略からなる「DX総合戦略」の進捗をモニタリングしたほか、当社グローバル・グループシステムのあるべき姿を具体化する「デジタル・グランドデザイン」、サイバー攻撃に対応するためのサイバーセキュリティ戦略・体制拡充・点検・訓練方針、グローバルネットワーク、次世代人事システム、アジャイル開発内製化、生成AI活用・セキュリティ、IT/DX R&D、戦略的DX支援制度等に関する討議を行いました。
同委員会を中心とした体制のもと、情報システムの構築運営や情報セキュリティ面で必要となる以下の各規程の整備を通じて、情報漏えいやサイバー攻撃等、想定される各リスクの管理を含む内部統制体制の強化を進めています。
- 情報システム管理規程:情報資産の調達・導入からその運用方法を規定
- ITセキュリティ規程:ITセキュリティの面でのシステム主管部の行動原理を規定
- 情報管理規程:情報リスク管理体制、情報管理に関する基本事項を規定
- 個人情報保護規程:事業遂行上必要となる個人情報の取扱いに関する規程(国内のみが対象)
- サイバーセキュリティ対策に関する規程:サイバー攻撃等への予防及び事件発生時の緊急対策に関する規程
- 三井物産グループサイバーセキュリティ原則:当社グループ各社が共通的に実施することを目指す、基本的サイバーセキュリティ対策
また、特定の企業・組織を狙い撃ちする標的型攻撃、ランサムウェア(ファイルが暗号化され復号と引き換えに身代金を要求)、BEC(Business Email Compromise:ビジネスメール詐欺)、及び不特定多数を狙ったばらまき型メール攻撃等、日々発生するサイバー攻撃が巧妙化・高度化・深刻化する中、当社グローバル・グループでのサイバーセキュリティ対策は重要性を増しており、年1回、情報戦略委員会並びに経営会議での審議を経て、取締役会に報告しています。
| 管掌役員 | 代表取締役専務執行役員 兼 CDIO(チーフ・デジタル・インフォメーション・オフィサー) 兼 情報戦略委員会 委員長 |
|---|---|
| 審議機関 | 情報戦略委員会 |
| 事務局 | デジタル総合戦略部 |
リスク管理
当社はグローバル・グループで、全社一元的にリスクを管理する統合リスク管理体制を構築しています。統合リスク管理体制においては、事務局を務めるコーポレートスタッフ部門担当部署が全社的観点でリスクを統括します。
情報システム及び情報セキュリティに関するリスクは、統合リスクの重要なリスクの一つと位置づけ、以下の対応策を講じています。
- 情報システムの安全性及び情報セキュリティ強化のため、関連規程を整備し、当社及び連結子会社が保有する情報及び情報システムにおける機密性、完全性及び可用性を適切に確保し、またリスク管理水準を改善するための指針を継続的に示して情報漏えい等のリスクを管理しています。
- 当社グローバル・グループでのサイバーセキュリティ対策強化のため、当社グループ各社が準拠すべき「三井物産グループサイバーセキュリティ原則」を定めています。また、関係会社各社で年1回実施する「サイバーセキュリティベースライン調査」で準拠状況をセルフチェックするとともに、「サイバーセキュリティアセスメント」による第三者評価も実施しています。
- 当社では、サイバーBCP(事業継続計画)として、被害の規模や深刻度に応じたセキュリティインシデント発生時の対応をあらかじめ定めています。
個人情報保護
個⼈情報保護管理体制は、個人情報保護マネジメントシステム(PMS:Personal Information Protection Management System)総責任者のもとにPMS事務局を設置し、当社の「個⼈情報保護⽅針」「個⼈情報保護規程」を踏まえて、全役職員へ個⼈情報の保護の周知徹底を図っています。当社及び関係会社は多様な商品を取り扱っており、とりわけB to C(Business to Consumer)と称される消費財の事業分野を中⼼に、個⼈情報の取扱いが多く、その保護、管理に細⼼の注意を払っています。このため、事故防⽌の観点から、教育徹底に加えて、社内各部署に「個⼈情報管理担当者」を設置し、⽇常業務における個⼈情報の管理状況を継続して確認し、必要に応じて改善しています。2018年5月に適用が開始されたGDPR(EU一般データ保護規則)への対応に関しては、社内ルールを制定し、EU個人データを取り扱う際の各部署における管理体制・運用ルールを整備しています。また、イントラネットを通じた社内周知を行い、GDPRで求められる運用管理(処理活動記録義務対応等)を行っています。GDPR以外の海外での個人情報保護関連規制についても、適時に対応していくことが企業価値を向上させるものと認識し取り組んでいます。
取組み
当社では、内外環境に応じたサイバーセキュリティリスクに関する重要性の高まりに応じ、全社的なデジタル・グランドデザイン戦略の一環として「三井物産サイバーセキュリティ戦略」を2025年3月期に策定しました。サイバーセキュリティ専門子会社である三井物産セキュアディレクション株式会社及び情報システム子会社である三井情報株式会社の知見を活用しながら、同戦略に基づくサイバーセキュリティ対策強化をグローバル・グループで推進しています。
サイバーセキュリティの経営アジェンダ化
サイバーセキュリティ対策の実行にあたっては内部統制の重要要素として位置づけ、特に関係会社の経営層を巻き込み、グローバル・グループ全体の統合リスク管理の一部として推進しています。具体的には、年1回、情報戦略委員会、経営会議、取締役会への報告・議論を行うとともに、関係会社経営層に向けても毎年、説明会、ワークショップを通じた啓発等を行っています。
全社共通・最低限のセキュリティ対策(Baseline)確保
グローバル・グループ全体のサイバーセキュリティに関わるBaselineの確保・最適化を進めています。米国国立標準技術研究所(National Institute of Standards and Technology)のサイバーセキュリティフレームワークに沿って対策を立案・実行し、三井物産セキュアディレクションの知見を活用しながら、「予防」「鍛錬」「処置」の3つのステップに分けて対策を講じています。
予防
サイバーハイジーン(IT公衆衛生)が重要と考えており、IT環境を健全な状態に保つ活動として、IT資産の状態把握のためのインベントリの適切な管理や、攻撃の糸口になる箇所を掌握する脆弱性管理等に取り組んでいます。
鍛錬
「ゼロトラスト」(ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものはすべて信用せずに検証するセキュリティ対策)の考え方に基づき、ID、デバイス、データ、ネットワーク、クラウド等の各IT領域でのセキュリティ対策を強化しています。また、グローバルでの24時間365日のセキュリティ監視、及び有事の際の対応体制を構築・維持・拡充しています。
処置
MBK-CSIRT(Computer Security Incident Response Team)を中心に各部門のサイバーセキュリティ担当と連携し、報告・支援する仕組みを確立、組織的・継続的なインシデント対応、再発防止を実現しています。また、被害の規模や深刻度に応じたセキュリティインシデント発生時の対応を定め、必要に応じた有効性確認のための訓練を定期的に実施しています。
事業価値の維持・継続と成長への貢献
当社DXに関わるサイバーセキュリティ対策へのプロアクティブな個別支援による競争力確保・付加価値向上を進めています。具体的には、当社DX案件に関するセキュリティ相談窓口の設置による案件組成段階からの助言・支援(セキュリティ・バイ・デザイン)を実施しています。また、昨今の生成AIの急速な進化を受け、当社における生産性及び事業価値の向上を目指し生成AIの活用を進めており、今期、全社共通AIとしてMicrosoft 365 Copilotの利用を開始しました。さらに、各業務や事業に特化した生成AIプロジェクトを推進中です。これら生成AIの活用にあたり、社内データにおけるアクセス権管理の再点検、生成AIの利用及び提供に関するリスクガイドラインの策定や生成AI利用上の注意点をまとめたe-Learningを受講必須とするなどのリスク対策を実施しています。また、当社標準外の生成AIを社員が利用する際には申請制とし、AIモデルによる入力情報の再学習、サービス提供者による入力・出力情報の監視がない生成AIの利用を推奨しています。これら活動を通じて当社グループでのDXや生成AIの安全な利活用促進に貢献しています。
サイバーセキュリティアウェアネスが定着した文化の醸成
各階層・役割に向けた教育・啓発を通じてセキュリティ対策は“当たり前”といった文化・風土の醸成とその仕組みづくりを進めています。具体的にはサイバーセキュリティに関する意識向上、攻撃被害拡大防止を目的として、関係会社を含む役職員に「サイバーセキュリティポータル」を公開し、サイバーセキュリティに関する最近の動向、事例や役職員が取るべき対策等の各種情報を発信しています。また、一般役職員向けとセキュリティ担当者向けそれぞれの「サイバーセキュリティe-Learning」を作成、活用しています。