• サステナビリティ
• ガバナンス

• 情報セキュリティ

• コーポレートガバナンス
• リスクマネジメント
• コンプライアンス
• プライバシー
• 情報セキュリティ
• 知的財産

情報セキュリティ

• 基本的な考え方

• 管理体制

• 情報漏洩・外部からの攻撃への備え

• 教育の実施

• 製品セキュリティ

基本的な考え方

個人情報や秘密情報を適切に管理するため、サイバーセキュリティを含む情報セキュリティ全般について、「スズキ情報セキュリティ基本方針」に基づき、コーポレートガバナンス委員会のもとに情報セキュリティ責任者会議を設け、スズキグループの情報セキュリティ対策活動を推進しています。

スズキ情報セキュリティ基本方針

1. 法令遵守

当社は、情報セキュリティに関係する法令、規制、国が定める指針、契約上の義務及びその他の社会的規範を遵守する。

2. 情報セキュリティ及び製品セキュリティへの取り組み

当社は、お客様に安心して製品・サービスをご利用いただくために、情報セキュリティの取り組みの一環として、製品セキュリティに取り組む。

3. 情報セキュリティ管理体制の構築

当社は、情報セキュリティ責任者会議を設置するとともに、社内の各部署・組織に秘密情報取扱責任者および情報セキュリティ推進者を配置し、情報セキュリティ対策と管理を推進する体制を構築する。

4. 内部規程の整備

当社は、情報セキュリティに関する社内規程を整備し、これらを社内に周知徹底する。

5. 監査体制の整備

当社は、情報セキュリティ関係の法令等が遵守され、規程、ルール等が有効に機能しているかを検証するため、定期的かつ必要に応じて情報セキュリティ監査を実施する。

6. 情報セキュリティ対策の実施

当社は、情報漏えい、改ざんなどの被害を未然に防止するため、組織的・技術的・物理的・人的なセキュリティ対策を実施する。

7.教育の実施

当社は、全従業員に対し、情報セキュリティに対する認識や対応力の向上を図るために、情報セキュリティに関する教育・訓練を実施する。

8.業務委託先の管理

当社は、業務委託先のセキュリティレベルを審査する。重要な業務委託先に対しては、セキュリティレベルの監査等を定期的に実施する。

9.継続的改善の実施

当社は、以上の取り組みを定期的に評価、見直しを行うことにより、情報セキュリティを確保するための仕組み全般を継続的に改善する。

管理体制

情報セキュリティ責任者会議のもとに対策部会を設け、より適切な情報セキュリティ管理を実施する体制を構築しています。

■情報セキュリティ管理体制 推進組織

情報漏洩・外部からの攻撃への備え

2020年にISO27001（情報セキュリティマネジメントシステム）の認証を取得、毎年全社でのアセスメント活動、内部監査を実施し認証を継続維持しています。

専門チーム「CSIRT」（Computer Security Incident Response Team）を組織し、情報セキュリティ事故の未然防止および発生時の早期発見と解決、発生後の再発防止を図っています。CSIRTチームは、情報セキュリティ事故発生に備えて、平常時において①情報セキュリティインシデントの情報収集と分析、②社内啓発活動を実施しています。

また、年2回、CSIRTメンバーに対し、情報セキュリティ事故が発生した場合を想定した対応訓練を実施しています。

教育の実施

情報セキュリティのため、役員を含む全従業員および各担当者へ以下の教育を実施しています。

情報セキュリティ教育の実施

役員を含む全従業員に対して、以下の教育を実施しています。

• Eラーニング教育（年1回）
• ISMS（情報セキュリティ）教育カードの配布（年1回）
• 新入社員および各階層別研修での教育

標的型攻撃メール訓練の実施

役員を含む全従業員に対して、標的型攻撃メール訓練（年1～2回）およびISMS教育カードを配布し、セキュリティに関する注意喚起および、セキュリティ事故発生時の連絡先を周知しています。

部門情報セキュリティ担当者教育

年2回、各部門の秘密情報取扱責任者、情報セキュリティ推進者へ情報セキュリティ管理に関する教育を実施しています。

製品セキュリティ

製品セキュリティ対策部会

情報セキュリティ責任者会議のもとで、製品開発から廃車までのセキュリティ運営を行う組織体「製品セキュリティ対策部会」を設置し、製品のセキュリティに関する定期的な管理を行っています。この活動を継続することで、お客様の日々の安心安全の確保を行っています。

PSIRT

この対策部会では、「PSIRT」(Product Security Incident Response Team)を設置し、製品に関わるセキュリティの情報収集および分析を行う日本の自動車サイバーセキュリティ組織J-Auto-ISAC^※などから業界情報を収集し、製品のセキュリティ攻撃に対する備えを行っています。

※Japan Automotive Information Sharing & Analysis Centerの略

製品セキュリティ報告および監査

製品セキュリティに関わる組織体制や規程／手続の遵守と改善を目的とし、毎年「監査」を実施します。「製品セキュリティ対策部会」では、定期的に開発進捗やPSIRTの状況報告を行うとともに、監査による客観的な状況報告を行うことで、製品セキュリティに関する攻撃にスピーディーに対処しています。