ガバナンス
基本的な考え方・方針
企業のDX戦略が加速する中、さまざまな「モノ」や情報がつながることで、新たな価値が生み出されています。一方で、サイバー攻撃の脅威や「会社情報」「お客様・取引先情報」などの情報漏洩に関するリスクマネジメントは、企業の持続的成長における重要な課題の一つと捉えています。さらに、近年急速に進化するAI関連技術の活用に伴う知的財産権の侵害など、新たな取り組みに対するリスクにも対応する必要があります。
そこで、アイシンでは「アイシングループ情報セキュリティ基本方針」を定め、組織的かつ継続的な情報セキュリティ対策に取り組んでいます。
推進体制
DX戦略センター長は、情報セキュリティ対策と個人情報保護の実施・運用に関する責任と権限を持ち、経営戦略に沿った情報戦略やIT投資計画を策定し、情報セキュリティを推進する役割を担っています。DX戦略センター長のもと、セキュリティ専門組織である情報セキュリティ推進部を設置し、グループ全体でサイバー攻撃や内部不正などのリスクに迅速に対応できる体制を構築しています。
情報セキュリティの方針や対策はリスクマネジメント委員会で提案し、グループ全体で認識を共有しています。これにより、セキュリティ水準の向上と確実な対策の実施を図っています。
情報セキュリティ推進の体制図
戦略
お客様や取引先からお預かりした情報や、アイシンの事業活動に関わる情報は重要な資産であるとの考えのもと、企業の経営諸活動への脅威の変化や技術の進展を適切に捉え、網羅的な対策をグループ全体に実施していきます。
主な取り組み
情報セキュリティ対策
「体制」・「対策」・「教育」を活動の3本柱としています。セキュリティ対策をグループ本社に集約し、グローバルで漏れなく実施することにより、巧妙かつ高度化しているサイバー攻撃、内部情報漏洩などのセキュリティ脅威、各国で制定されるセキュリティ関連法への対応を強化していきます。
生産停止などにつながるセキュリティ重大事案が発生した際には、速やかにDX戦略センター長、リスクマネジメント関係部署に報告して調査・分析・対策を行い、迅速な事業継続につなげていきます。
体制
- 専門チームによる24時間/365日の監視体制を整備し、グループ全体のセキュリティ脅威へ対応しています。
- 国際規格ISO27001※4やTISAX※5制度、および日本自動車産業サイバーセキュリティガイドラインに準拠した世界標準の「アイシングループセキュリティガイドライン」を策定し、お客様のセキュリティ対策要求へ備え、サプライチェーン全体の相互レベルアップに活かす取り組みを実施しています。
ISO27001:情報セキュリティマネジメントシステム(ISMS)に関する国際規格。2022年4月時点で6部署が認証を取得。
TISAX:Trusted Information Security Assessment Exchange/ドイツ自動車工業会(VDA)が策定した「VDA情報セキュリティ評価基準(VDA ISA)」に基づいて認証機関の審査を受ける制度。2025年4月時点で国内外合わせて10拠点が認証を取得。
アイシングループセキュリティガイドライン
| 管理項目 | 対策内容 |
|---|---|
| 組織 | 推進体制、ルール、手順 |
| 教育 | 教育実施、啓蒙、訓練 |
| 技術的対策 | 資産管理、アクセス制御、ネットワークなど |
| 物理管理 | ファシリティ、エリア制御 |
| 事件・事故体制 | 報告体制、ルール |
対策
- 外部専門家のサポートを得ながら、最新のセキュリティ技術対策をグループ全体で導入し、巧妙かつ高度化するサイバー攻撃、内部情報漏洩などのセキュリティ脅威への対応を実施しています。
- 法規対象車両の拡大を見据え、PSIRTを中心とした脅威監視体制を整備しています。日米のAUTO-ISAC※6に加盟し、業界内で発生したリスク情報を収集して自社開発に活かすとともに、ISO21434※7へ対応し、車両製品のセキュリティ対策に取り組んでいます。
AUTO-ISAC:Automobile Information Sharing and Analysis Center/北米の自動車サイバーセキュリティ組織
ISO21434:自動車のサイバーセキュリティ対策に関する国際標準規格
教育
セキュリティレベルの向上は、全従業員が自分ごととして意識し、常に身近なものとして認識し行動することが不可欠です。そこで階層別研修や海外赴任などのイベント時の教育、不審メールへの対応訓練、情報セキュリティ強化月間での啓発活動など、グループ全体で取り組んでいます。例えば、教育受講後の理解度テストの実施や、各国の従業員から情報セキュリティ標語を募集し、グループ全体へ発信している「サイバーセキュリティニュース」で公開するなど、従業員一人ひとりの参画、およびセキュリティ意識の醸成を図っています。
教育・啓発活動の実施例
①入社時・昇格時など階層別の研修実施(2回/年)
②海外赴任時・出向受け入れ時などイベントごとに研修実施
③全従業員対象の不審メール対応訓練実施(3回/年)
④情報セキュリティ強化月間(1回/年)や社内報配付(1回/月)を通じた、啓発活動実施
個人情報保護対策
個人情報保護対策では、GDPR※8をはじめとした各国法への対応が重要です。DX戦略の加速化には、各国間での個人情報の移転が必要になります。そこで、アイシンではグループ全体で個人情報の移転を可能にするグループ包括SCC契約※9を、グループ会社間で締結しました。
今後も各国法を注視するとともに、全従業員への教育・周知を実施し、確実な個人情報の取り扱いに努めていきます。
また、個人情報の漏洩や開示などの請求があった場合は、各国法に則り、速やかに対応する体制を整えています。なお、2024年度は、個人情報等の重大な紛失・漏洩事案はありませんでした。
GDPR:General Data Protection Regulation/EU一般データ保護規則
SCC契約:Standard Contractual Clause/標準契約条項