有価証券報告書-第180期(2025/04/01-2026/03/31)
②戦略
当社グループは、DX事業の加速やグローバル事業を拡大するため、自社や顧客の安心・安全を守るだけでなく、サプライチェーン全体でビジネスを加速するための情報セキュリティを目指しております。特に事業停止に直結するサイバー攻撃が深刻な問題になっていることから、予期せぬ事態に陥る脅威に対して、ディフェンスとレジリエンスを意識し「統制」「テクノロジー」「ビジネス」の3つの面から、セキュリティ経営基盤の強化を進めております。
1) 統制の徹底
a セキュリティベースライン評価を用いたグローバル統制
グループ全体として統制のとれた情報セキュリティ強化のため、全グループ会社を対象に当社グループ情報セキュリティ基本規程をもとにしたベースライン評価を実施しております。評価では、組織的・人的・物理的・技術的対策、インシデント対応、個人情報保護の成熟度を採点し、改善計画を策定、その進捗をモニタリングし、グループ全体のセキュリティ水準向上を目指しております。評価結果は、事業会社・部門、グループ全体の施策へ反映させております。
また、特に海外企業買収などの際は、当社規程との整合を確認し、必要に応じ整備・改善を行い、グループ全体での情報セキュリティの統制を図っております。
b サイバーセキュリティインシデント対応体制
当社グループでは、サイバーセキュリティインシデント対応専門チーム「TOPPAN-CERT」を中心とした、インシデントに迅速に対応するグローバル体制を整えております。TOPPAN-CERTは、日本シーサート協議会(NCA)が国家サイバー統括室(NCO)と連携して開催する分野横断的演習に毎年参加し、実際にサイバー攻撃を受けた場面を想定した演習を行っております。CERTメンバーが中心となって対応を行い、演習後には振り返りを実施することで、対応手順や課題を検証し、サイバー攻撃を受けた際の対応手順の改善に役立てております。
これに加えて、経営層、上位管理職層に対してもサイバー攻撃による重大インシデント発生を想定したサイバーセキュリティ演習を毎年実施し、サイバーインシデントに対する危機対応、リスク管理の能力向上を図っております。
c 個人情報・機密情報の厳重な取り扱い
個人情報取り扱い業務及び機密情報取り扱い業務は、入退室管理や監視カメラが設置されたセキュリティエリア内で行うこととし、セキュリティエリアの運用管理ルールを定期的に更新し新たなリスクに対応しております。あわせて、現場での日常的なチェックと、定期的な内部監査によって、セキュリティレベルの維持向上を図っております。
d サプライチェーンセキュリティへの対応
当社グループでは、個人情報や機密情報の取り扱いを含む一部業務の外部委託や、他社クラウドサービスの活用の際に、委託先を当社グループのセキュリティ基準に適合させるため、委託する業務内容や情報の種類に応じた外部委託先を認定する制度の導入やクラウドサービスの安全性確認を行い、サプライチェーンリスクの低減を図っております。
また、当社グループも2026年度末から運用が開始される予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」に対応するための準備を始め、お客さまからのセキュリティへの要求に対応していくとともに、委託先のセキュリティ評価においても制度を積極的に活用し、当社グループとしてもサプライチェーン全体のサイバーセキュリティ対策強化に貢献してまいります。
e 外部からのモニタリングによるサイバーセキュリティの強化
当社グループに対するサイバー攻撃の兆候や外部から見つけられる可能性のある脆弱性を早期に発見するため、セキュリティレーティングサービスや脅威インテリジェンスを活用した攻撃者視点での外部からのモニタリングと、OSINT(Open Source Intelligence)の活動を継続しております。当社グループだけでなく、個人情報・機密情報を取り扱う委託先にも対象を広げ、サプライチェーン全体でのセキュリティ強化にも努めております。
f 工場のセキュリティ強化
スマートファクトリー化に伴い様々なモノがネットワークとつながることになり、これまで以上にサイバー攻撃の可能性が上がります。そのため当社グループでは、2023年6月に工場セキュリティガイドラインを発行し、工場内のネットワークやサーバの設定、ログやバックアップの取得のような工場で実施すべき具体的なセキュリティ対策を示してアセスメントを実施するとともに、この内容を従業員に周知・教育することでセキュリティ強化を図っております。
g 人財育成
当社グループでは、従業員の情報セキュリティリテラシーの向上を図るため、国内外の当社グループ会社全体に対してセキュリティ意識向上基盤を展開してEラーニングや不審メール対応訓練を実施し、その結果を評価して教育に反映させるというプロセスを繰り返し実施しております。
これに加え、情報セキュリティ戦略の達成に求められる人財像を以下のように設定し、育成・確保に努めております。
・「専門セキュリティ人財」:当社グループのセキュリティを支える人財として、セキュリティを専門とする業務従事者及び情報処理安全確保支援士やCISSPなどの有資格者
・「プラスセキュリティ人財」:各職域・業務のセキュリティを支える人財として、情報セキュリティに係る業務従事者及び情報セキュリティマネジメント試験合格者やベンダーによる研修修了者・有資格者
また、当社グループでは、企業・公共機関を対象にサイバーセキュリティ人財育成プログラム及び組織のセキュリティ向上サービスを提供する株式会社Armorisにより、実戦的な人財育成プログラムを継続して展開しております。個人向けプログラムは、長期間継続的にトレーニングを行える「DOJO」、最新のテーマに沿った事例やケーススタディが学べる「DOJO Lite」、実際に手を動かして学ぶ「DOJO Shot」、プラスセキュリティ人財育成の第一歩として取り組みやすい「ショートハンズオン」に加え、2025年度は経理部門や知的財産部門において、部門特有のセキュリティリスクを学ぶ教育も開始いたしました。団体向けプログラムでは、インシデント対応を実際に体験する実戦的な「DOJO CORE」や啓発を目的とするワークショップを提供しております。当社グループ自らはもちろん、日本における個人と組織のセキュリティ能力向上を目指しております。
2) テクノロジー面の強化
a ゼロトラストセキュリティの推進
当社グループではこれまで社外から社内システムへのアクセスにVPNを使ってセキュリティを担保してきましたが、VPNが破られて不正侵入やランサムウェア感染につながった事例が世界中で報道されていることや、当社グループでもモバイル端末やクラウドサービスの利用が増加していることから、ゼロトラストへの移行によるセキュリティ強化を開始しております。
b AIに対するセキュリティ対策
生成AI技術の普及・進化を受け、生成AIやAIエージェントが組み込まれたシステム・機器の活用を当社グループにおいても積極的に推進しておりますが、これらに対するサイバー攻撃により、情報漏洩やAIモデルの改ざんによる不正な振る舞い、不正な指示を受けることでの遠隔操作やシステム停止などにつながるという脅威も増大していくことを想定しております。またサイバー攻撃自体もAIを活用し、以前よりも洗練されてきております。
これらの脅威に対しても、国内外の関連組織と連携しながら対策の強化を進めてまいります。
3) ビジネスとのバランス
・当社グループのセキュリティ対策
サイバー攻撃による脅威が高まるにつれ、セキュリティ対応力が乏しい企業はサプライチェーンから除外され市場からの撤退を迫られることになります。一方で、ビジネスの機敏性や競争力を維持・強化することも重要となるため、当社グループにおいては、事業会社のセキュリティ担当者との連携を強化し、ビジネス要件や世界各国の地域特性を踏まえ、ビジネスとセキュリティのバランスを取りながらセキュリティ対策の実装を推進してまいります。
2026年度より、「中期経営計画2028」に基づく新たなマテリアリティを起点に、情報セキュリティの強化を推進し、リスク低減と事業継続性の確保に取り組んでまいります。
当社グループは、DX事業の加速やグローバル事業を拡大するため、自社や顧客の安心・安全を守るだけでなく、サプライチェーン全体でビジネスを加速するための情報セキュリティを目指しております。特に事業停止に直結するサイバー攻撃が深刻な問題になっていることから、予期せぬ事態に陥る脅威に対して、ディフェンスとレジリエンスを意識し「統制」「テクノロジー」「ビジネス」の3つの面から、セキュリティ経営基盤の強化を進めております。
1) 統制の徹底
a セキュリティベースライン評価を用いたグローバル統制
グループ全体として統制のとれた情報セキュリティ強化のため、全グループ会社を対象に当社グループ情報セキュリティ基本規程をもとにしたベースライン評価を実施しております。評価では、組織的・人的・物理的・技術的対策、インシデント対応、個人情報保護の成熟度を採点し、改善計画を策定、その進捗をモニタリングし、グループ全体のセキュリティ水準向上を目指しております。評価結果は、事業会社・部門、グループ全体の施策へ反映させております。
また、特に海外企業買収などの際は、当社規程との整合を確認し、必要に応じ整備・改善を行い、グループ全体での情報セキュリティの統制を図っております。
b サイバーセキュリティインシデント対応体制
当社グループでは、サイバーセキュリティインシデント対応専門チーム「TOPPAN-CERT」を中心とした、インシデントに迅速に対応するグローバル体制を整えております。TOPPAN-CERTは、日本シーサート協議会(NCA)が国家サイバー統括室(NCO)と連携して開催する分野横断的演習に毎年参加し、実際にサイバー攻撃を受けた場面を想定した演習を行っております。CERTメンバーが中心となって対応を行い、演習後には振り返りを実施することで、対応手順や課題を検証し、サイバー攻撃を受けた際の対応手順の改善に役立てております。
これに加えて、経営層、上位管理職層に対してもサイバー攻撃による重大インシデント発生を想定したサイバーセキュリティ演習を毎年実施し、サイバーインシデントに対する危機対応、リスク管理の能力向上を図っております。
c 個人情報・機密情報の厳重な取り扱い
個人情報取り扱い業務及び機密情報取り扱い業務は、入退室管理や監視カメラが設置されたセキュリティエリア内で行うこととし、セキュリティエリアの運用管理ルールを定期的に更新し新たなリスクに対応しております。あわせて、現場での日常的なチェックと、定期的な内部監査によって、セキュリティレベルの維持向上を図っております。
d サプライチェーンセキュリティへの対応
当社グループでは、個人情報や機密情報の取り扱いを含む一部業務の外部委託や、他社クラウドサービスの活用の際に、委託先を当社グループのセキュリティ基準に適合させるため、委託する業務内容や情報の種類に応じた外部委託先を認定する制度の導入やクラウドサービスの安全性確認を行い、サプライチェーンリスクの低減を図っております。
また、当社グループも2026年度末から運用が開始される予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」に対応するための準備を始め、お客さまからのセキュリティへの要求に対応していくとともに、委託先のセキュリティ評価においても制度を積極的に活用し、当社グループとしてもサプライチェーン全体のサイバーセキュリティ対策強化に貢献してまいります。
e 外部からのモニタリングによるサイバーセキュリティの強化
当社グループに対するサイバー攻撃の兆候や外部から見つけられる可能性のある脆弱性を早期に発見するため、セキュリティレーティングサービスや脅威インテリジェンスを活用した攻撃者視点での外部からのモニタリングと、OSINT(Open Source Intelligence)の活動を継続しております。当社グループだけでなく、個人情報・機密情報を取り扱う委託先にも対象を広げ、サプライチェーン全体でのセキュリティ強化にも努めております。
f 工場のセキュリティ強化
スマートファクトリー化に伴い様々なモノがネットワークとつながることになり、これまで以上にサイバー攻撃の可能性が上がります。そのため当社グループでは、2023年6月に工場セキュリティガイドラインを発行し、工場内のネットワークやサーバの設定、ログやバックアップの取得のような工場で実施すべき具体的なセキュリティ対策を示してアセスメントを実施するとともに、この内容を従業員に周知・教育することでセキュリティ強化を図っております。
g 人財育成
当社グループでは、従業員の情報セキュリティリテラシーの向上を図るため、国内外の当社グループ会社全体に対してセキュリティ意識向上基盤を展開してEラーニングや不審メール対応訓練を実施し、その結果を評価して教育に反映させるというプロセスを繰り返し実施しております。
これに加え、情報セキュリティ戦略の達成に求められる人財像を以下のように設定し、育成・確保に努めております。
・「専門セキュリティ人財」:当社グループのセキュリティを支える人財として、セキュリティを専門とする業務従事者及び情報処理安全確保支援士やCISSPなどの有資格者
・「プラスセキュリティ人財」:各職域・業務のセキュリティを支える人財として、情報セキュリティに係る業務従事者及び情報セキュリティマネジメント試験合格者やベンダーによる研修修了者・有資格者
また、当社グループでは、企業・公共機関を対象にサイバーセキュリティ人財育成プログラム及び組織のセキュリティ向上サービスを提供する株式会社Armorisにより、実戦的な人財育成プログラムを継続して展開しております。個人向けプログラムは、長期間継続的にトレーニングを行える「DOJO」、最新のテーマに沿った事例やケーススタディが学べる「DOJO Lite」、実際に手を動かして学ぶ「DOJO Shot」、プラスセキュリティ人財育成の第一歩として取り組みやすい「ショートハンズオン」に加え、2025年度は経理部門や知的財産部門において、部門特有のセキュリティリスクを学ぶ教育も開始いたしました。団体向けプログラムでは、インシデント対応を実際に体験する実戦的な「DOJO CORE」や啓発を目的とするワークショップを提供しております。当社グループ自らはもちろん、日本における個人と組織のセキュリティ能力向上を目指しております。
2) テクノロジー面の強化
a ゼロトラストセキュリティの推進
当社グループではこれまで社外から社内システムへのアクセスにVPNを使ってセキュリティを担保してきましたが、VPNが破られて不正侵入やランサムウェア感染につながった事例が世界中で報道されていることや、当社グループでもモバイル端末やクラウドサービスの利用が増加していることから、ゼロトラストへの移行によるセキュリティ強化を開始しております。
b AIに対するセキュリティ対策
生成AI技術の普及・進化を受け、生成AIやAIエージェントが組み込まれたシステム・機器の活用を当社グループにおいても積極的に推進しておりますが、これらに対するサイバー攻撃により、情報漏洩やAIモデルの改ざんによる不正な振る舞い、不正な指示を受けることでの遠隔操作やシステム停止などにつながるという脅威も増大していくことを想定しております。またサイバー攻撃自体もAIを活用し、以前よりも洗練されてきております。
これらの脅威に対しても、国内外の関連組織と連携しながら対策の強化を進めてまいります。
3) ビジネスとのバランス
・当社グループのセキュリティ対策
サイバー攻撃による脅威が高まるにつれ、セキュリティ対応力が乏しい企業はサプライチェーンから除外され市場からの撤退を迫られることになります。一方で、ビジネスの機敏性や競争力を維持・強化することも重要となるため、当社グループにおいては、事業会社のセキュリティ担当者との連携を強化し、ビジネス要件や世界各国の地域特性を踏まえ、ビジネスとセキュリティのバランスを取りながらセキュリティ対策の実装を推進してまいります。
2026年度より、「中期経営計画2028」に基づく新たなマテリアリティを起点に、情報セキュリティの強化を推進し、リスク低減と事業継続性の確保に取り組んでまいります。