サイバーセキュリティ メニュー

考え方・方針

SUBARUグループが事業活動を行ううえで、デジタルデータの活用は必要不可欠であり、その活用領域も従来の情報システムのみならず、設備、商品、提供する各種サービスなど多岐にわたっています。これら領域でのデジタルデータを安全に取り扱うことは社会的責任であると認識し、SUBARUグループ全体でサイバーセキュリティの確保に取り組んでいます。また、デジタルデータの活用における昨今の状況も踏まえて、2024年6月にサイバーセキュリティ基本方針を改定しました。

SUBARUグループを取り巻くサイバーセキュリティの範囲

サイバーセキュリティ基本方針

【目的】

株式会社SUBARUおよびグループ会社各社(以下、SUBARUグループと称す)は、事業活動を行う上で、想定しうる製品、提供サービス、情報資源を脅威から守り、お客様ならびに社会への信頼に応えるためサイバーセキュリティ基本方針を定めます。


【適用範囲】

本基本方針の適用対象者は、当社ならびにSUBARUグループの役員、従業員、協力会社社員等の全員とします。


【取り組み】

  1. SUBARUグループは、法令、規制、規範およびお客様との契約上のセキュリティ要求事項を遵守します。
  2. SUBARUグループは、サイバーセキュリティに対する管理体制、社内規程を整備し運用を行います。
  3. SUBARUグループは、情報資源に応じたサイバーセキュリティ対策を講じ予防および低減に努めます。
  4. SUBARUグループは、サイバーセキュリティ脅威に対して監視を行い、サイバーセキュリティ事故が発生した際には、迅速かつ適切に対応し、再発防止に努めます。
  5. SUBARUグループは、サイバーセキュリティを確保するため、役員および従業員の教育・訓練と意識向上に努めます。
  6. SUBARUグループは、以上の活動を継続的に見直し、改善に努めます。

2024年6月改定

体制・マネジメント

SUBARUではサイバーセキュリティの維持および改善に取り組むグループ全体の組織体制として、取締役会で選任されたCIO(最高情報責任者)を設置するとともに、CIOを総括責任者とするサイバーセキュリティ会議を組織しています。サイバーセキュリティ会議では各部会において検討されたサイバーセキュリティ活動を審議し、SUBARUグループにおけるサイバーセキュリティ関連事案への対応、サイバーセキュリティ監査計画の立案や規則・方針見直しなどを決定します。また、SUBARU Security Incident Response Team(SBR-SIRT)では、平時はSUBARUの保護対象に対するセキュリティ情報の監視、有事の際はSUBARUの保護対象を迅速かつ適切に保護・復旧するための活動を実施しています。

目標と指標

SUBARUグループでは最適ガバナンスの土台はサイバーセキュリティであるという考えのもと、すべてのステークホルダーを守るために以下の活動を推進しています。

① SBRポリシー・ルールのサプライチェーンへの拡大

② 価値づくりを支えるためのサイバーレジリエンスの継続的強化

③ モノづくり改革を支えるための工場セキュリティ強化

④ 車両開発にともなう車両サイバーセキュリティ強化と各国法規対応

サイバーセキュリティにおけるリスク認識

サイバーセキュリティにおいて、特にサプライチェーンにおけるセキュリティは、企業の全体的な安全と持続可能性に直結する重要なリスクと認識しています。このレベルでのセキュリティの不備は、機密情報の漏洩やお取引先様の事業停止、さらにはSUBARUの事業停止に発展するとともに、製品の品質問題や信頼性の低下につながる可能性があります。そのため、サプライチェーン全体にわたるセキュリティ対策の強化は非常に重要です。SUBARUグループでは、お取引先様との連携を強化し、定期的なセキュリティ評価とリスク管理の実施によって、これらのリスクを効果的に管理し、サプライチェーンの強靱性を高めることで、お客様に「安心と愉しさ」を提供し続け、SUBARUのブランド価値の毀損防止を実践していきます。

取り組み・実績

サイバーセキュリティ対応

各種研修の実施

2023年度は、「In-Car(車内システム)」「Out-Car(車外システム)」「情報システム」の3領域を網羅したサイバーセキュリティマネジメントシステム文書類に基づき、3領域ともにEラーニングや動画による研修を実施しました。

目的:サイバーセキュリティの理解度促進と実務面のセキュリティリスク軽減
実施内容:3領域ごとの遵守すべき社内ルール教育
受講者数:車両内システム開発者向け 103人
情報システム関係および一般従業員向け 4,748人
SUBARU販売特約店向け標的型攻撃メール訓練 9,192人

内部監査の実施およびお取引先様におけるセキュリティ強化

マネジメントシステムに基づく内部監査についても、定常活動として継続的に実施しています。
2021年度より開始した、海外グループ会社との連携体制強化においては定期的な情報共有や、サイバーセキュリティ全社規則に基づくアセスメントに対する改善活動を実施しました。
昨今、サプライチェーンレベルのサイバーセキュリティはSUBARUの事業継続に大きな影響を及ぼすことから、お取引先様にセキュリティの対策状況をヒアリングし、必要な場合にはセキュリティ強化のためのアドバイスをする活動を始めました。

個人情報保護

SUBARUグループでは、個人情報保護法(日本法)およびEU一般データ保護規則(GDPR)など海外の個人情報保護規制を遵守するべく社内体制や規程類の整備、プライバシーポリシーの公表などを実施しています。
また、国内外グループ会社においても、これらの規制に即して個人情報を利活用するための管理体制構築に向けた活動を推進しています。


《2023年度の主な取り組み》

①個人情報保護法(日本法)への対応

  • SUBARU関連役員ならびにSUBARUおよびグループ会社向けの専門研修(515人が受講)
  • 全部門の保有個人データの棚卸を通じた管理上の課題整理および改善
  • 全部門を対象に関連社内規程の遵守状況をチェックシートで確認し、PDCAサイクルの継続
  • 国内グループ18社の管理実態を踏まえた改善に向けた提言・対応支援
  • 国内販売特約店の管理レベルを向上させるべく、販売特約店の実態把握を目的とする調査

②海外の個人情報保護規制への対応

  • SUBARU関連役員ならびにSUBARUおよびグループ会社向けの専門研修(196人が受講)
  • SUBARU関連部門およびグループ会社の海外個人情報の取り扱い状況の点検・確認

2024年度も引き続き、日本および各国の法施行に向けた動きならびに当局による法の運用方針を注視し、SUBARUおよび国内外グループ会社・販売特約店による個人情報保護活動の深化を図ります。