情報セキュリティ

基本的な考え方・ガバナンス

オリンパスグループは、情報の適正な取り扱いと保護は社会的責務であるとの認識の下、「情報セキュリティ方針」を制定し、情報セキュリティの確保に取り組んでいます。
情報セキュリティは重要リスクとして事業計画に組み込まれており、取締役会と監査委員会は、情報セキュリティを含む全ての重要な企業リスクを監督しています。取締役会と執行役は、グループ全体のエンタープライズ・リスク・マネジメントを運営しており、情報セキュリティはその中核となる分野のひとつです。地域・組織それぞれのリスクマネジメントは執行役の指示に基づき、事業計画における重点施策を各事業・各機能長がリスクアセスメントを踏まえて実施しています。執行役員のうち、CAOは情報セキュリティの分野における執行責任を担い、CISOはその委任を受けて業務執行のガバナンスを強化しています。情報セキュリティの状況は、CAOからグローバル経営執行会議および取締役会に定期的に報告されています。 CISOの下には、下図のような情報セキュリティガバナンスの仕組みがあり、オリンパスグループの全世界の事業・機能を網羅しています。
具体的には、情報セキュリティガバナンスおよび戦略、プロダクトセキュリティ、エンタープライズ情報セキュリティ、データプロテクションの4つの情報セキュリティ領域の取り組みを軸に、事業・機能がグローバルに連携し、施策や管理を実現するためのガバナンス体制を整えています。
実効性のある情報セキュリティガバナンスを実現するため、社内の情報セキュリティアセスメントの定期的な実施による運用状況モニタリングや、役員および全従業員に対する情報セキュリティ定期教育など、包括的な情報セキュリティレベルの維持・向上に積極的かつ継続的に取り組んでいます。

4つの情報セキュリティ領域
情報セキュリティガバナンスおよび戦略 情報セキュリティのリスクマネジメントおよび戦略の策定を行う
プロダクトセキュリティ サプライチェーンを含む製品ライフサイクル全般においてセキュリティを保証する
エンタープライズ情報セキュリティ サイバーセキュリティ・ITセキュリティ・物理的セキュリティを含む、エンタープライズ情報セキュリティを保証する
データプロテクション 適切なデータクラシフィケーションと、プライバシー要件を含むコンプライアンス義務に沿ったリスクコントロールプロセスの業務への組み込みにより、資産損傷リスクマネジメントを保証する

推進体制

オリンパスグループの事業に関わる情報セキュリティの適切な管理・保護を確実に実施するため、CISO (チーフインフォメーションセキュリティオフィサー)を設置した体制を整備し、責任を明確にしています。オリンパスグループは、CISOが指揮し、各地域や4つの情報セキュリティ領域を包括するグローバルガバナンス体制の下、情報セキュリティの管理・確保に取り組み、ステークホルダーへの説明責任を果たします。
また、オリンパスグループの情報セキュリティ機能を管掌する執行役であるCAOは、執行役の職務執行を監督する取締役会へ報告を行っています。 現任のCAOが持つ様々な経歴には、ITシステム導入のプロジェクト管理の統括やITセキュリティリスクアセスメントの監督といった情報セキュリティおよびサイバーセキュリティ分野での経験も含まれます。

情報セキュリティに関するグループ経営執行会議報告

グループ経営執行会議報告を毎月実施し、経営判断を迅速に行う体制を整えています。

図版:情報セキュリティに関する執行会議報告

取り組み(マネジメント)

情報セキュリティリスクマネジメント

オリンパスグループでは、適切な情報セキュリティリスクマネジメントを遂行するため、機能分野を踏まえたアセスメントの実施、分析、計画策定、実施、レビューといったPDCAサイクルを必要な階層に応じて実施しています。アセスメントにおいては、国内外の監督省庁、情報セキュリティに関わる政府機関・独立関係機関・業界団体・脅威インテリジェンスベンダー等、複数の第三者視点の情報を取り込むとともに、グローバルな自社状況の把握に努めています。
また、分析したリスク事象については効果的な対応策を策定するため、適切なリスク分類を行い、自社による取り組みや関連機関との連携、リスク保証など多面的な検討を行っています。

リスク管理プロセス

オリンパスグループでは、脆弱性を評価するための模擬攻撃を含む第三者評価や、グローバルに情報セキュリティインシデントのモニタリングを実施しており、モニタリング結果に応じたリスク対処を実施しています。
過去3年間のグローバルのインシデント実績は表のとおりです。

インシデント項目 2019年3月期 2020年3月期 2021年3月期
情報セキュリティ侵害またはその他のサイバーセキュリティインシデントの総数 0 0 0
顧客の個人情報の漏洩に関する情報セキュリティ違反の総数 0 0 0
会社のデータ侵害の影響を受けた顧客の総数 0 0 0
情報セキュリティ違反またはその他のサイバーセキュリティインシデントに関連して支払
われた罰金/罰金の総額
0 0 0

リスク対策

インシデントレスポンス

ITセキュリティに関するインシデント対応については、ITセキュリティインシデントに関するグローバルルールを明確化、情報セキュリティガバナンス委員会で状況に応じてインシデントに関する情報共有を行うとともに、インシデントレスポンス体制の有効性を維持するため、年1回以上の訓練を実施しています。昨今の社会的なインフラを担う企業を標的としたサイバー攻撃などの頻発を踏まえ、インシデント対応の実施計画について常時必要な更新を行い、グローバルな情報セキュリティ対応を図っています。
プロダクトセキュリティについては、製品に関する脅威・脆弱性情報を収集し、セキュリティリスクを分析する体制を構築し、早期のセキュリティ対策の実現に努めています。
データプロテクションについては、関連法規制はもとより、コンプライアンス・リスクコントロールといった観点から適切なデータ重要度分類とそれに見合った管理手法の導入を図り、適切な保護を行っています。

BCP計画

ITセキュリティにおいて、インシデントの発生を完ぺきに抑えることは難しい状況です。オリンパスグループではインシデント発生を防ぐ対策をさまざまな側面から準備するとともに、発生時の迅速な検知・分析および封じ込め・復旧についても事前計画を立て、遅滞なく対応できるよう体制を整えています。近年の関連事象や事業継続に関わる重要資産等のアセスメント、リスク要因などの分析を踏まえ、さらにステップアップした情報セキュリティ対策の策定を進めています。現状重要なインシデント発生はないものの、製造業や医療機関を標的としたサイバー攻撃のリスクの高まりの認識を基点に、迅速なインシデント対応を可能とする計画改善を実施しています。

情報セキュリティ教育

情報セキュリティを業務上徹底させるためには、一人一人のセキュリティ意識およびその前提となる倫理観の醸成が重要です。全従業員に対する教育の実施についてはリージョン情報セキュリティ管理者が適切にモニタリングを行い、情報セキュリティリテラシーの向上に努めています。 eラーニングなどを活用した教育、情報セキュリティ方針やインシデントに関する報告プロセスの周知を全ての地域で実施しており、日本では2020年に具体的な対応基準に関するITセキュリティインシデントハンドリング細則を定め、これに基づくeラーニングを従業員に対して実施しています。