情報セキュリティマネジメントシステム 情報セキュリティマネジメントシステムの国際規格ISO/IEC 27001の認証を2006年に取得し現在に至るまで維持しており、このマネジメントシステムに基づき、情報セキュリティの運用・改善を行っています。
個人情報の保護 個人情報保護方針を定め、本邦の「個人情報保護に関する法律」に従い、保有する個人情報の適切な取り扱いを行っています。
また、GDPR Privacy Policyも定め、GDPR(EU一般データ保護規則)への対応に取り組んでいます。
リスクマネジメント
伊藤忠グループは、その広範にわたる事業の性質上、市場リスク・信用リスク・投資リスクをはじめ、様々なリスクにさらされています。これらのリスクは、予測不可能な不確実性を含んでおり、将来の伊藤忠グループの財政状態及び業績に重要な影響を及ぼす可能性があります。
伊藤忠グループは、リスク管理を経営の重要課題と認識し、COSO-ERMフレームワークの考え方を参考に、伊藤忠グループにおけるリスクマネジメントの基本方針を定め、必要なリスク管理体制及び手法を整備しています。具体的には、下記18のリスクを主要リスク ※ と定義し、それぞれのリスク管理責任部署において連結ベースでの情報管理・モニタリング体制を構築し、これらのリスクに対処しています。また、管理体制等の有効性につき、社内委員会において定期的にレビューしています。加えて、中期経営計画策定に合わせ、現状把握しているリスクの再評価、及び網羅的にリスクを洗い出すリスクアセスメントという取組みを全社的に実施しております。
- コンプライアンスリスク
- 法務関連リスク
(コンプライアンスリスクを除く) - 安全保障貿易管理に関するリスク
- 関税関連リスク
- カントリーリスク
- 商品価格変動リスク(特定重要商品)
- 信用リスク
- 投資リスク
- 株価リスク
- 為替リスク
- 金利リスク
- 資金調達リスク
- 情報システム・セキュリティリスク
- 労務管理リスク
- 人材リスク
- 財務報告の適正性に関するリスク リスクマネジメント
- 内部管理に関するリスク
- 環境・社会リスク
体制・システム
リスク管理体制
事業運営レベルのリスク管理としては,各カンパニーにおいてカンパニーの長であるカンパニープレジデントの諮問機関としてDMC(Division Company Management Committeeの略)が、各カンパニーにおける経営方針及び経営に大きな影響を及ぼす投資・融資・保証・事業等における重要案件を審議しています。委譲された権限を超えるリスクを負担する場合は、重要度に応じ、各種委員会を経てHMC及び、または取締役会へ付議されます。
リスク管理
リスクキャピタル・マネジメント ※1 と集中リスク管理
リスクアセットとリスクバッファー ※2 の状況
リスクアセットを厳格に管理
事業投資管理
基本的な考え方
投資実行時の意思決定プロセス
事業投資プロセス
![[図]](https://www.itochu.co.jp/ja/csr/img/cs_gov_risk_21_img02.png)
![[図]](https://www.itochu.co.jp/ja/csr/img/cs_gov_risk_21_img03.png)
情報セキュリティリスクマネジメント
方針・基本的な考え方
体制・システム
![[図]](https://www.itochu.co.jp/ja/csr/img/cs_gov_risk_21_img04.png)
伊藤忠商事では、上級サイバーセキュリティ分析官をメンバーとした、サイバーセキュリティ対策チーム(ITCCERT:ITOCHU Computer Emergency Readiness, Response & Recovery Team)により、常時ログの分析やマルウェアの解析により最新の脅威情報を収集して事前予防を行い、また、事故(インシデント)発生時には即座にインシデント・レスポンス(原因調査、対応策検討、サービス復旧)を実施しています。2017年度より伊藤忠商事IT・デジタル戦略部内にITCCERT専用スペースを設置し、伊藤忠グループのセキュリティ対策を強化すると共に、セキュリティ対策要員の育成に努めています。また、社会的に必要とされるサイバーセキュリティ対策技術者の教育・育成にも取組んでいます。ユーザ企業がここまでアクティブに体制を整備し、積極的に活動している例は国内では少なく、今後も持続的な成長を支えていく取組みを進めていきます。
- サイバー攻撃の1つである「標的型メール攻撃」に対する全社員向け対策訓練を年に2回実施。
- eラーニングによる「情報セキュリティ講座」を3年毎に国内外の全社員及びグループ会社で一斉開講を実施。
- ITCCERTを講師とした、伊藤忠グループ会社向け情報セキュリティのワークショップ開催及び講演会を年に数回実施。
- 情報セキュリティ及び個人情報保護に関する方針について、入社時の研修において周知徹底する他、更新がある場合は、通達及び定期的なeラーニングにより国内外全社員に通知・教育を実施。
- 全社シンクライアント対応を実施。
- 全社標準サービスやツールに導入前審査を行うことで、WEB会議システムやクラウドサービス利用におけるセキュリティを強化。
Business Continuity Plan(事業継続計画)
伊藤忠では、大地震等の自然災害、感染症の蔓延、テロ等の事件、大事故、サイバーアタックやセキュリティインシデント等、不測の事態が発生しても、重要な事業を中断させない、または中断しても可能な限り短い期間で復旧させるためのBCP(Business Continuity Plan)を策定し、内容の見直しを定期的に行っています。
大規模災害時において、BCP発動から全面復旧に至るまで、(1)初動復旧、(2)BCP発動、(3)業務回復、(3)全面復旧の4つの段階に分け、それぞれの指揮命令者・対応事項を定めた計画を策定。BCPの策定は、伊藤忠グループ全体を対象としており、各事業セグメント・職能各部においても個別に策定しています。
コメント