コーポレート・ガバナンス|情報セキュリティ

  • コーポレート・ガバナンス
  • 情報セキュリティ

情報セキュリティ

私たちは常に積極的に新たな市場を開拓し、安定的な収益性を維持しながら、戦略的な特許ポートフォリオの構築に取り組んでいます。経営の透明性と法令遵守を確保するため、私たちに影響を与える可能性のある国内外の政策動向や新たなリスクを常に注視しています。また、誠実な経営というコアバリューの浸透を図り、健全な企業文化の醸成と、持続可能な未来の創出に努めています。

SDGS
SDG 8 働きがいも経済成長も
SDG 9 産業と技術革新の基盤を作ろう
SDG 12 つくる責任、つかう責任
SDG 13 気候変動に具体的な対策を
SDG 16 平和と公正をすべての人に
SDG 17 パートナーシップで目標を達成しよう

100

%

誠実な経営の教育率

0.52

台湾ドル

1株当たり利益

5100

グローバルでの特許数

コーポレート・ガバナンス
気候変動
ビジネスインテグリティ
ESGリスク戦略
情報セキュリティ

情報セキュリティ

ヌヴォトンは、「ヌヴォトンセキュリティポリシー」および「情報セキュリティ管理措置」を策定し、それに基づく管理策を実施することで、安全な情報環境の維持に努めています。これにより、当社および顧客の情報を盗難、サイバー犯罪、産業スパイ行為、その他の損害や損失から保護しています。
製造業者や顧客とは機密保持契約を締結し、機密情報の不適切な開示を防止するとともに、相互に機密データを保護する体制を整えています。
さらに、情報セキュリティ内部統制制度に基づき、年次の内部監査を実施し、定期的な情報セキュリティ管理会議を開催しています。これらの会議では、情報セキュリティ運用の改善状況をレビュー・監視しています。また、顧客、サプライヤ、従業員、規制当局など、社内外のステークホルダに関連するテーマについて、定期的にリスク評価を実施しています。

 

ヌヴォトン台湾は、2022年12月に情報セキュリティ専任部門を設立し、2024年3月には部門レベルの組織へと格上げされ、「情報セキュリティ部」として再編されました。本部門は、グループ全体の情報セキュリティガバナンスを担い、社員のデータセキュリティ意識および情報セキュリティの向上、機密情報の漏洩防止、データ防御および脅威検知能力の強化、さらに社内外のリソースを統合したリスク管理の実施を通じて、ヌヴォトングループの情報セキュリティの強靭性と継続的な事業運営の確保を目指しています。
2024年には、顧客が安心して協業できる環境を整えるため、ヌヴォトン台湾は顧客要件に対応し、ISO/IEC 27001:2022の新バージョン情報セキュリティマネジメントシステムを導入しました。ヌヴォトン日本においても、同年にISO/IEC 27001:2022への認証更新を実施しています。
さらに、ICカードおよび自動車関連製品を取り扱う事業の特性に鑑み、ヌヴォトン日本ではISO/IEC 15408およびISO/SAE 21434:2021の認証も取得しています。
 

情報セキュリティリスク管理対策

項目対応策2024年の取組み
情報セキュリティに関する従業員の意識向上
  • 月次情報セキュリティ啓発キャンペーン
  • 四半期ごとの情報セキュリティ教育および訓練(ソーシャルエンジニアリング訓練)
  • 個人情報保護に関する年次教育・研修
  • 時事問題や重要イベントに関する臨時情報セキュリティ更新
ヌヴォトン台湾
  • 2024年において、計6回の情報セキュリティ研修を実施しました。
ヌヴォトン日本
  • 情報セキュリティ啓発活動として、合同朝会における情報セキュリティの周知、教育資料の配布、ならびに情報セキュリティ委員会の議事録の公開を通じて、社員の意識向上を図りました。
情報セキュリティの監視および異常事象への対応
  • 週次監査記録と分析レポートを提供
  • 週次情報セキュリティ監視会議の開催
  • 2024年において、ヌヴォトン台湾およびヌヴォトン日本では、重大な情報セキュリティインシデントや業務への影響は発生していませんでした。
脆弱性及び脅威管理
  • オンプレミスサーバーに対して、四半期ごとに脆弱性スキャンを実施し、月次で定期メンテナンスを実施。Microsoftから提供される重要な更新プログラムを定期的に適用
  • サイバーセキュリティリスクを監視するために外部サービスにPanoraysクラウドサービスを利用
ヌヴォトン台湾
  • Panoraysクラウドサービスによるサイバーセキュリティ評価において、平均スコアは90点を超えました。これまでに34件のリスクが軽減されており、そのうち19件は高リスクまたは重大リスクに分類されるものです。
ID アクセス制御
  • クラウドサービスは、条件付きアクセスおよび多要素認証を導入し、所定の条件を満たすデバイスおよび特定のプログラムを使用する場合に限り、アクセスを許可
  • リモート接続においては、本人確認、多要素認証、ならびにデバイスのホワイトリスト登録を実施し、所定の条件下でのみ接続が可能となるよう管理
  • 定期的なパスワード更新
  • ユーザーによるログイン通知機能を強化し、ログイン成功時にリアルタイムで通知が送信されるようになりました。これにより、ユーザー自身によるログインであるかを確認することが可能となり、不正アクセスの早期発見につながります。
  • VPNログイン時の多要素認証に失敗した場合に通知が送信される機能を追加しました。ユーザーが通知を受け取った際に異常な活動に気づいた場合は、情報セキュリティ部門へ報告することで、適切な対応が行われます。
物理的セキュリティ保護従業員の役割に応じて各エリアへのアクセス権限を制限、指定されたエリアへの入室時には、本人確認のためにアクセスカードの使用を義務付け
  • SO/IEC 15408 コモンクライテリア 国際規格におけるアクセス制御のセキュリティ要件に準拠しています。
コードセキュリティ
  • アプリケーション部門では、新規システムの導入、外部サービスシステムの展開、または大規模なアップデートを行う際に、コードセキュリティチェックの実施が義務付け。特に高リスクのコードについては、システムの展開前に修正を行い、セキュリティの強化
  • コード検出の効率向上を目的として、コードスキャン用データベースの定期的な更新を実施
ヌヴォトン台湾
  • 2024年には、合計22件の新システムが導入されました。高リスクコードに対する修正率は100%を達成しており、ソースコードスキャンにおけるプログラムカバレッジ率も100%を維持しています。
電子メールセキュリティ
  • メールサーバーのセキュリティ構成を強化するため、SPFを設定し、自社の送信ホストを認証。また、メールのなりすましや改ざんを防止するため、DKIMおよびDMARCの設定も実施
  • Outlookにセキュリティアドオンを導入し、メール送信時に宛先、本文、添付ファイルの内容を確認することで、誤送信の防止
ヌヴォトン台湾
  • すべての電子メールは、正規のメールサーバーを通じた認証プロセスを経て送信されており、全ての外部発信メールに対して実施されています。
ヌヴォトン日本
  • Outlookのセキュリティ機能が更新されました。
サプライヤ情報セキュリティ管理
ヌヴォトン台湾
  • サプライヤ評価は年間計画に基づいて実施し、各サプライヤは四半期ごとに情報セキュリティに関するアンケートへの回答が要求。評価スコアが90点未満の場合には、改善を依頼し、その対応状況について継続的に監査
ヌヴォトン日本
  • 2022年以降、サプライチェーンに対する情報セキュリティチェックを実施。継続的な取引先については少なくとも年1回の再評価を実施。評価結果に基づき、必要に応じて改善指導や推奨事項を提示し、セキュリティレベルの向上を支援
ヌヴォトン台湾
  • 2024年において、評価スコアが90点以上のサプライヤは全体の70%を占め、90点未満のサプライヤーは30%でした。なお、90点未満のサプライヤーにおいては、改善を実施した事例は確認されていません。
ヌヴォトン日本
  • 2024年には、28社のサプライヤーに対して安全点検を実施しました。

お客様のプライバシー保護

ヌヴォトンではお客様を重要な戦略的パートナと見なしており、お客様のニーズや要望を可能な限り満たしてきました。お客様の秘情報の保護を重視しており、お客様に関する情報、お客様と取り交わした文書やデータといった営業情報を厳格に管理し、すべて社内の高度に保護されたシステムに保存しています。また、すべての取引先やお客様と秘密保持契約を締結し、機密情報の保護を相互に要求しており、個人情報や営業秘密の漏洩を防止します。また、ISO 27001情報セキュリティマネジメントシステムを通じて、完全な情報セキュリティ保護制度を確立しています・2023年に、お客様のプライバシー侵害やデータ紛失は発生していません。

お客様の個人情報保護措置

ISO 27001
ヌヴォトンは顧客を重要な戦略的パートナーと位置づけ、ニーズや期待に応えることに尽力しています。また、顧客の機密情報および個人情報の保護を非常に重要視しています。
顧客との間でやり取りされるすべての文書、データ、その他の業務情報は、社内の高度な保護システムにより厳重に管理されています。さらに、当社と連携する主要な取引先や顧客には、機密保持契約の締結を義務付けており、顧客のプライバシーや営業秘密の漏洩防止に努めています。
ISO/IEC 27001情報セキュリティマネジメントシステムの導入を通じて、当社はより包括的な情報セキュリティ保護体制を構築しました。2024年においては、顧客のプライバシー侵害や顧客データの紛失に関する苦情は一切報告されていません。
個人情報保護に関する法令
個人情報保護に関する法令への適合を確保するため、ヌヴォトン台湾では2024年に全社員を対象とした「個人情報保護法」に関する研修を実施しました。研修では、EUの一般データ保護規則(GDPR)および台湾の個人情報保護法の概要が紹介され、受講率は100%を達成しました。
ヌヴォトン日本においては、GDPRを含む個人情報に関する研修資料を社内ポータル上に公開し、全社員がいつでもアクセスできる環境を整備しています。
秘密保持契約の締結
ヌヴォトンでは、顧客サービスの向上に努めるとともに、顧客の個人情報および知的財産権の保護をより重視しています。顧客の機密情報を保護するため、機密保持契約を締結し、機密データの保護に関する手順を整備することで、情報漏洩のリスクを排除し、顧客の個人情報を適切に保護しています。