ガバナンス|情報セキュリティ

情報セキュリティ

積極的に新しい市場を開拓し、持続的な利益を確保するために戦略的な特許戦略を展開しています。また、企業の誠実な経営と法令の遵守を確保するために、常に国内外の政策や新興リスクに注意を払っています。定期的に誠実な経営の核となる価値を宣伝し、堅固な企業文化を築き、持続可能な成長を追求しています。

SDGS
SDG 8
SDG 9

100

%

誠実な経営の教育率

5.77

台湾ドル

1株当たり利益

4954

特許

グローバルでの特許数

情報セキュリティ

ヌヴォトン は、安全な情報管理システムを構築し、管理措置を実施するために、「情報 セキュリティ ポリシー」と「情報セキュリティ管理規程」を制定しています。これにより、安全な情報環境が確保され、盗難、サイバー犯罪、産業スパイ、その他の脅威から企業と顧客のデータが保護されます。また、パートナーや顧客との秘密保持契約により、機密情報の不正な開示を防止します。
私たちは2022年12月に情報セキュリティ責任者(CISO)を設立し、新たに情報セキュリティ部門を設置しました。この部門の主な任務は、会社の情報セキュリティ能力を向上させるために支援し、指導することです。また、情報システム、身分、データの機密性、完全性、可用性を維持することです。

2023年度には、顧客が安心して私たちと協力できるように、NTCは顧客の要望に応じて、新版ISO 27001:2022国際情報セキュリティ管理システムを導入し、検証しました(証明書の有効期限:2027年7月1日)。NTCJは設立後すぐにISO 27001:2013認証を取得しました(証明書の有効期限:2025年1月26日)。さらに、NTCJはICカードおよび車載関連製品の事業があるため、ISO/IEC 15408およびISO/SAE 21434:2021認証も取得しています。
 

情報セキュリティリスク管理

項目具体的な方法2023年の成果
情報セキュリティに対する従業員の意識向上
  • 毎月、情報セキュリティの周知・指導を実施
  • 四半期ごとに情報セキュリティ研修を行う(ソーシャルエンジニアリング研修)
  • 毎年、個人情報保護の教育を実施
  • 情報セキュリティに関する社会状況や重大事案の周知・指導
NTC
  • ソーシャルエンジニアリング教育訓練コース実施率97%以上。未修了者にはインターネット閲覧権限を停止
  • 情報セキュリティの周知・指導 12回
NTCJ
  • 情報セキュリティの周知・指導:合同朝会6回、研修教材配布 6回、情報セキュリティ委員会の開催と議事録配布9回
  • 2023年研修は1,632人が参加。修了率100%
情報セキュリティのモニタリングとインシデントの通報処理
  • モニタリング記録と分析報告書を週次で提出
  • 週次で情報セキュリティモニタリング会議を開催し、インシデントと対応措置を確認
  • ウィルス対策とクラウドサービスへの異常なログインを当事者へ直接通報して処理させるよう自動化し、処理の時間を短縮
  • 2023年には、NTCとNTCJのいずれも重大な情報セキュリティ事故は発生していない
脆弱性管理
  • 四半期ごとにオンプレミスサーバの脆弱性スキャンを実施。毎月の決まった日に設備を停止し作業を実施
  • マイクロソフトの重要アップデートに伴いパッチを適用
  • 外部サービスは、SSCクラウド型スキャンツールによりリスクをモニタリング
  • SSCクラウドモニタリングプラットフォームでの平均点数は90点超(A級)
  • 計51件のリスクにパッチを適用。うち高・重大リスクは13件
IDアクセス管理
  • クラウドサービスは、条件付きアクセスと多要素認証を用いて、規則に適合した設備や特定プログラムだけ使用を許可
  • リモート接続は、ID識別+多要素認証+設備のホワイトリストを使用し、条件を満たすまで接続不可
  • パスワードを定期的に更新
クラウドログインとリモートアクセスのデータの日次レポートを用いて、未登録の設備やログインの試みの分析と調査を実施。2023年にはNTCとNTCJのいずれも重大事故は発生していない
物理的セキュリティ従業員の業務に基づき異なる入退室管理区域を設定。各区域への出入り時に入退室管理用カードによるID認証を実施
  • 国際標準ISO 15408 Common Criteriaでの入退室管理に関するセキュリティ要件に適合
  • NTCJでは新しいカードリーダーと従業員入退室管理用カードに交換
プログラムコードのセキュリティ
  • アプリケーションプログラム部門は、新しいシステム、対外的なサービスシステム、重要なアップデートのオンラインなどについてプログラムコードのセキュリティ検査を実施し、ハイリスクなプログラムコードへのパッチ適用を行い、プログラムのオンライン時におけるセキュリティを向上
  • プログラムコードのスキャンに関するデータベースを更新して、プログラムコードの検査効率を向上
  • 2023年に、計13システムを新たにオンライン化。ハイリスクなプログラムコードの修正・改善率は100%であり、ソースコードをスキャンしたプログラムのカバー率も100%
メールセキュリティ
  • メールサーバーのセキュリティ設定を強化。SPFは許可されたものが設定され、DKIMとDMARCはメールの改竄を防止できるように設定
  • Outlookで使用するセキュリティプラグインは、メール送信時に宛先、本文、添付ファイルを検査することにより、メールの誤送信を防止
  • 許可されたメールサーバにより全メールを検証後に、外部へ送信
  • 新機能を備えた新しいセキュリティプラグインに交換
  • NTCJでは、IT設備管理ツール(AssetView)のメールモニタリング機能により不適切なメールの送信をモニタリング

お客様のプライバシー保護

ヌヴォトンではお客様を重要な戦略的パートナと見なしており、お客様のニーズや要望を可能な限り満たしてきました。お客様の秘情報の保護を重視しており、お客様に関する情報、お客様と取り交わした文書やデータといった営業情報を厳格に管理し、すべて社内の高度に保護されたシステムに保存しています。また、すべての取引先やお客様と秘密保持契約を締結し、機密情報の保護を相互に要求しており、個人情報や営業秘密の漏洩を防止します。また、ISO 27001情報セキュリティマネジメントシステムを通じて、完全な情報セキュリティ保護制度を確立しています・2023年に、お客様のプライバシー侵害やデータ紛失は発生していません。

お客様のプライバシー保護措置

ISO 27001
日々増加する情報セキュリティの脅威に対して、、ヌヴォトンは2023年にISO/IEC 27001情報セキュリティマネジメントシステムを導入し、顧客のプライバシー保護、および営業秘密や知的財産権の窃取または漏洩の防止に努めています。毎年決まった時期に監査や内部統制の自己評価作業を行う他、部門管理者、顧客、業者のデータに基づいて制御点を設置し、制御点の状況を定期的に検査および記録しています。また、毎年、再検査や監査を実施し、完全な情報セキュリティ環境を確立することにより、偶発的な重大インシデントや処罰の発生を防止し、顧客との信用を守ります。 NTCJでは、プライバシーに関する施策を対外的に公表し、個人情報を取り扱う時は事前に顧客やビジネスパートナの同意を取得します。個人データを第三者から受け取る、または第三者に提供するときは、必ず個人情報保護法を遵守します。
プライバシー保護に関する法令
「個人情報保護法」、「EU地域で施行される個人情報保護規則」(General Data Protection Regulation, GDPR)、米国カリフォルニア州の「カリフォルニア州消費者プライバシー法(California Consumer Privacy Act,CCPA)」といったプライバシー保護関連法令の規定への適合を確保するため、NTCは2023年にEUのGDPRや台湾の個人情報保護法に関する「個人情報保護法」の研修を全従業員が受講しています。NTCJでは、社内ポータルサイトで個人情報やGFPRに関する研修資料を開示し、従業員が随時に閲覧できるようにしています。
ISO/IEC 15408
NTCは2014年にISO 15408 コモンクライテリア EAL 4+の製品セキュリティ認証に合格しました。認証は製品ライフサイクルにおける、設計開発、生産および輸送の各段階が対象となります。これは、NTCの製品情報セキュリティが国際セキュリティ規格コモンクライテリアの要件に適合しており、国際標準に適合した信頼できるセキュリティ製品を生産できること、顧客の情報や資産を保護できることを示しています。 NTCJは、IC カード製品の開発・製造において、ISO/IEC15408 コモン クライテリア EAL 5+ 製品安全認証を取得しています。
秘密保持契約の締結
ヌヴォトンは顧客へのサービスを向上させるとともに、顧客のプライバシーや知的財産権の保護も重視しています。顧客と秘密保持契約を締結して、顧客の機密情報を保護するとともに、機密データの保護手順を定め、機密データ流出のリスクを確実に防止し、顧客のプライバシーを適切に保護しています。