会社方針および行動指針

GUCは、堅牢かつ効果的な情報セキュリティ防御ネットワークの構築を情報セキュリティのビジョンとして掲げています。情報セキュリティガバナンスの一貫性を保ちながら、総合的な防御能力を段階的に向上させ、情報セキュリティガバナンスにおいて優れた実績と成熟度を備えた企業となることを目指しています。

情報セキュリティ部門は、情報セキュリティ体制および関連法令遵守の全般を統括しています。また、関連業務の推進を通じて、情報セキュリティに対する意識向上と専門能力の継続的な強化を図っています。

さらに、技術の活用により情報セキュリティ上のリスクや脆弱性を特定し、効果的な強化策を講じることで、健全なガバナンス体制と総合的な情報セキュリティ防御能力の構築を進めるとともに、従業員の情報セキュリティ意識の醸成にも努めています。

1. 法令および顧客の要求事項に沿った情報セキュリティ管理指針を策定する。
2. 全従業員の意識向上を通じて、情報セキュリティ保護の全社的な実施に対する合意形成を図る。
3. 当社および顧客の情報の機密性、完全性、可用性、ならびに法令遵守を保護する。
   

「情報セキュリティ委員会」は、情報業務のセキュリティ管理・計画の責任を担い、情報セキュリティ管理システムの構築および維持を行います。最高レベルの情報セキュリティ監督者として、会社全体の情報セキュリティ業務の遂行と情報セキュリティリスク管理の有効性を監督します。

同委員会は、社長に報告を行い、四半期ごとに経営幹部会議にて管理状況の進捗を更新し、毎年取締役会に対して全社的な情報セキュリティ管理組織の運営状況やシステム実行の成果を報告します。これにより、経営幹部および取締役会メンバーが当社の情報セキュリティ管理の現状を十分に把握し、情報セキュリティ方針に対する経営の要求が確実に実行されることを保証します。

情報セキュリティに関する最高責任者としての役割も担っています。

また、年に少なくとも1回「情報セキュリティ担当者会議」が開催され、関連情報システムの責任者および外部の情報セキュリティコンサルタントを含む13名以上の参加者が情報セキュリティの計画策定や実施結果の確認、情報セキュリティに関する方針および実施重点の周知を行います。

PIP委員会は、全社（および全世界の支店を含む）の各部門責任者が指名した代表者で構成されます。委員会は、委員長を含む計21名のメンバーで構成され、副総経理クラスの役員が四半期ごとに会議を開催し、会社の機密情報管理業務の調査・検討、制度策定、監査、推進などを担当しています。

機密情報の保護は、GUCが顧客、株主、従業員に対して約束する重要な責務です。機密情報保護は、会社の現在および将来の競争力に直結しているため、GUCは「機密情報保護（PIP）方針」を策定し、機密情報の管理手続きや規則を明確に定めています。これにより、GUCに関する営業秘密や未公開の機密情報を適切に管理し、会社、株主、従業員、顧客、取引先の利益を最大限に守ることを目指しています。

GUCの機密情報保護は、Plan-Do-Check-Act（PDCA）サイクルに基づき実施されており、機密情報保護能力の継続的な強化と、従業員の機密情報保護に対する正しい認識および警戒心の向上を図っています。これにより、機密情報漏洩のリスクを低減しています。また、情報セキュリティと倫理経営の項目を従業員の業績評価に組み込む管理施策も策定しています。

主な取組み
2.1 四半期ごとに点検を実施し、機密情報保護措置の実施状況を確認しています。

2.2 日常業務や様々な機会を通じて、機密情報の重要性と遵守すべき規則について意識を高めています。

2.3 従業員の情報セキュリティ意識と能力向上のための教育訓練を実施しています。新入社員研修では機密情報管理を必須科目とし、全社員は年2回の再教育を受け、継続的に情報セキュリティ意識を強化しています。

2.4 PIP違反に関しては、管理措置および報告体制を整備し、責任追及や処分を実施しています。違反の原因や影響度に応じて、適切な処分と是正措置を行い、周知徹底および教育訓練を継続しています。

2024年に発生した従業員の機密情報保護手続き違反の件数は、従業員数の0.12%に相当します。

定期的に情報セキュリティテストを実施し、システム強化を図るとともに、事業継続訓練を継続的に実施しています。サイバーセキュリティインシデント対応計画を策定し、対応報告および復旧措置を適切に行います。

また、第三者による検証（3rd-Party Risk Assessment）を通じてリスク分析を行い、Security ScorecardやPanoraysといったプラットフォームから得られる客観的な評価結果や脅威インテリジェンスを活用し、情報セキュリティ管理体制のさらなる強化に努めています。

2024年におけるSecurity Scorecardの目標スコアは95以上に設定しており、2024年1月以降は98以上を維持しています。

2024年におけるPanoraysの目標スコアは90以上に設定しており、2024年1月以降は97以上を維持しています。

外部脆弱性スキャンの実施頻度は、週1回から現在は毎日1回に増加しています。発見された高リスクの脆弱性については、速やかに対応し修正しています。

さらなるハッキング対策強化のため、当社は2022年に地元で著名なホワイトハットハッカーチームと協力し、レッドチームによる攻防評価を実施しました。また、2024年にはペネトレーションテストを実施しています。

これにより、ハッカーの思考を積極的に理解するとともに、従業員のハッキング防止意識を強化しています。さらに、この経験を活かして社内ネットワークの自動連携防御システムの継続的な改善にも取り組んでいます。

GUCは2021年に情報セキュリティの国際規格であるISO 27001を取得しました。年次監査を通じて、情報セキュリティ管理システムの継続的な改善に取り組んでいます。

また、国際標準化機構（ISO）が2022年10月25日にISO/IEC 27001:2022規格を正式に発行したことを受け、当社は2024年10月に文書審査および現地監査を完了しました。移行審査および再認証監査において、不適合事項なく合格しています。

年間リスク評価において、多様な脅威と脆弱性の組み合わせから抽出された主なリスクは以下の通りです。

3.1 詐欺者が偽のメールを使い、従業員を騙して送金や取引をさせる。

3.2 産業スパイや競合他社がハッキング技術を用いて社内ホストに継続的に侵入し、社内情報を窃取する。

3.3 犯罪組織がハッカーと共謀し、メールやテキストメッセージ、SNS、通信ソフトを介して悪意のあるリンクを含むコンテンツを拡散。被害者のPCデータを暗号化し身代金を要求する。

3.4 ハッカーが大量の接続要求をインターネット経由で送り、ネットワークの正常な運用を妨害する。

3.5 社内従業員が違法ソフトウェアを使用したり、機密情報をポータブルストレージにコピーし、紛失・盗難・売却により情報漏洩が発生する恐れがある。

3.6 自然災害や人為的災害によって情報システムやハードウェアが損傷し、サービス停止やデータ損失が発生する可能性。

3.7 評価によると、情報セキュリティリスクによる想定損失は低く、自己防衛の範囲内である。年間評価結果は取締役会に報告されている。

3.8 現時点で情報セキュリティ保険は未加入であるが、上記リスクを踏まえ、情報セキュリティ管理原則の適用、技術的ソリューションの導入、教育訓練の強化など複数の対策を併用し、堅牢な管理体制を構築している。主な対策は以下の通り。

(3.8.1) 定期的に内部・外部監査を実施し、遵守状況を確認。2021年第4四半期にISO 27001:2013認証を取得し、2024年10月に更新規格への移行審査および再認証監査に合格。ISO 27001:2022認証を取得し、情報セキュリティ管理体制の強化を継続。

(3.8.2) 年2回、ソーシャルエンジニアリング攻撃の模擬演習を実施。演習に不合格、または2回連続不合格の従業員は情報セキュリティ強化研修を受講し、メール詐欺に対する警戒心を高める。

(3.8.3) クライアント端末にアンチウイルスおよびMDR（管理検知・対応）システムを導入し、リアルタイム異常検知・警告、フォレンジック分析、エンドポイント復旧を提供。USBストレージの接続制限やソフトウェアのインストール制限を実施。重要データのバックアップ用ファイルサーバーも用意。

(3.8.4) ネットワーク層ではファイアウォールを活用し、ネットワークトラフィックやアプリケーションを制御。イントラネット防御およびデータベースアクセスの監視・管理体制を構築。

(3.8.5) DRM（デジタル著作権管理）システムおよびディスク暗号化技術を採用し、機密文書の保護を実施。

(3.8.6) メールフィルタリング・監査システムやAnti-APTソリューションを導入し、メール利用に伴うリスクを低減。

(3.8.7) ゲートウェイ管理に指紋認証やカードスワイプシステムを導入し、二要素認証による物理的セキュリティを確保。

(3.8.8) ホストを一元管理し、データセンターの環境管理および警報機能を整備。定期的なデータバックアップと年1回の緊急復旧訓練を実施。

(3.8.9) リモートアクセスには多要素認証を義務付け、パスワード盗難や資格情報詐取攻撃のリスクを低減。利用行動は全て映像記録され、監査証跡を確立。

3.9 重要情報システムの災害復旧訓練を年2回実施し、システム異常発生時の迅速対応、稼働停止時間の短縮、業務影響の低減を図っている。

3.10 2022年にレッドチーム評価を実施し、業務に支障を与えず侵入攻撃を模擬。情報セキュリティの検知・対応能力を検証し、潜在リスクを把握。評価で判明した8件の情報漏洩リスクはすべて迅速に改善し、防御策を講じた。

3.11 2024年にはペネトレーションテストを実施し、高感度データを含むシステムの潜在的脆弱性を特定・修正。現在までに2件の脆弱性を改善済み。

3.12 各情報システムの担当者が毎週会合を開き、当週の情報セキュリティインシデントを共有し、必要な保護対策を検討・実施している。

情報セキュリティ部門は、全従業員を対象に四半期ごとに情報セキュリティ意識向上のための教育訓練を実施しています。訓練内容は、社内外で直面した脅威に基づいて決定されています。2024年各四半期のテーマは以下の通りです。

当社は情報セキュリティ関連分野に継続的に資源を投入しています。ガバナンスおよび技術の基盤強化、情報セキュリティ防御機器の強化、情報・データの監視・分析、インシデント対応訓練、教育訓練などに資源を投じ、情報セキュリティ能力の総合的な向上を図っています。

情報セキュリティに関するインシデント報告および対応のための具体的なプロセスを整備しています。インシデントは情報部門の受付窓口で受理され、重要度に応じて評価されます。重大な情報セキュリティインシデントの場合はリスク管理委員会に報告されます。情報部門は定められた期限内にインシデントを解消・解決し、完全に対応した後には原因分析を行い、再発防止策を講じます。