investor relations
投資家向け広報
corporate governance
コーポレートガバナンスについて
情報セキュリティ管理方針
泓徳能源科技股份有限公司「情報セキュリティ管理方針」は、情報セキュリティ管理における最大指針です。ISO 27001規格に準拠した「Plan(計画)-Do(実行)-Check(評価)-Act(改善)」(PDCA)のサイクルからなる運用モデルを採用し、情報セキュリティマネジメントシステムを構築することで、情報セキュリティ業務の円滑な運用を確保するとともに、効果的な運用と継続的な改善を維持していきます。
泓徳能源科技は以下の情報セキュリティ管理方針に従い実施するものとします。
01
計画および策定(Plan)
情報セキュリティ組織の設置、潜在的な脅威と脆弱性の管理、リスク評価計画、管理メカニズムの計画と構築により、情報セキュリティマネジメントシステムを構築しています。
02
実施および運用(Do)
情報セキュリティマネジメントシステムにおける管理メカニズムを実施します。
03
監督および検証(Check)
情報セキュリティマネジメントシステムにおける各項目の確実な実施を監督し、その有効性を検証します。
04
維持および改善(Act)
監督および検証の結果と提案に基づく是正措置の策定と実施により、情報セキュリティマネジメントシステムの継続的な運用を維持します。
- 当社の情報セキュリティマネジメントシステムが効果的に関係者に伝わるよう、情報セキュリティ方針とその手順は容易に閲読できる場所に示すものとします(例:公式サイト、社内入口、契約書など)。
- 当社の情報セキュリティ運用管理基準を効果的に社外関係者に伝えるには、すべての従業員、契約(嘱託)社員、業務委託先が各サービスを実行する際に、当社の情報セキュリティ運用管理要件を遵守することが求められます。
- 情報セキュリティ委員会は少なくとも毎年1回、情報セキュリティ方針および管理基準を評価するものとし、深刻な環境変化(気候変動を含む)、組織の変更、主要サービスの変更、重大な情報セキュリティ問題が生じた時は評価の変更を行うものとします。政府の法律、情報テクノロジー、会社運営などに関する最新の情報を反映し、情報セキュリティに関する作業の有効性を確保します。
情報セキュリティアーキテクチャ
泓徳能源は、情報セキュリティ管理の計画、実施、監督、改善を担当する情報部門と情報セキュリティ推進グループを設置しています。システムサーバー、オペレーションシステム、ネットワークシステムなどの各方面で何重もの制御および保護メカニズムを構築しており、天変地異、データ破損、機密情報の窃取などの状況から守ります。情報セキュリティに関する問題が生じた場合、正常な運営を確保するため、当社では情報セキュリティ問題緊急対応計画を策定しています。また、泓徳能源は物理的環境の安全性、および会社の情報に対する悪意を持った漏洩、窃取、記録の防止も重視しています。
泓徳能源は情報セキュリティ完全性のさらなる確保と、ハッキングやサイバー攻撃のリスクを低減すため、情報セキュリティ管理に予算を投じました。ネットワークにおけるセキュリティリスクを低減し、会社と顧客のデータを安全に保護するため、近年当社では情報セキュリティ管理メカニズムを構築してきました。情報セキュリティ責任部門が情報セキュリティ方針を策定し、部門横断的な協力により、会社の情報セキュリティ方針、ISO文書の保護と処理を実施します。そして、実施状況を定期的に董事会(取締役会)に報告し、会社における情報利用の安全性を確保することで、信頼できる情報利用環境を維持しています。また、2023年は情報セキュリティに関する重大な問題は発生しませんでした。
情報セキュリティ委員会の組織体制
情報セキュリティ委員会の職務分掌
| チーム別/職務 | 部門 | 役職名 | 人数 | 備考 |
|---|---|---|---|---|
| 情報セキュリティ委員会 | ||||
| 管理代表 | 情報処 | 協理 | 1 | 当社情報セキュリティ制度運用成果の監督 |
| 情報セキュリティ実行チーム | ||||
| チームリーダー/メンバー | 情報部 | 経理 | 1 | — |
| メンバー | 情報部 | エンジニア | 3 | 関係部門の代表者を集め、情報セキュリティに関する業務の推進と実施を支援 |
| 情報セキュリティ監査チーム | ||||
| チームリーダー | 監査室 | 経理 | 1 | — |
| メンバー | 監査室 | 専任担当者 | 1 | — |
| メンバー | 外部コンサルタント | — | — | チームメンバーは、リーダーが監査範囲および実際の作業ニーズに基づいて提出した計画について、情報セキュリティ責任者の同意を得たうえで実施するものとする |
| 緊急應變小組 | ||||
| チームリーダー | 情報部 | 副理 | 1 | — |
| メンバー(情報セキュリティ問題通報窓口) | 情報部 | エンジニア | 2 | チームメンバーは、リーダーが問題の重大性と実際の作業処理のニーズに従い編成したチームと共に緊急対応にあたるものとする |
情報セキュリティインシデント対応措置
情報セキュリティ全体施策
- 2024年に ISO/IEC 27001:2022 情報セキュリティマネジメントシステムを導入し、内部管理施策を策定するとともに、PDCA サイクルによる継続的改善を実施しています。第三者認証を取得しており、有効期間は 2024年12月10日~2027年12月9日 です。
- TWCERT/CC 等の情報セキュリティ連携組織に参加し、サイバーセキュリティに関する脅威情報を収集するとともに、社内のソフトウェアおよびハードウェアシステムのリスク有無を確認し、必要な対策を講じています。
- 四半期ごと、またはシステム稼働時に定期的な脆弱性スキャンを実施し、高リスクと判断された脆弱性については、ソフトウェアおよびファームウェアの更新等により修正を行っています。
- 政策・法令、内外部リスクを定期的に確認し、必要に応じて情報セキュリティ方針および管理施策を改定することで、利害関係者の期待に適合した体制を維持しています。
- 重要システムについては、BCP(事業継続計画) の演練を定期的に実施し、重大な情報セキュリティインシデント発生時にもシステムが正常に利用できることを確保しています。
- 情報セキュリティ意識向上の取り組み
- 新入社員に対し、入社時に基礎的な情報セキュリティ教育を実施しています
- グループ全体で毎年、全社員を対象とした情報セキュリティ教育訓練を実施し、受講後には理解度テストを行っています。参加率および合格率はいずれも 100% を維持しており、2025年の累計教育時間は500時間 です。
- 年2回、ソーシャルエンジニアリング訓練を実施し、日常業務を想定したシナリオに基づいて検証を行っています。2025年のクリック率は1.7% であり、該当者に対しては追加の教育訓練を実施しています。
- 近年多発している情報セキュリティ事故や詐欺事案について、不定期に情報セキュリティに関する注意喚起・啓発活動を実施しており、2025年は累計8回実施するとともに、関連するシステム脆弱性の修正を行っています。
