リスクマネジメント:サイバーセキュリティ HOME サステナビリティ ガバナンス リスクマネジメント サイバーセキュリティ リスクマネジメント BCP サイバーセキュリティ 知的財産保護 サイバーセキュリティ メニュー 考え方・方針 体制・マネジメント 取り組み・実績 閉じる 考え方・方針 SUBARUグループが事業活動を行ううえで、デジタルデータの活用は必要不可欠であり、その活用領域も従来の情報システムのみならず、設備、商品、提供する各種サービスなど多岐にわたっています。これら領域でのデジタルデータを安全に取り扱うことは社会的責任であると認識し、SUBARUグループ全体でサイバーセキュリティの確保に取り組んでいます。また、デジタルデータの活用における昨今の状況も踏まえて、2024年7月にサイバーセキュリティ基本方針を改定しました。 SUBARUグループを取り巻くサイバーセキュリティの範囲 サイバーセキュリティ基本方針 【目的】 SUBARUおよびグループ会社各社(以下、SUBARUグループと称す)は、事業活動を行う上で、想定しうる製品、提供サービス、情報資源を脅威から守り、お客様ならびに社会への信頼に応えるためサイバーセキュリティ基本方針を定めます。 【適用範囲】 本基本方針の適用対象者は、SUBARUグループの役員、従業員、協力会社社員等の全員とします。 【取り組み】 SUBARUグループは、法令、規制、規範およびお客様との契約上のセキュリティ要求事項を遵守します。 SUBARUグループは、サイバーセキュリティに対する管理体制、社内規程を整備し運用を行います。 SUBARUグループは、情報資源に応じたサイバーセキュリティ対策を講じ予防および低減に努めます。 SUBARUグループは、サイバーセキュリティ脅威に対して監視を行い、サイバーセキュリティ事故が発生した際には、迅速かつ適切に対応し、再発防止に努めます。 SUBARUグループは、サイバーセキュリティを確保するため、役員および従業員の教育・訓練と意識向上に努めます。 SUBARUグループは、以上の活動を継続的に見直し、改善に努めます。 2024年7月改定 体制・マネジメント SUBARUでは、サイバーセキュリティの維持および改善に取り組むグループ全体の組織体制として、取締役会で選任されたCIO(最高情報責任者)を設置するとともに、CIOを総括責任者とするサイバーセキュリティ会議を組織しています。サイバーセキュリティ会議では、各部会において検討されたサイバーセキュリティ活動を審議し、SUBARUグループにおけるサイバーセキュリティ関連事案への対応、サイバーセキュリティ監査計画の立案や規則・方針見直しなどを決定しています。また、SUBARU Security Incident Response Team(SBR-SIRT)では、平時はSUBARUグループの保護対象に対する脅威を監視し、有事の際はSUBARUの保護対象を迅速かつ適切に保護・復旧するための活動を実施しています。この活動では、インシデントの検知・通報・復旧・再発防止を含む一連の対応フローが整備されており、重大事案については経営層への報告や外部関係機関との連携も行います。 目標と指標 SUBARUグループでは、最適ガバナンスの土台はサイバーセキュリティであるという考えのもと、すべてのステークホルダーを守るために以下の活動を推進しています。 ① SUBARUポリシー・ルールのサプライチェーンへの拡大 ② 価値づくりを支えるためのサイバーレジリエンスの継続的強化 ③ モノづくり改革を支えるための工場セキュリティ強化 ④ 車両開発にともなう車両サイバーセキュリティ強化と各国法規対応 サイバーセキュリティにおけるリスク認識 サイバーセキュリティにおいて、特にサプライチェーンにおけるセキュリティは、企業の全体的な安全と持続可能性に直結する重要なリスクと認識しています。このレベルでのセキュリティの不備は、機密情報の漏洩やお取引先様の事業停止、さらにはSUBARUの事業停止に発展するとともに、製品の品質問題や信頼性の低下につながる可能性があります。そのため、サプライチェーン全体にわたるセキュリティ対策の強化は非常に重要です。SUBARUグループでは、お取引先様との連携を強化し、定期的なセキュリティ評価とリスク管理の実施によって、これらのリスクを効果的に管理し、サプライチェーンの強靱性を高めることで、お客様に「安心と愉しさ」を提供し続け、SUBARUのブランド価値の毀損防止を実践していきます。 取り組み・実績 サイバーセキュリティ対応 各種研修および訓練の実施 2024年度は、「In-Car(車内システム)」「Out-Car(車外システム)」「情報システム」の3領域を網羅したサイバーセキュリティマネジメントシステムに基づき、3領域ともにEラーニングや動画による研修および訓練を実施しました。特に「情報システム」の領域では、標的型攻撃メール訓練を毎年1回以上継続的に実施しています。 また、同じく「情報システム」の領域では、経営層を含めたサイバーセキュリティのインシデント対応訓練を実施しました。サイバーセキュリティに関する訓練は今後も年1回以上の実施を予定しています。 目的:サイバーセキュリティの理解度促進と実務面のセキュリティリスク軽減 実施内容:3領域ごとの遵守すべき社内ルール教育および訓練 受講者数: 車両内システム開発者向け 208人 車載ECU開発者向け 28人 情報システム関係および一般従業員向け 12,072人 SUBARU販売特約店向け標的型攻撃メール訓練 9,134人 経営層を含むサイバーセキュリティのインシデント対応訓練 19人 内部監査の実施およびお取引先様におけるセキュリティ強化 マネジメントシステムに基づく内部監査についても、定常活動として継続的に実施しています。 2021年度より開始した、海外グループ会社との連携体制強化においては定期的な情報共有や、サイバーセキュリティ全社規則に基づくアセスメントに対する改善活動を実施しました。 昨今、サプライチェーンレベルのサイバーセキュリティはSUBARUの事業継続に大きな影響を及ぼすことから、年1回、お取引先様にセキュリティの対策状況をヒアリングし、必要な場合にはセキュリティ強化のためのアドバイスをする活動を実施しています。 個人情報保護 SUBARUグループでは、個人情報保護法(日本法)およびEU一般データ保護規則(GDPR)などの個人情報保護規制を遵守すべく管理規程類を制定し、体制の整備、プライバシーポリシーの公表などを実施しています。同体制においては、法務部を担当する役員が、個人情報保護最高責任者として議長を務め、関連部門の執行役員で構成される個人情報保護会議を年1回以上開催しており、同会議でSUBARUグループの個人情報保護活動について審議することで、活動におけるPDCAサイクルを推進しています。 2024年度は、より一層、効率的で効果的な個人情報保護活動を行うべく、SUBARUの管理規程を改定し、執行役員の役割や個人情報保護会議への付議基準を見直しました。 また、国内外グループ会社においても、個人情報保護規制を遵守し、個人情報を利活用するための管理体制構築に向けた活動を推進しています。 2024年度の主な取り組み ①個人情報保護法(日本法)への対応 SUBARUの執行役員ならびにSUBARUおよびグループ会社・販売特約店の従業員向けの専門研修(2024年度受講者数:897人) SUBARUおよび販売特約店の国内個人情報の取り扱い状況の確認および改善 SUBARU全部門を対象とした関連規程遵守状況の確認および改善 SUBARUおよび販売特約店の個人情報取り扱い委託先(国内)における管理状況の確認および改善 ②海外の個人情報保護規制への対応 SUBARUの執行役員ならびにSUBARUおよびグループ会社の従業員向けの専門研修(2024年度受講者数:201人) SUBARU関連部門の海外個人情報の取り扱い状況の点検・確認 2025年度も引き続き、日本および各国の法施行に向けた動きならびに当局による法の運用方針を注視し、SUBARUおよび国内外グループ会社・販売特約店による個人情報保護活動の深化を図ります。 サステナビリティ > ガバナンス > リスクマネジメント リスクマネジメント BCP サイバーセキュリティ 知的財産保護 サステナビリティ > ガバナンス コーポレートガバナンス コンプライアンス リスクマネジメント
