情報セキュリティ

小田急グループの情報システムにおける情報セキュリティ基本方針(2022年4月1日制定)

小田急グループ(以下、当グループ)は、当グループが運用保守している情報システム(業務の遂行のために利用するコンピューターシステムおよびそのネットワーク)を事故・災害・犯罪などの脅威から守り、お客さまの「かけがえのない時間(とき)」と「ゆたかなくらし」の実現に貢献するために、以下の方針を定めてこれを遵守し、グループ全体で情報セキュリティに取り組みます。

  1. 経営者の関与

    2. 経営者が適切に関与するなかで組織的かつ継続的に情報セキュリティの改善・向上に努めます。

  2. 体制の整備

    3. 情報セキュリティの維持および改善のために、グループ各社において対策を実施するための体制を整備します。

  3. 情報システムの保護

    4. 当グループが運用保守する情報システムを、漏洩、改ざん、破壊等から保護するために、規程類の整備や技術的な対策を行います。

  4. 教育

    5. 従業員に対する情報セキュリティ教育を継続的に行い、情報セキュリティ対策に必要な知識の習得と意識の向上に努めます。

  5. 委託先管理

    6. 業務を外部に委託する際には、委託先において情報システムの開発運用が適切に行われていることを把握します。

  6. 法令および契約上の要求事項の遵守

    7. 情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守いたします。

  7. 情報セキュリティインシデント対応

    8. 情報セキュリティに関わる情報セキュリティインシデントが発生した場合には、迅速かつ適切に対処するとともに、再発防止に努めます。

  8. 継続的な改善

    9. 新たな脅威の発生など環境の変化に対応するために、情報セキュリティ対策の継続的な改善に努めます。

情報セキュリティ体制

当社では、企業活動における情報資産の取扱いについて定め、情報セキュリティを確保することを目的とした「情報セキュリティ規則」を制定しており、本規則内において、情報セキュリティを推進するための「情報セキュリティ体制」を定めています。​

当社の情報セキュリティ体制においては、リスクマネジメント委員会の委員に​、デジタル変革推進部を担当する役員を参画させ、その役員を情報セキュリティ統括管理者に任命しています。

また、関係部署で構成される情報セキュリティ対応担当を設置し、システム等の脆弱性情報共有やセキュリティ侵害状況の関係者間連携を行っています。​

情報セキュリティ教育、啓発の取り組み

小田急グループでは情報セキュリティの確保は重要な経営課題であると認識し、「小田急グループの情報システムにおける情報セキュリティ基本方針」を制定し、マテリアリティ目標に「重大な情報セキュリティインシデント件数:ゼロ」を掲げグループ全体で情報セキュリティに取り組んでいます。また、当社においては「情報セキュリティ統括管理者」(CISO)をリスクマネジメント委員会に設置しIT担当執行役員を任命しているほか、セキュリティ侵害等のシステム関連情報連携のため「情報セキュリティ対応担当」(CSIRT)を組織し運用しています。 ハード面の対策としては主要な情報システムやネットワークに必要なセキュリティ対策を実施しているほか、当社および一部グループ会社のWEBサイトや利用するSaaSサービスの脆弱性診断を推進しています。ソフト面では従業員向けのセキュリティ啓発および教育を推進しており、具体的には、当社全従業員および一部のグループ会社を対象に情報セキュリティ教育や標的型攻撃メール訓練を、当社鉄道事業に従事する従業員へ鉄道システムのセキュリティ侵害事象を想定したインシデント対応訓練を実施しています。

当社における主なセキュリティ教育実績(2024年度)

全社向け教育
  • 基本用語、サイバー攻撃の動向、DXセキュリティ等の知識確認
回答率:99.5%
管理職層(課長以上)研修
  • 上記テーマに加え、管理者視点でのセキュリティテーマを追加
回答率:100%

情報セキュリティハンドブックの配布

役員・社員が守るべき個人情報保護法の内容や情報セキュリティに関する行動基準と情報の取扱規定をまとめた情報セキュリティハンドブックを策定、配布するとともに、情報セキュリティ意識を高めるために、各種研修を実施しています。

情報セキュリティハンドブック
情報セキュリティハンドブック