情報セキュリティポリシー
ソフトバンクロボティクスグループ株式会社は、グループ会社の経営の独立性を保ちつつ、グループ全体の業務の適正を確保するために、グループ会社が情報セキュリティのリスクを継続的に効率的に管理する仕組みを構築しています。
情報セキュリティのための方針
ソフトバンクロボティクスグループ株式会社およびその役員、従業員(正社員以外の従業員を含む)が遵守する「情報セキュリティポリシー」と「プライバシーポリシー」を定めています。
本ポリシーは、ソフトバンクロボティクスグループ株式会社(ソフトバンクロボティクスグループ株式会社とその子会社を意味します)およびその役員、従業員(正社員以外の従業員を含み、総称して「私たち」といいます)が遵守しなければならない情報セキュリティの原則を定めたものです。ソフトバンクロボティクスグループ株式会社(以下当社)は、業務上保有する情報を適切に保護し管理します。当社は、代理人、コンサルタント、アドバイザー、販売代理店、サプライヤー、委託業者など、当社のために業務を行う第三者に対しても、本ポリシーを遵守することを求めます。
情報の保護および管理
私たちは、情報セキュリティに関する法令を遵守するために、当社が業務上保有する情報を、社内規程に従って適切に保護し管理します。
情報セキュリティ対策
私たちは、当社の情報セキュリティを脅かす脆弱性やリスクを特定し、サイバー攻撃や、情報の漏えい、改ざん、消失またはその他の情報セキュリティ事故を防止するためのシステムを構築することに加え、リスクに応じた組織的、物理的、人的および技術的対策を講じます。さらに、企業買収などによる環境の変化に基づいて、対策を計画して実施し、対策が効果的で確実なものとなるように絶えず評価して見直します。
事件・事故への対処
情報セキュリティに関する事件または事故が発生した場合、私たちは迅速な復旧と被害の最小化に取り組み、再発防止に努めます。このほか、状況に応じて、社内外の関係当事者や関係当局に適切に報告します。
プライバシーポリシー
https://www.softbankrobotics.com/ja/privacypolicy/
情報セキュリティ報告書
当社における情報セキュリティに関する取り組みを理解していただくため「情報セキュリティ報告書」を掲載しています。
1. はじめに
昨今、あらゆる分野でデジタル技術を駆使した新たなビジネスモデルが生まれ、社会はますますデジタル化しています。それにより、私たちの生活や仕事は便利になっていく一方で、サイバー攻撃や内部不正等の脅威は高度化・複雑化し、新たなリスクが生まれています。このような状況下で、ソフトバンクロボティクスグループ株式会社(以下、当社)は、戦略的投資持株会社として安心・安全なデジタル社会を実現・牽引するために、当社における情報セキュリティを推進しています。そのためには、リスクを特定・管理し、かつそれらに適切に対応する必要があります。
本ページでは、当社における情報セキュリティに関する説明をしています。
2. 情報セキュリティ推進体制
当社は、自社における情報セキュリティを推進するだけでなく、グループ会社における情報セキュリティを管理・監督するために、以下のような情報セキュリティ推進体制を整備しています。
また、当社の重大な情報セキュリティインシデントが発生した場合には、当社取締役でもあるCISO統制のもと担当部署が迅速かつ適切に対応・復旧を行っています。さらに、再発防止を徹底するために、情報セキュリティインシデントの発生原因を分析し、今後の課題を洗い出すとともに、情報セキュリティ戦略への反映や役職員へのセキュリティ教育内容の改善にも役立てています。
3. リスクマネジメント
当社は、情報セキュリティに関するリスクを把握・管理するために、リスクマネジメントプロセスを構築・運用しています。重大なリスクと認識されるものについては、リスクを引き起こす原因やその影響を分析したうえで方針を検討し、グループ会社にリスク対策の遂行を促しています。また、潜在的なリスクを早期に把握し顕在化を防止するために、グループ全体における情報資産の侵害につながる脅威・脆弱性に関する情報を収集し、グループ会社に共有しています。グループ会社によるリスク対策の遂行状況をモニタリングし、対策の有効性評価および改善を行うことにより、グループ全体における万が一の事態発生防止や影響の最小化を目指しています。
4. 情報セキュリティ対策方針
冒頭記載のとおり、社会のデジタル化により、新たなリスクが生まれています。当社は、このようなリスクに対しても可能な限り対応するために、組織的・物理的・技術的・人的という4つの観点で情報セキュリティ対策を実施し、重要な情報資産を保護しています。また、グループ会社と適切に連携し、情報セキュリティに関する有益な情報の共有や情報セキュリティインシデント発生時における報告プロセスを整備しています。
5. 情報セキュリティ対策
当社は、重要な情報資産を守るために、組織全体の適切な統制をとる「組織的対策」、物理的な情報資産の破壊・不正持ち出しを防止する「物理的対策」、サイバー攻撃や内部不正等の脅威に対する技術的な対策を行う「技術的対策」、役職員および外部委託従事者の情報セキュリティに関する意識や能力を向上する「人的対策」という4つ観点から、情報セキュリティ対策に取り組んでいます。また、社内外における環境の変化に基づき、情報セキュリティ対策が効果的かつ確実なものとなるように、継続的に評価および見直しを実施しています。併せて、ITインフラおよび情報セキュリティ管理システムが適切に機能していることを確認するため、定期的に内部監査を行っています。
組織的対策
当社は、情報セキュリティを推進するために、情報セキュリティに関する最上位文書である情報セキュリティポリシーに基づき各種規程類を整備しています。さらに、情報セキュリティポリシーに基づいたグループ情報セキュリティガバナンス方針を用意し、グループ会社またはその役職員として遵守すべき各種ルールを定めています。グループ会社は、この方針に従い、各種規程類を整備しています。【情報セキュリティ推進体制】にて示した情報セキュリティ推進体制によりこれらを管理する事で、当社は共通認識のもとで業務を行っています。
物理的対策
当社は、建物内部への不正侵入や物理的な情報資産の破壊または不正な持ち出しを防止するために、セキュリティエリアの設置および入退室管理等の物理的対策を実施しています。また、災害発生時に備え、情報資産の保護や防災環境の整備等の対策を実施し、事業継続管理に努めています。
技術的対策
当社は、高度化・複雑化しているサイバー攻撃や内部不正等の脅威に備え、安心・安全を担保するための技術的な対策を実施しています。当社は、クラウド利活用や働き方改革等の時代の流れに対応できるよう、業務の利便性および強固なセキュリティを兼ね備えたネットワークアーキテクチャを採用しています。ネットワークアーキテクチャは、信頼できる場合にのみアクセスを許可するという“ゼロトラスト”の考え方に基づいています。また、第三者のセキュリティ専門機関による脅威分析、および実践を模した本番環境への侵入テストを定期的に行っています。テストの結果により判明した脆弱性に適切に対処することにより、リスクの顕在化防止に努めています。さらに、内部の不正防止にも注力しています。役職員および外部委託従事者の情報システム操作記録を活用した行動分析を行い、リスクの高い行動の検知および対策を行っています。
人的対策
当社は、役職員および外部委託従事者の情報セキュリティに関する意識や能力の向上を目的としたセキュリティ教育を継続的に行っています。当社は、役職員および外部委託従事者が、このセキュリティ教育を、場所・時間に制約を受けることなく受講できるように、eラーニング環境を整えています。また、当社が行っているセキュリティ教育に関する情報をグループ会社に共有することにより、グループ全体としても情報セキュリティに関する意識や能力の向上を図っています。さらに、当社は、役職員および外部委託会社に対して、関連する法令や守秘義務の遵守を徹底しています。
6. NIST CSF準拠と外部機関評価
当社は、世界各国の組織や企業が採用しているサイバーセキュリティフレームワークである「NIST CSF※」に準拠した対策を実施しています。また、その安全性についての評価を、米国および諸外国でNIST CSFに関し知見を有する外部機関より受けています。
7. 今後の取組み
当社は、適切に情報資産を保護していくとともに、グループ会社が情報セキュリティのリスクを自律的かつ効率的に管理する仕組みを展開していきます。また、情報革命を通じてデジタル社会を安全に発展させていくために、情報セキュリティ分野からも貢献してまいります。
グループ情報セキュリティガバナンス体制
情報セキュリティ管理の責任者として最高情報セキュリティ責任者(CISO)を設置し、当社全体の情報セキュリティガバナンスの推進・強化を図っています。
グループ情報セキュリティ委員会
当社が定める傘下の事業統括会社のCISOを構成員とするグループ情報セキュリティ委員会を設置し、当社のCISOが運営しています。
また、事業統括会社に対しても、その傘下のグループ会社のCISOを構成員とする情報セキュリティ委員会を設置し、事業統括会社のCISOが運営することを求めています。
当社のサイバーセキュリティリスク管理フレームワーク対応
当社では、情報セキュリティ対策の一環として、増大するサイバーセキュリティリスクへの対応を実施しています。
対策の実施状況については、世界各国の組織や企業が採用しているフレームワーク「NIST CSF※」を用いた分析・評価を行い、その結果を基にした改善に継続的に取り組んでいます。
※NIST CSF (Cybersecurity Framework)は、米国国立標準技術研究所 (NIST)が定める、サイバーセキュリティリスク管理の基準、ガイドライン、ベストプラクティスを集約したフレームワーク