有価証券報告書-第63期(2025/04/01-2026/03/31)
② リスク管理
オリックスグループでは、情報セキュリティ統括部が情報・サイバーセキュリティリスクに関する事項を、経営情報化委員会に報告し、管理しています。
オリックスグループでは、サイバーセキュリティおよび情報セキュリティに関する意識向上教育プログラムを確立しています。当社および連結子会社の全ての従業員、当社のネットワークにアクセスする委託先社員は、少なくとも年に1回のオンライントレーニングの受講を義務付けられています。これらの教育プログラムには、年に数回不定期に実施するフィッシングメールに関するトレーニングも含まれています。また、情報セキュリティインシデント発生時のエスカレーション、対応シミュレーション等の訓練も実施しています。
オリックスグループでは、当社および連結子会社に情報セキュリティ統括責任者を設定し、少なくとも半期に1回、サイバーセキュリティに関する知見、セキュリティ対応に関する対応方針等の共有を行い、グループのサイバーリスク対応の底上げを行っています。また、業務委託、クラウドサービスの利用など、第三者を通じた間接的なサイバーセキュリティリスクに対応するため、取引先、業務委託先に対する定期的なセキュリティに関わるアセスメントを実施しているほか、取引先や業務委託先から提供される情報システム、クラウドサービスの安全性を確認し、情報セキュリティ統括部門がリスク評価する体制を整備しています。
情報・サイバーセキュリティリスクに関する評価と管理は、情報セキュリティ統括部が担っており、特に管理強化が必要な領域や詳細な解析を求める場合は、必要に応じて外部コンサルタントによる支援を受けて対応を行っています。
また、オリックスグループでは、情報セキュリティ統括部門にグループCSIRTを設置する等、情報セキュリティインシデント発生時の対応体制の構築などにより、サイバー攻撃および情報セキュリティの毀損を含むシステム障害や情報漏えいなどのセキュリティ侵害が発生するリスクの軽減を図っています。サイバー攻撃等により情報セキュリティインシデントが発生し、業務運営上の影響度と二次被害発生等の可能性のスコアリングによる判定で中程度(Medium)以上のインシデント発生と判定される場合には、情報セキュリティ統括部門に適時報告を行う体制の整備を行っています。情報セキュリティ統括部門ではインシデントの解析・調査を行う機能を整えるとともに、法務部門およびコンプライアンス部門と連携し、被害の最小化、二次被害防止の対応を図り、重大な事案は都度、経営情報化委員会を通じてグループCEOまで報告を行い、その指示の下、適切な対応を行っています。現情報セキュリティ管掌役員は、オリックス入社以前、10年以上の金融業界での経験を含め、20年以上に亘り様々な外資系企業でシステム開発、プロジェクトマネジメント、セキュリティマネジメントに携わり、その中で培ったITや情報セキュリティに関する豊富な知見を有しています。
なお、当連結会計年度において、経営に重大な影響を与える可能性がある情報セキュリティインシデントは発生していません。
オリックスグループでは、情報セキュリティ統括部が情報・サイバーセキュリティリスクに関する事項を、経営情報化委員会に報告し、管理しています。
オリックスグループでは、サイバーセキュリティおよび情報セキュリティに関する意識向上教育プログラムを確立しています。当社および連結子会社の全ての従業員、当社のネットワークにアクセスする委託先社員は、少なくとも年に1回のオンライントレーニングの受講を義務付けられています。これらの教育プログラムには、年に数回不定期に実施するフィッシングメールに関するトレーニングも含まれています。また、情報セキュリティインシデント発生時のエスカレーション、対応シミュレーション等の訓練も実施しています。
オリックスグループでは、当社および連結子会社に情報セキュリティ統括責任者を設定し、少なくとも半期に1回、サイバーセキュリティに関する知見、セキュリティ対応に関する対応方針等の共有を行い、グループのサイバーリスク対応の底上げを行っています。また、業務委託、クラウドサービスの利用など、第三者を通じた間接的なサイバーセキュリティリスクに対応するため、取引先、業務委託先に対する定期的なセキュリティに関わるアセスメントを実施しているほか、取引先や業務委託先から提供される情報システム、クラウドサービスの安全性を確認し、情報セキュリティ統括部門がリスク評価する体制を整備しています。
情報・サイバーセキュリティリスクに関する評価と管理は、情報セキュリティ統括部が担っており、特に管理強化が必要な領域や詳細な解析を求める場合は、必要に応じて外部コンサルタントによる支援を受けて対応を行っています。
また、オリックスグループでは、情報セキュリティ統括部門にグループCSIRTを設置する等、情報セキュリティインシデント発生時の対応体制の構築などにより、サイバー攻撃および情報セキュリティの毀損を含むシステム障害や情報漏えいなどのセキュリティ侵害が発生するリスクの軽減を図っています。サイバー攻撃等により情報セキュリティインシデントが発生し、業務運営上の影響度と二次被害発生等の可能性のスコアリングによる判定で中程度(Medium)以上のインシデント発生と判定される場合には、情報セキュリティ統括部門に適時報告を行う体制の整備を行っています。情報セキュリティ統括部門ではインシデントの解析・調査を行う機能を整えるとともに、法務部門およびコンプライアンス部門と連携し、被害の最小化、二次被害防止の対応を図り、重大な事案は都度、経営情報化委員会を通じてグループCEOまで報告を行い、その指示の下、適切な対応を行っています。現情報セキュリティ管掌役員は、オリックス入社以前、10年以上の金融業界での経験を含め、20年以上に亘り様々な外資系企業でシステム開発、プロジェクトマネジメント、セキュリティマネジメントに携わり、その中で培ったITや情報セキュリティに関する豊富な知見を有しています。
なお、当連結会計年度において、経営に重大な影響を与える可能性がある情報セキュリティインシデントは発生していません。
10年以上蓄積したファイナンスデータとAIを掛け合わせて、投資の意思決定を加速させるポジションです。
