Governance ガバナンス情報セキュリティ
基本的な考え方TOPへ戻る
TOPPANグループは、グローバルな社会課題を解決するリーディングカンパニーを目指し、事業に必要な情報やシステムを適切かつ安全に管理することが経営上の重要課題であることを認識し、TOPPANグループを挙げて情報セキュリティ管理およびサイバーセキュリティ対策に取り組んでいます。
IoTの高度化やデジタル化の急速な進展を背景に、サイバー攻撃の脅威が高まっており、機密情報や個人情報を含む情報資産の漏えいだけでなく、事業そのものの継続までが脅かされるようになっています。
こうした中で、DXの利活用を通じて企業価値を創造し、お客さまや社会の信頼に応えるため、TOPPANグループは「TOPPANグループ情報セキュリティ方針」や「個人情報保護方針」を掲げ、グループ一丸となり、技術面・運用面での対応を徹底しています。全国に展開するセキュリティエリアでの個人情報取り扱いの徹底やサイバー攻撃に対するツールや仕組みの導入を積極的に進めています。
TOPPANグループ情報セキュリティ基本方針
私たちTOPPANグループは、情報コミュニケーション産業として、事業に必要な情報の管理が、お客さまの信頼に応え、TOPPANグループの永続的な発展を図るために、経営上の重要課題であることを認識し、TOPPANグループを挙げて情報セキュリティ管理に取り組みます。
1. 私たちは、法と社会秩序を遵守のうえ、社内の規程類に則り、当社の事業に必要な情報を適切に管理します。
2. 私たちは、情報を収集するにあたっては、正当な目的および方法をもってこれを行います。
3. 私たちは、お客さまより預託を受けた情報について、お客さまの信頼に応えるべく、安全に情報を管理します。
4. 私たちは、私たちの取り扱う情報資産について、不正なアクセスまたは滅失、毀損、改ざん、漏えい等の危険を深く認識し、必要かつ合理的な安全対策を講ずるとともに、問題が発生した場合は、適切かつ速やかに対処し是正します。
5. 私たちは、情報セキュリティマネジメントシステムを構築、運用、維持し、さらに継続的に改善を図ります。
制定日 2001年4月1日
最終改定日 2023年10月1日
TOPPANホールディングス株式会社
代表取締役社長 CEO 麿秀晴
推進体制TOPへ戻る
TOPPANグループでは、情報セキュリティ本部を設置し、ガバナンスならびに技術的に対応するとともに、組織横断的なサイバー対応の専門チームを設けて、グループ会社を統括し、外部機関とも連携を図りながら情報セキュリティ管理を推進しています。また、情報セキュリティ本部担当役員を最高情報セキュリティ責任者(CISO)として任命しています。
グループ会社には情報セキュリティ管理責任者を置き、情報セキュリティ本部による統制のもとで各組織のセキュリティ管理を推進しています。
情報セキュリティ代表者会議と関係会社情報セキュリティ推進会議はそれぞれ年に2回開催し、最高情報セキュリティ責任者および各組織の情報セキュリティ管理責任者が参加して情報セキュリティ戦略に基づいた施策の計画や実績を共有・確認しています。また主要事業会社の情報セキュリティ関係者が参加する情報セキュリティ推進協議会を毎月開催し、情報セキュリティ施策の諮問や情報共有を行っています。
情報セキュリティの組織管理体制
情報セキュリティ管理体制TOPへ戻る
情報セキュリティマネジメント
最高情報セキュリティ責任者のもと、情報セキュリティ本部が、情報セキュリティに関する全体計画の策定、規程の整備・見直しなどを行い、グループ会社との定期的な会議体を設けて、情報セキュリティに関する方針や施策の共有を図っています。
また、グループ会社に対しては、定期的な監査を実施し、マネジメントの状況確認と是正改善を行っています。
さらに、これらの活動については、最高情報セキュリティ責任者に定期的な報告を行うとともに、万一、インシデントが発生した場合にも、最高情報セキュリティ責任者に適宜報告を行い、迅速にインシデントに対応する体制となっています。
セキュリティガバナンスを支える規程体系
TOPPANグループでは、ISO/IEC 27000およびJIS Q 15000に準拠したTOPPANグループ情報セキュリティ基本方針とTOPPANグループ情報セキュリティ基本規程を定め、グループ各社ではこれらに基づいた個人情報保護方針ならびに規程・細則類を制定し、管理体制の構築およびルールの周知を組織的に推進することでセキュリティガバナンスを支えています。
情報セキュリティ規程体系
ガバナンス強化を目的とした情報セキュリティベースライン評価の実施
TOPPANグループのセキュリティ統制を強化するため、全グループ会社に情報セキュリティ基本規程ベースラインを適用し、毎年の評価を行っています。評価では、組織的、人的、物理的、技術的対策、インシデント対応、個人情報保護の37項目について5段階で採点し、改善計画を策定、その進捗をモニタリングすることで、各社のセキュリティ水準向上を目指しています。評価結果は、事業会社・部門、グループ全体の施策へ反映させています。
各種法規制・規範への対応TOPへ戻る
日本の個人情報や機密情報保護関連の法規制のみならず、TOPPANグループが展開している各国における、プライバシーや機密関連法規制への対応を実施しています。
改正個人情報保護法への対応
2022年4月の改正個人情報保護法への対応として、情報セキュリティ規程などの個人情報関係ルールの改定を行いました。また、個人情報保護委員会から開示されたガイドラインに従って、仮名加工情報および個人関連情報への対応、越境移転がある場合の本人への通知、インシデント発生時における報告対応を行っています。
個人情報とプライバシー保護に関する各国法規制への対応
高まりつつある個人情報保護とプライバシー意識の高揚に応じて、プライバシー保護に関する法規制が制定されていますが、TOPPANグループが展開する各国や地域における当該法規制に関する、情報収集や調査を通じて、法規制への適切な対応を実施しています。
プライバシーマークおよびISMSへの対応
情報セキュリティにかかわる認証として、プライバシーマークおよびISMS(情報セキュリティマネジメントシステム)を取得しています。
個人情報などお客さまの重要な情報を安全に取り扱うため、ルールの制定、環境の構築、要員の教育に取り組んでいます。
マイナンバー制度への対応
従業員のマイナンバー取り扱い業務、およびお客さまによる顧客のマイナンバー収集を代行する業務などに対応するため、セキュリティエリアの基準に、個人情報保護委員会「特定個人情報の適正な取り扱いに関するガイドライン」に基づく安全管理措置を追加しました。
他の情報取り扱いと分離するため、独立したマイナンバー取り扱いルームを設け、専門チームによる認定監査を実施しています。
個人情報・機密情報保護の徹底TOPへ戻る
セキュリティエリアの設置
TOPPANグループでは、個人情報(マイナンバー含む)の取り扱い、金銭的価値を有する証券印刷物の生産や取り扱い、その他機密指定案件の取り扱い業務は、入退室制限、独立したネットワーク環境など、内部不正や外部からの不正アクセス防止などの対策が施されたセキュリティエリアで行っています。
その結果、2023年度の情報の不正な持ち出しなどの事故は0件であり、今後も事故0件を継続することを目標としています。
セキュリティエリアのある拠点とその数(2024年3月31日現在)
- ※
- 個人情報を取り扱うセキュリティエリアの数
セキュリティエリアの安全管理策
個人情報取り扱い業務および機密情報取り扱い業務については、セキュリティエリアの運用管理ルールに則った現場での日常的なチェックと、定期的な内部監査によって、セキュリティレベルの維持向上を図っています。
<内部監査での運用管理のチェック>
専門の監査員により、セキュリティエリアの設置・管理・運用の状況を定期的に監査し、結果を評価認定することで、運用管理レベルの維持と強化を図っています。
<入退室管理>
セキュリティエリアには、許可された人間のみが入退室可能な技術的対応(本人認証、共連れ防止策等)を施しています。
また、画像、映像、音声などを記録・通信する装置( カメラ、携帯電話、スマートフォン等)の持ち込みは禁止し、エリアの外に私物入れロッカー等を設置しています。
<エリア内管理>
セキュリティエリア内では、監視カメラを死角ができないように設置し、不正なデータ持ち出しに対するモニタリングが可能な対応をしています。
<端末管理>
セキュリティエリアで使用される端末には、原則として外部記憶媒体の接続を禁止するとともに、IDとパスワードに加えてその他要素も加えた二要素認証を適用したログインを行っています。
また、ログ管理システムに操作ログを収集・保管し解析することによって、不正が疑われる場合には監視センターより責任者へ連絡して確認を取る運用を行っています。
左:監視カメラ、右:入退管理
サプライチェーンに対するセキュリティ管理
TOPPANグループでは、個人情報や機密情報の取り扱いを含む一部の業務をグループ会社や協力会社に委託したり、他社のクラウドサービスを活用したりして業務を行うことがあります。
その場合、これらの委託先が当社のセキュリティ基準を満たしていることを確実にするため、委託する業務内容や情報の種類に応じて、適切なセキュリティ対応を実施している外部委託先を認定する制度の導入やクラウドサービスの安全性確認を行い、サプライチェーンリスクの低減を図っています。
社内業務における情報資産の取り扱い対応
TOPPANグループでは、社内業務で取り扱う情報資産の機密性に応じて区分をつけ、情報資産の区分に応じた、保管、持ち出し、開示等に関するルールを規定し安全な情報資産の取り扱い対応を実施しています。
サイバー攻撃に対する対策TOPへ戻る
サイバー攻撃は特に重大なリスクであると認識しており、セキュリティリスクの低減に向け様々な対応策を実施しています。
PC内での不審な挙動を検知するためのツール(EDR:Endpoint Detection and Response)によるPC・サーバーへの対策
2019年度より導入を開始したEDRの展開を進め、社内の事務端末をはじめ、製造現場の端末やMac、サーバーへのEDR導入を完了しました。また、ネットワークログなどを組み合わせ、高度なウイルスを早期に検出・対処する体制を継続的に強化しています。
パブリッククラウドのセキュリティ設定ミスを検出するサービス
CSPM(Cloud Security Posture Management)の活用
メガクラウドの活用が拡大する中で、クラウド特有の不適切な公開権限の設定などによるセキュリティリスクを可視化し、問題のある設定を早期検出・是正につなげるためにCSPMを活用して、パブリッククラウド利用時のリスクを低減する活動を開始しております。
脅威インテリジェンスの活用と外部攻撃対象領域の管理 (ASM:Attack Surface Management)
TOPPANグループに対するサイバー攻撃の兆候や外部から見つけられる可能性のある脆弱性を早期に発見するため、脅威インテリジェンスや第三者評価の活用とOSINTの活動を継続しています。攻撃を受ける前に発見された問題に対処することで、サイバー攻撃リスクの低減を図っています。
2022年度からは個人情報・機密情報の委託先にも対象を広げ、サプライチェーンのセキュリティ強化にも努めています。
Webサイトの脆弱性診断対応強化
Webサイトの脆弱性を狙ったサイバー攻撃の対策として、これまで脆弱性診断の運用を行ってきましたが、日々発生する新たな脆弱性に対応するために、定期的かつ自動的にネットワーク診断を行う脆弱性監視の運用や外部サービスによる脆弱性の検出を行っています。これにより、自社サービスの安全性向上に加え、より安全なサービスのお客さまへの提供につなげています。
また、コーディングに関するセキュリティガイドラインを策定しており、開発者の教育に活用することで、設計段階から脆弱性を含みにくい開発を心掛けています。
情報セキュリティにおける重大インシデント対応ガイドラインの制定
サイバー攻撃の脅威は世界的規模に拡大し、その悪質さ、巧妙さが想定外なだけでなく、瞬時にして甚大な被害に拡大することから、従来の事故対応の手法では対応し得ないものとなっています。
TOPPANグループでは、サイバー攻撃等による重大インシデントに対応するためのベースとなる「考え方」、「態勢」、「対応フロー」をガイドラインとしてまとめ、想定外の事象が発生し得るとの前提に立った対応力強化を図っています。
IT資産管理情報を活用した不正な端末の接続排除
データベース上で管理しているIT資産情報と実際の社内ネットワーク通信の整合性チェックを行うシステム、および社内LAN上にネットワークセンサーを導入し、不正な端末の持ち込みによるウイルス感染や情報漏洩のリスクを低減する活動を展開しています。
電子メール攻撃への対策
マルウェア「Emotet」や、取引先を装い金銭や特定情報をだまし取るビジネスメール詐欺などの電子メールを悪用した脅威に対し、AI 分析や機械学習を活用して電子メールを検疫するサービスを2022年度に導入し、運用を開始しました。これにより、標的型攻撃による金銭や情報搾取、ウイルス感染のリスクを低減しています。
2023年度以降も、グループ各社に同様の対策の展開を進め、TOPPANグループのメール攻撃耐性強化を図っております。
サイバー対応専門チームの対応力強化
TOPPANグループにおける組織横断的なサイバー対応の専門チームであるTOPPAN-CERTは、2023年12月に内閣サイバーセキュリティセンター(NISC)と日本シーサート協議会(NCA)が主催する連携分野横断的演習に参加し、実際にサイバー攻撃を受けた場面を想定した演習を行いました。CERTメンバーが中心となって対応を行い、演習後には振り返りを実施することで、対応手順や課題を検証し、サイバー攻撃を受けた際の対応手順の改善に役立てています。
また2024年2月には、国内だけではなく海外グループ会社で発生したインシデントに早期対応するインシデントレスポンスの体制も整えました。
サイバーセキュリティ状況の共有
社内外のサイバーセキュリティ環境の状況の理解を深めるため、情報セキュリティ関係者向けに四半期ごとのサイバーセキュリティ情報共有会を実施しています。
工場のセキュリティ強化
スマートファクトリー化に伴い様々なモノがネットワークとつながることになり、これまで以上にサイバー攻撃の可能性が上がります。
TOPPANグループでは、2023年6月に工場セキュリティガイドラインを発行し、工場関係者に周知、教育を行いセキュリティ強化を図っています。
第三者認証の取得TOPへ戻る
ISMS認証取得「ISO/IEC 27001」とプライバシーマーク付与認定(JIS Q 15001:2017)などをTOPPANグループ各社で取得しています。(2024年6月30日現在)
ISMS認証取得(ISO/IEC 27001)(情報セキュリティマネジメントシステム)
|
TOPPAN(株) 情報コミュニケーション事業本部 TOPPANエッジ(株) ハイブリッドBPO統括本部 ICT開発本部 開発三部 (株)トッパンコミュニケーションプロダクツ (株)トッパングラフィックコミュニケーションズ (株)TBネクストコミュニケーションズ |
IC23J0567 |
| TOPPANエッジ(株) TOPPAN(株)情報コミュニケーション事業本部 (株)トッパンコミュニケーションプロダクツ ティージーエス(株) |
IC06J0151 |
| TOPPANデジタル(株) サービスマネジメントセンター インフラサービス部、サービスオペレーション部 ICT開発センター DXソリューション開発部 |
IC23J0568 |
| TOPPANエッジ(株) トッパングループ関西ビジネスセンター |
JQA-IM0137 |
| (株)トッパンインフォメディア 本社(知財担当を除く)、第一営業本部第一部(小石川営業所)、 第三営業本部第一部一課(関西営業所)、福島工場、相模原工場(開発部門を除く)、 相模原北工場、相模原西工場、西倉庫 |
JUSE-IR-404 |
| (株)トッパンフォトマスク | IS 530416 |
| (株)ONE COMPATH | IS 533218 |
| TOPPAN(株) 西日本事業本部 九州事業部・中四国事業部 セキュリティエリアおよびISMS推進委員会 |
I308 |
| (株)トッパングラフィックコミュニケーションズ 関西制作本部/ TOPPAN(株) 西日本事業本部 関西クロステックビジネスイノベーション事業部 |
IC13J036 |
| TOPPAN(株) 東日本事業本部 | IS 606897 |
| (株)トッパンコミュニケーションプロダクツ 滝野工場、TOPPAN(株) 西日本事業本部 関西情報系技術部 情報系滝野生産技術T |
IC14J0376 |
| TOPPAN(株) 中部事業部/ (株)トッパングラフィックコミュニケーションズ 中部制作部/ (株)トッパンコミュニケーションプロダクツ 名古屋工場 |
IC17J0444 |
| TOPPANエッジITソリューション(株) システム管理部 サービス管理グループ(サービスデスク担当)、 ISO/RM推進部(事務局担当) |
JUSE-IR-403 |
| (株)トスコ | IC07J0211 |
| (株)アイオイ・システム | J0265 |
| 東京書籍(株) 教育DX事業関連部門/ (株)学習調査エデュフロント |
IC23J0562 |
| おかぴファーマシーシステム(株) | IS 794168 |
| その他非公開:1事業者 |
ISMS認証取得(ISO/IEC 27017)(クラウドセキュリティマネジメント)
| TOPPANデジタル(株) ICT開発センター DXソリューション開発部 3チーム |
SC22J0025 |
| TOPPANエッジITソリューション(株) | JUSE-IR-403-CS01(基となるISMS登録番号:JUSE-IR-403) |
| 東京書籍(株) 教育DX局 | SC24J0029(基となるISMS登録番号:IC23J0562) |
プライバシーマーク付与認定(JIS Q 15001:2017)
| TOPPAN(株) | 10190891 |
| (株)トッパンコミュニケーションプロダクツ | 24000216 |
| (株)トッパングラフィックコミュニケーションズ | 10190298 |
| トッパンエディトリアルコミュニケーションズ(株) | 24000308 |
| 凸版物流(株) | 10450006 |
| (株)トッパントラベルサービス | 10450093 |
| TOPPANエッジ(株) | 10190934 |
| TOPPANエッジITソリューション(株) | 10820089 |
| TOPPANエッジ・サービス(株) | 10450002 |
| TOPPANデジタル(株) | 24000478 |
| (株)トスコ | 11820447 |
| (株)ジェイエスキューブ | 10860018 |
| TOPPANクロレ(株) | 24000032 |
| 東京書籍(株) | 10190966 |
| (株)フレーベル館 | 24000369 |
| (株)BookLive | 28000007 |
| 東京都チャレンジドプラストッパン(株) | 24000419 |
| (株)ONE COMPATH | 24000445 |
| (株)トッパン・コスモ | 24000449 |
| (株)TBネクストコミュニケーションズ | 24000464 |
| (株)トッパンインフォメディア | 24000473 |
| livepass(株) | 25000225 |
| (株)理研ジェネシス | 14300052 |
| (株)ブックリスタ | 10824078 |
情報セキュリティ教育TOPへ戻る
TOPPANグループでは、情報セキュリティ管理体制の強化=人財の強化、であるという認識のもと、様々な視点からの教育や自己点検を実施しております。
全従業員向け教育の実施
TOPPANグループでは、年1回、全従業員のセキュリティレベル向上のために定期教育を実施しています。
2023年度は、「~変化に挑み、未来を切り拓くために~情報セキュリティの脅威に、グループの総力結集で防衛を」をテーマに、サイバー攻撃への備え、日常業務におけるセキュリティ上の留意点、改正個人情報保護法施行への対応のみならず、各事業(本)部固有のリスクも加味した幅広い視点からの教育を実施しました。
工場技術者に対するセキュリティ教育の実施
TOPPANグループでは、2021年度より「技術防人養成所」と銘打った教育を開始しました。これは、工場の技術員に対し、製造設備の導入企画から廃棄までの過程における、必要なセキュリティの要件を教育することで、製造現場におけるセキュリティが強化された製造DXを実現する取り組みです。
2023年度は20名が「技術防人養成所」を修了しています。
経営層向けサイバーセキュリティ演習の実施
TOPPANグループにおける経営層、上位管理職層におけるサイバーインシデントに対する危機対応、リスク管理の能力向上のため、サイバー攻撃による重大インシデント発生を想定したサイバーセキュリティ演習を年2回実施しています。
また、演習終了後にはその結果を評価することで、サイバーインシデント対応上の課題を把握し、改善を実施しています。
全社自己点検の実施
TOPPANグループでは、情報セキュリティ管理の実態について、従業員一人ひとりが把握し、その気付きからもセキュリティ意識の向上を図るために、全社的な自己点検にも取り組んでいます。
この結果については、部門ごとに提供することで職場単位での改善対応を自ら行動できるようにしています。
2023年度は、サポートが終了したソフトウェアの更新対応が適切に行われたかを確認するための設問を追加し、常に最新の勤務環境に応じた意識が醸成されるよう考慮しています。
TSAT(TOPPAN Security Awareness Training)によるセキュリティ意識向上の実施
TOPPANグループでは、TSATを活用した訓練→評価→教育のプロセスを繰り返し実施することで、ヒト強化によるサイバー攻撃耐性強化に取り組んでいます。
全従業員向けの教育だけではなく、特定の部門や職種を対象とした教育を随時実施しています。
ウイルスメール対応訓練の実施
不審なメールは開封せず、開封してしまったとしても速やかに通報できるよう、2023年度は、子会社、関連会社に加え、海外子会社含む約41,000名に対してウイルスメール対応訓練を2回実施し、開封者に対するフォロー教育を行いました。
訓練では、訓練メールのリンクをクリックしても訓練対象者には訓練と気付かせないWebページを表示させることで、より本物のメール攻撃に近い難易度の高い内容で実施しました。
サイバーセキュリティ人材育成会社「Armoris」によるトレーニングの継続的な実施
TOPPANグループは企業・公共機関を対象に、サイバーセキュリティ人財育成プログラムおよび組織のセキュリティ向上サービスを提供する株式会社Armorisを設立し、実戦的な人材育成プログラム「DOJO」および「DOJO Lite」「DOJO Shot」「DOJO CORE」などを継続して展開しています。
個々人の技量進度に合ったプログラムに加えて、長期間継続的にトレーニングを行える「DOJO」、最新のテーマに沿った事例やケーススタディが学べる「DOJO Lite」、「DOJO Shot」、インシデント対応を実際に体験する実戦的な「DOJO CORE」を展開することにより、TOPPANグループ自らはもちろん、日本における個人と組織のセキュリティ能力向上を目指しています。
「DOJO」サービスイメージ