コマツでは、情報セキュリティの脅威が年々高度化・巧妙化していることを認識し、グループ全体の情報セキュリティレベルを向上させるための活動を実施しています。
特にサイバー攻撃は発生した場合の影響が非常に大きいため、セキュリティ対応体制としてCSIRT(Computer Security Incident Response Team)を設置しています。
コマツはサイバー攻撃に対する対応能力を含む情報セキュリティの組織的な体制を整備・運用するため、全世界の拠点を対象としたCSIRTをグローバルで設立、運用しています。CSIRTの役割は、情報収集や各種システム対策、社員教育などを通じて情報セキュリティインシデントそのものが発生しないようにするための平時の活動および、万が一情報セキュリティインシデントが発生した場合にはCSIRTが中心となり活動し、被害を最小限に抑え、早期にシステムを復旧させます。
また、CSIRTの活動は全社的なリスクを管理する「リスク管理委員会」に定期的に報告することにより、社長および取締役を含むリスク管理員会メンバーと課題を共有することで、適切な運用を行っています。
お客様、取引先、社員等の個人情報を適切に保護することは社会的責務であり、コマツは「個人情報保護方針」を策定し、公表しています。また、eラーニングや内部監査などを通じて適切な取り扱いを徹底しています。また、海外においても欧州一般データ保護規則(GDPR)の対応など、各国・地域の法令および社会的な要請に合わせた個人情報の保護に取り組んでいます。
外部からの不正侵入・コンピュータウイルス感染などの脅威やそれらによる情報漏えいへの対策として、複数のシステム施策を組み合わせた多層的な防御体制を構築しています。一例として、テレワークの実施にあたり社外からシステムを利用する際は、システムにアクセスするまでに複数のプロセスを必要とする仕組みとすることで本人確認を厳格に行っています。
情報を取扱うすべての社員の意識や知識を高め、適切に取扱うことができるよう、全社員に定期的なeラーニングの受講を義務付けています。
不審メールへの対策としては、標的型攻撃メールを装った訓練を年複数回行っています。この不審メール対策の訓練は日本のみならず、一部の海外現地法人に対しても実施しており、情報セキュリティのレベル向上をグローバルに推進しています。
グループ企業に対する情報セキュリティ監査を実施することで、コマツグループ全体の情報セキュリティレベル向上に取り組んでいます。専門知識を有するコマツ社員が監査および助言をすることにより有効性を高め、また直接の利害関係がない第三者として実施することで独立性と公平性を確保しています。
なお、情報セキュリティ監査は同一の企業に対して原則3年に1回程度実施することとしており、継続的に状況を確認する取り組みを行っています。
コマツは自社およびグループ会社のみならず、当社の業務上の機密情報を共有する代理店や協力企業各社に対しても、当社の情報セキュリティ方針に沿った管理対応をお願いするとともに、継続的かつ有効な支援を講じております。
代理店や協力企業各社に対し、情報機器等のシステム対策や情報の適切な管理方法について、チェックリストを用いた定期的な確認やヒアリングの実施および当社指定の情報セキュリティ教材の使用も推奨しています。これらの活動を通じて、業務上の機密情報の扱いや安定した事業継続についてすべての関係者と適切な情報システム管理の必要性を共有し、リスク低減を図っています。