SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合: まるちゃんの情報セキュリティ気まぐれ日記

March 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

2024.07.14

SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

こんにちは、丸山満彦です。

2023.07.26にSECのルールが改正され、Cybersecurityについての開示が強化され、2023.12.15以後に終了する事業年度から、その開示が求められることになりましたが、それから半年以上がすぎ、Form10-Kに記載されている事例もたくさんありますので、ちょっと紹介...

10-KのItem 1C. Cybersecurityに

Risk Management and Strategyとして、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、

そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか

を記載することになります。

また、過去のサイバーセキュリティインシデントの結果を含むサイバーセキュリティの脅威から生じるリスクが、その企業の事業戦略、業績、財務状況を含め、重要な影響を与えたか、重要な影響を与える可能性が合理的に高いかどうか、どのように影響を与えた（または、与える可能性が合理的に高いか）を記載する必要があります。。。

そして、

Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。

取締役会としての監督については、

サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス

経営者としての役割としては、

経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
- どの経営委員会又は役職が負うのか、
- その担当者や委員が有する関連する専門知識
その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか

詳細のルールは[PDF] SEC 17 CFR Parts 229, 232, 239, 240, and 249 [Release Nos. 33-11216; 34-97989; File No. S7-09-22] RIN 3235-AM89 Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure

● SECURITIES AND EXCHANGE COMMISSION - EDGAR

開示内容...

・ INTERNATIONAL BUSINESS MACHINES CORP (IBM)

・2024.02.26 10-K (Annual report

Item 1C.Cybersecurity:	項目1C.サイバーセキュリティ
Risk Management and Strategy	リスクマネジメントと戦略
Cybersecurity is a critical part of risk management at IBM and is integrated with the company’s overall enterprise risk management framework. The Board of Directors and the Audit Committee of the Board are responsible for overseeing management’s execution of cybersecurity risk management and for assessing IBM’s approach to risk management. Senior management is responsible for assessing and managing IBM’s exposure to cybersecurity risks on an ongoing basis.	サイバーセキュリティは、IBM のリスクマネジメントの重要な一部であり、IBM のエンタープライズリスク管理フレームワーク全体と統合されている。取締役会および取締役会監査委員会は、経営陣によるサイバーセキュリティ・リスクマネジメントの実行を監督し、リスクマネジメントに対する IBM のアプローチを評価する責任を負う。上級経営陣は、IBM のサイバーセキュリティ・リスクへのエクスポージャーを継続的に評価し、管理する責任を負う。
From an enterprise perspective, we implement a multi-faceted risk management approach based on the National Institute of Standards and Technology Cybersecurity Framework. We have established policies and procedures that provide the foundation upon which IBM’s infrastructure and data are managed. We regularly assess and adjust our technical controls and methods to identify and mitigate emerging cybersecurity risks. We use a layered approach with overlapping controls to defend against cybersecurity attacks and threats on IBM networks, end-user devices, servers, applications, data, and cloud solutions.	エンタープライズの観点から、当社は国立標準技術研究所サイバーセキュリティフレームワークに基づく多面的なリスクマネジメントを実施している。当社は、IBM のインフラとデータを管理する基盤となる方針と手順を確立している。私たちは、新たなサイバーセキュリティ・リスクを特定し、軽減するために、技術的なコントロールと方法を定期的にアセスメントし、調整している。当社は、IBM ネットワーク、エンドユーザー・デバイス、サーバー、アプリケーション、データ、およびクラウド・ソリューションに対するサイバーセキュリティ攻撃や脅威を防御するために、重層的な管理手法を使用している。
We draw heavily on our own commercial security solutions and services to manage and mitigate cybersecurity risks. IBM maintains a Security Operations Center (“SOC”) that monitors for threats to IBM’s networks and systems, utilizing threat intelligence provided by a range of sources, including the IBM Security X-Force Exchange platform, which maintains one of the largest compilations of threat intelligence in the world. We also rely on tools licensed from third party security vendors to monitor and manage cybersecurity risks. We periodically engage third parties to supplement and review our cybersecurity practices and provide relevant certifications.	サイバーセキュリティ・リスクを管理・軽減するために、IBM は独自の商用セキュリティ・ソリューションとサービスを多用している。IBMは、IBMのネットワークとシステムに対する脅威を監視するセキュリティ・オペレーション・センター（「SOC」）を維持しており、世界最大級の脅威インテリジェンス集を維持するIBM Security X-Force Exchangeプラットフォームなど、さまざまなソースから提供される脅威インテリジェンスを活用している。また、サイバーセキュリティ・リスクを監視・管理するために、サードパーティのセキュリティ・ベンダーからライセンスを受けたツールにも依存している。サードパーティとは、当社のサイバーセキュリティの実践を補足・検証し、関連認証を提供するために定期的に契約している。
We have a global incident response process, managed by IBM’s Computer Security Incident Response Team (“CSIRT”), that relies primarily on internal expertise to respond to cybersecurity threats and attacks. We utilize a combination of online training, educational tools, videos and other awareness initiatives to foster a culture of security awareness and responsibility among our workforce, including responsibility for reporting suspicious activity.	当社は、IBM のコンピュータ・セキュリティ・インシデント対応チーム（「CSIRT」）が管理するグローバル・インシデント対応プロセスを持っており、サイバーセキュリティの脅威や攻撃に対応するために、主に社内の専門知識に依存している。IBM は、オンライン・トレーニング、教育ツール、ビデオ、およびその他の意識向上イニシアチブを組み合わせて活用し、不審な活動を報告する責任を含め、従業員の間でセキュリティに対する意識と責任の文化を醸成している。
IBM has a third party supplier risk management program to oversee and identify risks from cybersecurity threats associated with its use of third party service providers and vendors. Risks are assessed and prioritized based, among other things, on the type of offering/engagement, supplier assessments, threat intelligence, and industry practices.	IBM は、サードパーティのサービスプロバイダーやベンダーの使用に関連するサイバーセキュリティの脅威によるリスクを監督し、特定するためのサードパーティサプライヤーリスク管理プログラムを有している。リスクは、提供/契約の種類、サプライヤーのアセスメント、脅威情報、および業界の慣行などに基づいて評価され、優先順位が付けられる。
As discussed in greater detail in Item 1A., "Risk Factors," the company faces numerous and evolving cybersecurity threats, including risks originating from intentional acts of criminal hackers, hacktivists, nation states and competitors; from intentional and unintentional acts or omissions of customers, contractors, business partners, vendors, employees and other third parties; and from errors in processes or technologies, as well as the risks associated with an increase in the number of customers, contractors, business partners, vendors, employees and other third parties working remotely. While the company continues to monitor for, identify, investigate, respond to and remediate cybersecurity risks, including incidents and vulnerabilities, there have not been any that have had a material adverse effect on the company, though there is no assurance that there will not be cybersecurity risks that will have a material adverse effect in the future.	項目1A「リスク要因」で詳述しているように、当社は、犯罪的ハッカー、ハクティビスト、国家、競合他社の意図的行為に起因するリスク、顧客、請負業者、ビジネス・パートナー、ベンダー、従業員、その他の第三者の意図的・非意図的な作為・不作為に起因するリスク、プロセスや技術のエラーに起因するリスク、さらにはリモートで作業する顧客、請負業者、ビジネス・パートナー、ベンダー、従業員、その他の第三者の増加に伴うリスクなど、数多くの進化するサイバーセキュリティの脅威に直面している。当社は、インシデントや脆弱性を含むサイバーセキュリティリスクの監視、特定、調査、対応、是正を継続しているが、当社に重大な悪影響を及ぼしたリスクは発生していない。
Governance	ガバナンス
IBM’s Enterprise & Technology Security (“E&TS”) organization has oversight responsibility for the security of both IBM’s internal systems and external offerings and works across all of the organizations within the company to protect IBM, its brand, and its clients against cybersecurity risks. E&TS also addresses cybersecurity risks associated with third party suppliers. For these purposes, E&TS includes a dedicated Chief Information Security Officer (“CISO”) whose team is responsible for leading enterprise-wide information security strategy, policy, standards, architecture, and processes for IBM’s internal systems. The CISO manages the CSIRT. The CISO also manages the Product Security Incident Response Team (“PSIRT”), which focuses on product vulnerabilities potentially affecting the security of offerings sold to customers. IBM also has Business Information Security Officers (“BISO”) who coordinate with the Office of the CISO on security issues specific to particular business segments.	IBMのエンタープライズ＆テクノロジー・セキュリティ(以下「E&TS」)組織は、IBMの社内システムと社外提供物の両方のセキュリティに対する監督責任を有し、IBM、そのブランド、およびその顧客をサイバーセキュリティリスクから保護するために、社内のすべての組織にまたがって活動している。E&TS は、サードパーティ・サプライヤーに関連するサイバーセキュリティ・リスクにも対処している。これらの目的のために、E&TS には専任の最高情報セキュリティ責任者（「CISO」）が含まれ、そのチームは IBM の社内システムに関するエンタープライズ全体の情報セキュリティ戦略、ポリシー、標準、アーキテクチャ、およびプロセスを統率する責任を負う。CISOはCSIRTを管理する。CISOはまた、製品セキュリティインシデントレスポンスチーム(以下「PSIRT」)を管理し、顧客に販売される製品のセキュリティに影響を及ぼす可能性のある製品の脆弱性に焦点を当てている。IBMはまた、特定の事業セグメントに特有のセキュリティ問題についてCISOオフィスと調整するビジネス情報セキュリティ・オフィサー（「BISO」）も擁している。
The CSIRT team, together with the Office of the Chief Information Officer (“CIO”), Cyber Legal, Corporate Security, and BISOs, engages in on-going reviews of incidents, threat intelligence, detections, and vulnerabilities, including to assess client and regulatory impact. Events of interest are promptly reported to the Senior Vice President (“SVP”) for Legal & Regulatory Affairs and General Counsel (“GC”) and the SVP overseeing cybersecurity (“SVP Sponsor”).	CSIRTチームは、最高情報責任者室（「CIO」）、サイバー法務部、コーポレート・セキュリティ部、およびBISOとともに、インシデント、脅威インテリジェンス、検知、および脆弱性の継続的なレビューに従事し、顧客および規制への影響の評価も行っている。関心のある事象は、法務・規制担当上級副社長（「SVP」）および法務顧問（「GC」）、サイバーセキュリティを監督するSVP（「SVPスポンサー」）に速やかに報告される。
Incidents are delegated to an appropriate incident response team for assessment, investigation, and remediation. Depending on the nature of the matter, the incident response team may include individuals from E&TS, the Office of the CISO, the Office of the CIO, Cyber Legal, Business Units, the Chief Privacy Office, Human Resources, Procurement, Finance and Operations, and Corporate Security. The incident response teams advise and consult with the GC and the SVP Sponsor, as appropriate.	アセスメントは、適切なインシデント対応チームに委譲され、評価、調査、修復が行われる。問題の性質に応じて、インシデント対応チームには、E&TS、CISO室、CIO室、サイバー法務部、事業部門、チーフプライバシーオフィス、人事部、調達部、財務・業務部、およびコーポレートセキュリティの担当者が含まれる。インシデント対応チームは、適宜、GCおよびSVPスポンサーに助言し、協議を行う。
The Cybersecurity Advisory Committee (“CAC”) meets regularly and is responsible for overseeing management of the Company’s cybersecurity risk. The CAC is composed of, among others, SVPs from the major business units, the SVP Sponsor, and the GC. The CAC is responsible for, among other things, setting the Company’s governance structure for managing cybersecurity risk and reviewing noteworthy cybersecurity incidents and strategies to prevent recurrence. IBM management responsible for managing cybersecurity risk reflects a cross-section of functions from across the organization with significant experience in managing such risk as well as the technologies underlying these risks. They also hold leadership positions outside of IBM in the field of cybersecurity, serving on governing and advisory boards of public and private institutions at the forefront of issues related to cybersecurity, including technology development, cybersecurity policy, and national security.	サイバーセキュリティ諮問委員会（CAC）は定期的に会合を開き、当社のサイバーセキュリティリスクマネジメントを監督する責任を負う。CACは、特に主要事業部門のSVP、SVPスポンサー、GCで構成される。CACは特に、サイバーセキュリティリスクを管理するための当社のガバナンス構造を設定し、注目すべきサイバーセキュリティインシデントと再発防止戦略を検討する責任を負う。サイバーセキュリティ・リスクの管理を担当するIBMのマネジメントは、そのようなリスクやリスクの根底にあるテクノロジーの管理について豊富な経験を持つ、組織全体の機能を横断的に反映している。また、IBM の外部でサイバーセキュリティの分野で指導的な立場にあり、技術開発、サイバーセキュリティ政策、国家安全保障など、サイバーセキュリティに関連する問題の最前線にある公的機関や民間機関のガバナンスや諮問委員会の委員を務めている。
The Board of Directors and the Audit Committee oversees the cyber governance process. Leadership from E&TS, including the CISO, make regular presentations to the Audit Committee and the full Board on identification, management, and remediation of cybersecurity risks, both internal and external, as well as threat intelligence, emerging global policies and regulations, cybersecurity technologies, and best practices. In addition, senior management provides briefings as needed to the Audit Committee Chair, the Audit Committee, and, as appropriate, the full Board, on cybersecurity issues and incidents of potential interest.	取締役会と監査委員会がサイバーガバナンス・プロセスを監督している。CISOを含むE&TSのリーダーシップは、監査委員会および取締役会全体に対して、内外のサイバーセキュリティ・リスクの特定、マネジメント、是正、脅威情報、新たなグローバル政策・規制、サイバーセキュリティ・テクノロジー、ベストプラクティスに関するプレゼンテーションを定期的に行っている。さらに、上級管理職は監査委員会委員長、監査委員会、および必要に応じて取締役会全体に対して、サイバーセキュリティの問題や潜在的な関心事に関するブリーフィングを随時行っている。

・Intel

・2024.01.26 10-K (Annual report)

Cybersecurity	サイバーセキュリティ
We face significant and persistent cybersecurity risks due to: the breadth of geographies, networks, and systems we must defend against cybersecurity attacks; the complexity, technical sophistication, value, and widespread use of our systems, products and processes; the attractiveness of our systems, products and processes to threat actors (including state-sponsored organizations) seeking to inflict harm on us or our customers; the substantial level of harm that could occur to us and our customers were we to suffer impacts of a material cybersecurity incident; and our use of third-party products, services and components. We are committed to maintaining robust governance and oversight of these risks and to implementing mechanisms, controls, technologies, and processes designed to help us assess, identify, and manage these risks. While we have not, as of the date of this Form 10-K, experienced a cybersecurity threat or incident that resulted in a material adverse impact to our business or operations, there can be no guarantee that we will not experience such an incident in the future. Such incidents, whether or not successful, could result in our incurring significant costs related to, for example, rebuilding our internal systems, writing down inventory value, implementing additional threat protection measures, providing modifications or replacements to our products and services, defending against litigation, responding to regulatory inquiries or actions, paying damages, providing customers with incentives to maintain a business relationship with us, or taking other remedial steps with respect to third parties, as well as incurring significant reputational harm. In addition, these threats are constantly evolving, thereby increasing the difficulty of successfully defending against them or implementing adequate preventative measures. We have seen an increase in cyberattack volume, frequency, and sophistication. We seek to detect and investigate unauthorized attempts and attacks against our network, products, and services, and to prevent their occurrence and recurrence where practicable through changes or updates to our internal processes and tools and changes or updates to our products and services; however, we remain potentially vulnerable to known or unknown threats. In some instances, we, our suppliers, our customers, and the users of our products and services can be unaware of a threat or incident or its magnitude and effects. Further, there is increasing regulation regarding responses to cybersecurity incidents, including reporting to regulators, which could subject us to additional liability and reputational harm. See "Risk Factors" for more information on our cybersecurity risks and product vulnerability risks.	サイバーセキュリティ攻撃から守らなければならない地域、ネットワーク、システムの広さ、当社のシステム、製品、プロセスの複雑さ、技術的洗練度、価値、広範な使用、当社または当社の顧客に損害を与えようとする脅威行為者（国家支援組織を含む）にとって当社のシステム、製品、プロセスが魅力的であること、当社が重大なサイバーセキュリティインシデントの影響を受けた場合、当社および当社の顧客に発生する可能性のある実質的な損害のレベル、サードパーティ製品、サービス、コンポーネントの使用により、当社は重大かつ持続的なサイバーセキュリティリスクに直面している。当社は、これらのリスクに対する強固なガバナンスと監視を維持し、これらのリスクのアセスメント、識別、管理を支援するために設計されたメカニズム、コントロール、テクノロジー、およびプロセスの導入に取り組んでいる。本フォーム10-Kの日付現在、当社の事業または業務に重大な悪影響をもたらすサイバーセキュリティの脅威またはインシデントを経験したことはないが、当社が将来そのようなインシデントを経験しないという保証はない。このようなインシデントが発生した場合、その成否にかかわらず、例えば、社内システムの再構築、在庫価値の評価減、追加の脅威防御策の導入、当社製品およびサービスの修正または代替品の提供、訴訟に対する防御、規制当局からの照会または措置への対応、損害賠償金の支払い、当社との取引関係を維持するためのインセンティブの顧客への提供、または第三者に関するその他の是正措置などに関連する多額の費用が発生し、また、大きな風評被害を被る可能性がある。加えて、これらの脅威は常に進化しているため、これらに対する防御を成功させたり、適切な予防策を実施したりすることの難易度が増している。サイバー攻撃の量、頻度、巧妙さが増加している。当社は、当社のネットワーク、製品、サービスに対する不正な試みや攻撃を検知・調査し、内部プロセスやツールの変更・更新、製品やサービスの変更・更新を通じて、その発生や再発を可能な限り防止するよう努めているが、既知または未知の脅威に対する脆弱性は依然として残っている。場合によっては、当社、当社のサプライヤー、顧客、当社の製品・サービスの利用者が、脅威やインシデント、あるいはその規模や影響に気づかない可能性もある。さらに、規制当局への報告を含め、サイバーセキュリティインシデントへの対応に関する規制が強化されており、当社が追加責任や風評被害を受ける可能性がある。当社のサイバーセキュリティリスクと製品脆弱性リスクに関する詳細は「リスク要因」を参照されたい。
We aim to incorporate industry best practices throughout our cybersecurity program. Our cybersecurity strategy focuses on implementing effective and efficient controls, technologies, and other processes to assess, identify, and manage material cybersecurity risks. Our cybersecurity program is designed to be aligned with applicable industry standards and is assessed annually by independent third-party auditors. We have processes in place to assess, identify, manage, and address material cybersecurity threats and incidents. These include, among other things: annual and ongoing security awareness training for employees; mechanisms to detect and monitor unusual network activity; and containment and incident response tools. We actively engage with industry groups for benchmarking and awareness of best practices. We monitor issues that are internally discovered or externally reported that may affect our products, and have processes to assess those issues for potential cybersecurity impact or risk. We also have a process in place to manage cybersecurity risks associated with third-party service providers. We impose security requirements upon our suppliers, including: maintaining an effective security management program; abiding by information handling and asset management requirements; and notifying us in the event of any known or suspected cyber incident.	当社はサイバーセキュリティ・プログラム全体に業界のベストプラクティスを取り入れることを目指している。当社のサイバーセキュリティ戦略は、重要なサイバーセキュリティ・リスクをアセスメントし、特定し、マネジメントするために、効果的かつ効率的なコントロール、テクノロジー、その他のプロセスを導入することに重点を置いている。当グループのサイバーセキュリティ・プログラムは、適用される業界標準に沿うように設計されており、毎年独立したサードパーティ監査人によるアセスメントを受けている。当社は、重要なサイバーセキュリティ上の脅威やインシデントを評価、識別、管理、対処するためのプロセスを備えている。これには特に、従業員に対する年次および継続的なセキュリティ意識向上およびトレーニング、異常なネットワーク活動を検知・監視する仕組み、封じ込めおよびインシデント対応ツールが含まれる。ベンチマークやベストプラクティスの認識のために、業界団体と積極的に連携している。当社は、社内で発見された、または社外から報告された、当社製品に影響を及ぼす可能性のある問題を監視し、サイバーセキュリティへの潜在的な影響やリスクについてそれらの問題をアセスメントするプロセスを有している。また、サードパーティのサービス・プロバイダに関連するサイバーセキュリティ・リスクを管理するためのプロセスも整備している。これには、効果的なセキュリティ管理プログラムの維持、情報ハンドリングおよび資産管理要件の遵守、既知または疑いのあるサイバーインシデント発生時の当社への通知などが含まれる。
Our Board of Directors has ultimate oversight of cybersecurity risk, which it manages as part of our enterprise risk management program. That program is utilized in making decisions with respect to company priorities, resource allocations, and oversight structures. The Board of Directors is assisted by the Audit & Finance Committee, which regularly reviews our cybersecurity program with management and reports to the Board of Directors. Cybersecurity reviews by the Audit & Finance Committee or the Board of Directors generally occur at least twice annually, or more frequently as determined to be necessary or advisable. A number of Intel directors have experience in assessing and managing cybersecurity risk.	当社の取締役会は、エンタープライズ・リスク・マネジメント・プログラムの一環として管理するサイバーセキュリティ・リスクを最終的に監督している。このプログラムは、会社の優先事項、リソースの配分、監督体制に関する意思決定に活用されている。取締役会は監査・財務委員会の支援を受けており、同委員会は経営陣とともにサイバーセキュリティ・プログラムを定期的に見直し、取締役会に報告している。監査・財務委員会または取締役会によるサイバーセキュリティの見直しは、通常、少なくとも年2回、または必要または望ましいと判断される場合はそれ以上の頻度で行われる。インテルの取締役の多くは、サイバーセキュリティ・リスクのアセスメントとマネジメントの経験を有している。
Our cybersecurity program is run by our Chief Information Security Officer (CISO), who reports to our Executive Vice President and Chief Technology Officer (CTO). Our CISO is informed about and monitors prevention, detection, mitigation, and remediation efforts through regular communication and reporting from professionals in the information security team, many of whom hold cybersecurity certifications such as a Certified Information Systems Security Professional or Certified Information Security Manager, and through the use of technological tools and software and results from third party audits. Our CISO and CTO have extensive experience assessing and managing cybersecurity programs and cybersecurity risk. Our CISO has served in that position since 2015 and, before Intel, was previously the Chief Security Officer at McAfee and the Chief Information Officer and CISO for the US House of Representatives. Our CTO joined Intel in 2021 and was previously Senior Vice President and CTO at VMware, with responsibility for product security. Our CISO and CTO regularly report directly to the Audit & Finance Committee or the Board of Directors on our cybersecurity program and efforts to prevent, detect, mitigate, and remediate issues. In addition, we have an escalation process in place to inform senior management and the Board of Directors of material issues.	インテルのサイバーセキュリティ・プログラムは、最高情報セキュリティ責任者 (CISO) によって運営されており、CISO はインテルの取締役副社長兼最高技術責任者 (CTO) の直属となっている。当社のCISOは、情報セキュリティチームの専門家（その多くは公認情報システム・セキュリティ・プロフェッショナルや公認情報セキュリティ・マネージャーなどのサイバーセキュリティ資格を保有している）からの定期的なコミュニケーションや報告、技術的なツールやソフトウェアの使用、サードパーティによる監査の結果を通じて、予防、検知、軽減、修復の取り組みに関する情報を入手し、監視している。当社のCISOとCTOは、サイバーセキュリティ・プログラムとサイバーセキュリティ・リスクのアセスメントとマネジメントに豊富な経験を有している。当社のCISOは2015年からその職に就いており、インテル以前はマカフィーの最高セキュリティ責任者、米国下院の最高情報責任者兼CISOを務めていた。CTOは2021年にインテルに入社し、それ以前はVMwareの上級副社長兼CTOとして製品のセキュリティを担当していた。当社のCISOとCTOは、当社のサイバーセキュリティ・プログラムと問題の予防、検知、軽減、修復の取り組みについて、定期的に監査・財務委員会または取締役会に直接報告している。さらに、重大な問題を上級管理職および取締役会に報告するためのエスカレーションプロセスも設けている。

・Boeing

・2024.01.31 10-K (Annual report)

Item 1C.Cybersecurity	項目1C.サイバーセキュリティ
Risk Management and Strategy	リスクマネジメント戦略
Our cybersecurity strategy prioritizes detection, analysis and response to known, anticipated or unexpected threats; effective management of security risks; and resiliency against incidents. Our cybersecurity risk management processes include technical security controls, policy enforcement mechanisms, monitoring systems, employee training, contractual arrangements, tools and related services from third-party providers, and management oversight to assess, identify and manage material risks from cybersecurity threats. We implement risk-based controls to protect our information, the information of our customers, suppliers, and other third parties, our information systems, our business operations, and our products and related services. We have adopted security-control principles based on the National Institute of Standards and Technology (NIST) Cybersecurity Framework, other industry-recognized standards, and contractual requirements, as applicable. We also leverage government partnerships, industry and government associations, third-party benchmarking, the results from regular internal and third-party audits, threat intelligence feeds, and other similar resources to inform our cybersecurity processes and allocate resources.	当社のサイバーセキュリティ戦略は、既知・予期・予期せぬ脅威の検知・分析・対応、セキュリティリスクの効果的な管理、インシデントに対するレジリエンスを最優先事項としている。当社のサイバーセキュリティ・リスク・マネジメント・プロセスには、サイバーセキュリティの脅威による重大なリスクをアセスメントし、特定し、管理するための技術的なセキュリティ・コントロール、ポリシー実施メカニズム、モニタリング・システム、従業員トレーニング、契約上の取り決め、サードパーティ・プロバイダーからのツールや関連サービス、およびマネージド・オーバーサイトが含まれる。当社は、当社の情報、当社の顧客、サプライヤー、その他のサードパーティーの情報、当社の情報システム、当社の事業運営、および当社の製品と関連サービスを保護するために、リスクに基づく管理を実施している。当社は、国立標準技術研究所（NIST）のサイバーセキュリティ・フレームワーク、その他の業界標準、および契約上の要件に基づくセキュリティ管理機構を採用している。また、政府とのパートナーシップ、業界団体、政府機関、サードパーティによるベンチマーク、定期的な内部監査およびサードパーティ監査の結果、脅威情報、その他同様のリソースを活用して、サイバーセキュリティプロセスに情報を提供し、リソースを配分している。
We maintain security programs that include physical, administrative and technical safeguards, and we maintain plans and procedures whose objective is to help us prevent and timely and effectively respond to cybersecurity threats or incidents. Through our cybersecurity risk management process, we continuously monitor cybersecurity vulnerabilities and potential attack vectors to company systems as well as our aerospace products and services, and we evaluate the potential operational and financial effects of any threat and of cybersecurity countermeasures made to defend against such threats. We continue to integrate our cyber practice into our Enterprise Risk Management program and our Compliance Risk Management program, both of which are overseen by our Board of Directors and provide central, standardized frameworks for identifying and tracking cyber-related business and compliance risks across the Company. Risks from cybersecurity threats to our products and services are also overseen by our Board of Directors. In addition, we periodically engage third-party consultants to assist us in assessing, enhancing, implementing, and monitoring our cybersecurity risk management programs and responding to any incidents.	当社は、物理的、管理的、技術的なセーフガードを含むセキュリティ・プログラムを維持し、サイバーセキュリティの脅威やインシデントを予防し、タイムリーかつ効果的に対応することを目的とした計画と手順を維持している。サイバーセキュリティ・リスクマネジメント・プロセスを通じて、当社は航空宇宙製品・サービスだけでなく、会社のシステムに対するサイバーセキュリティの脆弱性と潜在的な攻撃ベクトルを継続的に監視し、あらゆる脅威とそのような脅威を防御するために行われるサイバーセキュリティ対策の潜在的な業務上・財務上の影響を評価している。この2つのプログラムは取締役会によって監督されており、全社的なサイバー関連ビジネスリスクおよびコンプライアンスリスクを特定・追跡するための集中的で標準化されたフレームワークを提供している。当社の製品およびサービスに対するサイバーセキュリティの脅威によるリスクも取締役会が監督している。さらに、サイバーセキュリティ・リスクマネジメント・プログラムのアセスメント、強化、実施、モニタリング、およびインシデントへの対応を支援するため、サードパーティ・コンサルタントを定期的に雇用している。
As part of our cybersecurity risk management process, we conduct “tabletop” exercises during which we simulate cybersecurity incidents to ensure that we are prepared to respond to such an incident and to highlight any areas for potential improvement in our cyber incident preparedness. These exercises are conducted at both the technical level and senior management level, which has included participation by a member of our Board of Directors. In addition, all employees are required to pass a mandatory cybersecurity training course on an annual basis and receive monthly phishing simulations to provide “experiential learning” on how to recognize phishing attempts.	サイバーセキュリティ・リスクマネジメント・プロセスの一環として、当社は「机上」演習を実施している。この演習では、サイバーセキュリティ・インシデントをシミュレートし、そのようなインシデントへの対応態勢が整っていることを確認するとともに、サイバーインシデントへの対応態勢において改善すべき点を浮き彫りにする。これらの演習は技術レベルと上級管理レベルの両方で実施され、取締役会のメンバーも参加している。さらに、全従業員はサイバーセキュリティ・トレーニングに毎年合格することが義務付けられており、毎月フィッシング・シミュレーションを受けることで、フィッシングを見分ける方法を「体験学習」している。
We have established a cybersecurity supply chain risk management program, which is a cross-functional program that forms part of our Enterprise Risk Management program and is supported by our security, compliance, and supply chain organizations. Through this evolving program, we assess the risks from cybersecurity threats that impact select suppliers and third-party service providers with whom we share personal identifying and confidential information. We continue to evolve our oversight processes to mature how we identify and manage cybersecurity risks associated with the products or services we procure from such suppliers. We generally require our suppliers to adopt security-control principles based on industry-recognized standards.	サイバーセキュリティ・サプライチェーン・リスクマネジメント・プログラムは、エンタープライズ・リスク・マネジメント・プログラムの一部を構成する機能横断的なプログラムであり、当社のセキュリティ、コンプライアンス、サプライチェーンの各組織によってサポートされている。この進化するプログラムを通じて、個人を特定できる情報や機密情報を共有する厳選されたサプライヤーやサードパーティ・サービス・プロバイダに影響を及ぼすサイバーセキュリティの脅威によるリスクをアセスメントしている。当社は、こうしたサプライヤーから調達する製品やサービスに関連するサイバーセキュリティ・リスクを特定し、管理する方法を成熟させるため、監視プロセスを進化させ続けている。当社は全般的に、業界標準に基づくセキュリティ管理原則を採用するようサプライヤーに求めている。
We have experienced, and may in the future experience, whether directly or through our supply chain or other channels, cybersecurity incidents. While prior incidents have not materially affected our business strategy, results of operations or financial condition, and although our processes are designed to help prevent, detect, respond to, and mitigate the impact of such incidents, there is no guarantee that a future cyber incident would not materially affect our business strategy, results of operations or financial condition. See “Risks Related to Cybersecurity and Business Disruptions” in “Risk Factors” on page 14 of this Form 10-K.	当社は、直接であれ、サプライチェーンやその他のチャネルを通じてであれ、サイバーセキュリティインシデントを経験しており、今後も経験する可能性がある。過去のインシデントが当社の事業戦略、経営成績、財務状況に重大な影響を及ぼすことはなく、当社のプロセスはそのようなインシデントの防止、検知、対応、影響の軽減を支援するように設計されているが、将来のサイバーインシデントが当社の事業戦略、経営成績、財務状況に重大な影響を及ぼさないという保証はない。本フォーム10-Kの14ページにある「リスク要因」の「サイバーセキュリティと事業中断に関するリスク」を参照のこと。
Governance	ガバナンス
Our Board of Directors has overall responsibility for risk oversight, with its committees assisting the Board in performing this function based on their respective areas of expertise. Our Board of Directors has delegated oversight of risks related to cybersecurity to two Board committees, the Audit Committee and the Aerospace Safety Committee, and each committee reports on its activities and findings to the full Board after each meeting. The Audit Committee is charged with reviewing our cybersecurity processes for assessing key strategic, operational, and compliance risks. Our Chief Information Officer and Senior Vice President, Information Technology & Data Analytics (CIO) and our Chief Security Officer (CSO) provide presentations to the Audit Committee on cybersecurity risks at each of its bimonthly meetings. These briefings include assessments of cyber risks, the threat landscape, updates on incidents, and reports on our investments in cybersecurity risk mitigation and governance. In addition, the Audit Committee has designated one of its members with expertise in cyber risk management to meet regularly with management and review our cybersecurity strategy and key initiatives and progress toward our objectives. In the event of a potentially material cybersecurity event, the Chair of the Audit Committee is notified and briefed, and meetings of the Audit Committee and/or full Board of Directors would be held, as appropriate. The Aerospace Safety Committee provides oversight of the risks from cybersecurity threats related to our aerospace products and services. The Aerospace Safety Committee receives regular updates and reports from senior management, including the Chief Engineer, the Chief Aerospace Safety Officer, and the Chief Product Security Engineer, who provide briefings on significant cybersecurity threats or incidents that may pose a risk to the safe operation of our aerospace products. Both committees brief the full Board on cybersecurity matters discussed during committee meetings, and the CIO provides annual briefings to the Board on information technology and data analytics related matters, including cybersecurity.	当社の取締役会はリスク監視の全体的な責任を負っており、各委員会はそれぞれの専門分野に基づいて取締役会のこの機能の遂行を支援している。当社の取締役会は、サイバーセキュリティに関連するリスクの監督を監査委員会と航空宇宙安全委員会の2つの取締役会委員会に委任しており、各委員会は各会合後にその活動と調査結果を取締役会全体に報告している。監査委員会は、主要な戦略リスク、業務リスク、コンプライアンス・リスクを評価するためのサイバーセキュリティ・プロセスを検討する責任を負っている。当社の最高情報責任者兼情報技術・データ分析担当上級副社長（CIO）と最高セキュリティ責任者（CSO）は、監査委員会の隔月開催の会合で、サイバーセキュリティ・リスクに関するプレゼンテーションを行う。これらの説明には、サイバーリスクのアセスメント、脅威の状況、インシデントの最新情報、サイバーセキュリティリスクの軽減とガバナンスへの投資に関する報告などが含まれる。さらに、監査委員会はサイバーリスクマネジメントの専門知識を持つ委員を1名指名し、経営陣と定期的に会合を持ち、当社のサイバーセキュリティ戦略や主要な取り組み、目標に向けた進捗状況をレビューしている。重要なサイバーセキュリティ事象が発生する可能性がある場合は、監査委員長に通知され、説明を受け、必要に応じて監査委員会および／または取締役会全体が開催される。航空宇宙安全委員会は、当社の航空宇宙製品およびサービスに関連するサイバーセキュリティの脅威によるリスクを監督する。航空宇宙安全委員会は、チーフエンジニア、チーフ航空宇宙安全責任者、チーフプロダクトセキュリティエンジニアを含む上級マネジメントから定期的な最新情報と報告を受け、当社の航空宇宙製品の安全な運用にリスクをもたらす可能性のある重大なサイバーセキュリティの脅威やインシデントに関する説明を受ける。両委員会は、委員会会議で議論されたサイバーセキュリティに関する事項を取締役会全体に説明し、CIOはサイバーセキュリティを含む情報技術およびデータ分析関連事項について取締役会に年次報告を行っている。
At the management level, we have established a Global Security Governance Council (the Council) to further strengthen our cybersecurity risk management activities across the Company, including the prevention, detection, mitigation, and remediation of cybersecurity incidents. The Council is responsible for developing and coordinating enterprise cybersecurity policy and strategy, and for providing guidance to key management and oversight bodies.	経営レベルでは、サイバーセキュリティ・インシデントの予防、検知、低減、修復など、全社的なサイバーセキュリティ・リスクマネジメント活動をさらに強化するため、グローバル・セキュリティ・ガバナンス評議会（評議会）を設立した。同評議会は、エンタープライズ・サイバーセキュリティ・ポリシーと戦略を策定・調整し、主要な経営・監督団体にガイダンスを提供する役割を担っている。
Richard Puckett, as our CSO, serves as the chair of the Council. He is responsible for overseeing a unified security program that provides cybersecurity, fire and protection operations, physical security, insider threat, and classified security. Mr. Puckett has nearly 30 years of experience in the cybersecurity industry, including, prior to joining Boeing in 2022, as Chief Information Security Officer of SAP SE and Thomson Reuters Corporation, Vice President, Product and Commercial Security of General Electric, Inc., and Senior Security Architect at Cisco Systems, Inc. He reports directly to the CIO and meets regularly with other members of senior management and the Audit Committee.	リチャード・パケットはCSOとして、評議会の議長を務めている。彼は、サイバーセキュリティ、消防・保護業務、物理的セキュリティ、内部脅威、機密セキュリティを提供する統合セキュリティ・プログラムを監督する責任を負っている。2022年にボーイングに入社する以前は、SAP SEおよびトムソン・ロイター・コーポレーションの最高情報セキュリティ責任者、ゼネラル・エレクトリック社の製品・商業セキュリティ担当副社長、シスコシステムズ社のシニア・セキュリティ・アーキテクトなど、サイバーセキュリティ業界で30年近い経験を持つ。CIOに直属し、他の上級管理職や監査委員会のメンバーと定期的に会合を持つ。
The Council also includes, among other senior executives, our Chief Engineer, Chief Information Officer, Chief Aerospace Safety Officer and Chief Product Security Engineer, who each have several decades of business and senior leadership experience managing risks in their respective fields, collectively covering all aspects of cybersecurity, data and analytics, product security engineering, enterprise engineering, safety and the technical integrity of our products and services.	彼らはそれぞれ数十年にわたり各分野のリスクマネジメントに携わっており、サイバーセキュリティ、データとアナリティクス、製品セキュリティ・エンジニアリング、エンタープライズ・エンジニアリング、安全性、当社製品とサービスの技術的完全性など、あらゆる側面を網羅している。
The Council meets monthly and updates key members of the Company’s Executive Council on progress towards specific cybersecurity objectives. A strong partnership exists between Information Technology, Enterprise Security, Corporate Audit, and Legal so that identified issues are addressed in a timely manner and incidents are reported to the appropriate regulatory bodies as required.	同評議会は毎月会合を開き、サイバーセキュリティに関する具体的な目標に向けた進捗状況について、当社経営陣の主要メンバーに報告している。インフォメーション・テクノロジー、エンタープライズ・セキュリティ、コーポレート・オーディット、法務の間には強力なパートナーシップが存在し、特定された問題はタイムリーに対処され、インシデントは必要に応じて適切な規制団体に報告される。

・American Express

・2024.02.09 10-K (Annual report)

ITEM 1C CYBERSECURITY	項目1C サイバーセキュリティ
We maintain an information security and cybersecurity program and a cybersecurity governance framework that are designed to protect our information systems against operational risks related to cybersecurity./span>	当社は、サイバーセキュリティに関連する業務リスクから情報システムを保護するための情報セキュリティおよびサイバーセキュリティ・プログラムとサイバーセキュリティ・ガバナンス・フレームワークを維持している。
Cybersecurity Risk Management and Strategy	サイバーセキュリティリスクマネジメントと戦略
We define information security and cybersecurity risk as the risk that the confidentiality, integrity or availability of our information and information systems are impacted by unauthorized or unintended access, use, disclosure, disruption, modification or destruction. Information security and cybersecurity risk is an operational risk that is measured and managed as part of our operational risk framework. Operational risk is incorporated into our comprehensive Enterprise Risk Management (ERM) program, which we use to identify, aggregate, monitor, report and manage risks. For more information on our ERM program, see “Risk Management” under “MD&A.”	当社は、情報セキュリティおよびサイバーセキュリティ・リスクを、当社の情報および情報システムの機密性、完全性、または可用性が、不正または意図しないアクセス、使用、開示、中断、変更、または破壊によって影響を受けるリスクと定義している。情報セキュリティ・リスクとサイバーセキュリティ・リスクは、オペレーショナル・リスクの枠組みの一部として測定・マネジメントされるオペレーショナル・リスクである。オペレーショナル・リスクは、当グループの包括的なエンタープライズ・リスク・マネジメント（ERM）プログラムに組み込まれており、リスクの識別、集約、監視、報告、管理に利用されている。ERMプログラムの詳細については、「MD&A」の「リスクマネジメント」を参照のこと。
Our Technology Risk and Information Security (TRIS) program, which is our enterprise information security and cybersecurity program incorporated in our ERM program and led by our Chief Information Security Officer (CISO), is designed to (i) ensure the security, confidentiality, integrity and availability of our information and information systems; (ii) protect against any anticipated threats or hazards to the security, confidentiality, integrity or availability of such information and information systems; and (iii) protect against unauthorized access to or use of such information or information systems that could result in substantial harm or inconvenience to us, our colleagues or our customers. The TRIS program is built upon a foundation of advanced security technology, employs a highly trained team of experts and is designed to operate in alignment with global regulatory requirements. The program deploys multiple layers of controls, including embedding security into our technology investments, designed to identify, protect, detect, respond to and recover from information security and cybersecurity incidents. Those controls are measured and monitored by a combination of subject matter experts and a security operations center with integrated cyber detection, response and recovery capabilities. The TRIS program includes our Enterprise Incident Response Program, which manages information security incidents involving compromises of sensitive information, and our Cyber Crisis Response Plan, which provides a documented framework for handling high-severity security incidents and facilitates coordination across multiple parts of the Company to manage response efforts. We also routinely perform simulations and drills at both a technical and management level, and our colleagues receive annual cybersecurity awareness training.	当社のテクノロジーリスク・情報セキュリティ（TRIS）プログラムは、当社のERMプログラムに組み込まれ、当社の最高情報セキュリティ責任者（CISO）が率いるエンタープライズ情報セキュリティおよびサイバーセキュリティプログラムであり、（i）当社の情報と情報システムのセキュリティ、機密性、完全性、可用性を確保する； (ii) そのような情報および情報システムのセキュリティ、機密性、完全性、可用性に対する予想される脅威または危険から保護すること、および (iii) 当社、当社の同僚、または顧客に重大な損害または不都合をもたらす可能性のある、そのような情報または情報システムへの不正アクセスまたは使用から保護すること。TRISプログラムは、高度なセキュリティ技術の基盤の上に構築され、高度な訓練を受けた専門家チームを雇用し、世界的な規制要件に沿って運用されるように設計されている。TRISプログラムは、情報セキュリティおよびサイバーセキュリティのインシデントを特定し、防御し、検知し、対応し、復旧させるために設計された、当社の技術投資へのセキュリティの組み込みを含む、多層的なコントロールを展開している。これらの管理体制は、サイバー検知・対応・復旧機能を統合したセキュリティ・オペレーションセンターと専門家の組み合わせによって測定・監視される。TRISプログラムには、機密情報の漏洩を伴う情報セキュリティ・インシデントを管理するエンタープライズ・インシデント・レスポンス・プログラムと、重大性の高いセキュリティ・インシデントに対応するための文書化されたフレームワークを提供し、対応努力を管理するために社内の複数の部署間の調整を促進するサイバー危機対応計画が含まれている。また、技術レベルと管理レベルの両方でシミュレーションと訓練を定期的に実施し、社員はサイバーセキュリティに関する意識向上およびトレーニングを毎年受けている。
In addition, we incorporate reviews by our Internal Audit Group and external expertise in our TRIS program, including an independent third-party assessment of our cybersecurity measures and controls and a third-party cyber maturity assessment of our TRIS program against the Cyber Risk Institute Profile standards for the financial sector. We also invest in threat intelligence, collaborate with our peers in areas of threat intelligence, vulnerability management, incident response and drills, and are active participants in industry and government forums.	さらに、TRIS プログラムには内部アセスメント・グループによるレビューと外部の専門知識を取り入れている。これには、当社のサイバーセキュリティ対策と統制に関する独立した第三者による評価や、金融セクター向けのサイバーリスク・インスティテュート・プロファイル標準に照らした当社の TRIS プログラムのサードパーティによるサイバー成熟度評価などが含まれる。また、脅威情報に投資し、脅威情報、脆弱性管理、インシデント対応、訓練の分野で同業他社と協力し、業界や政府のフォーラムにも積極的に参加している。
Cybersecurity risks related to third parties are managed as part of our Third Party Management Policy, which sets forth the procurement, risk management and contracting framework for managing third-party relationships commensurate with their risk and complexity. Our Third Party Lifecycle Management (TLM) program sets guidelines for identifying, measuring, monitoring, and reporting the risks associated with third parties through the life cycle of the relationships, which includes planning, due diligence and third-party selection, contracting, ongoing monitoring and termination. Our TLM program includes the identification of third parties with risks related to information security. Third parties that access, process, collect, share, create, store, transmit or destroy our information or have access to our systems may have additional security requirements depending on the levels of risk, such as enhanced risk assessments and monitoring, and additional contractual controls.	サードパーティに関連するサイバーセキュリティリスクは、当社のサードパーティ管理方針の一環として管理されている。この方針は、サードパーティとの関係をそのリスクと複雑性に応じて管理するための調達、リスクマネジメント、契約の枠組みを定めたものである。当社のサードパーティライフサイクルマネジメント（TLM）プログラムは、計画、デューデリジェンス、サードパーティの選定、契約、継続的モニタリング、解約を含む関係のライフサイクルを通じて、サードパーティに関連するリスクを特定、測定、モニタリング、報告するためのガイドラインを定めている。当社のTLMプログラムには、情報セキュリティに関連するリスクを持つサードパーティーの特定が含まれる。当社の情報にアクセスし、処理し、収集し、共有し、作成し、保存し、送信し、または破棄し、あるいは当社のシステムにアクセスするサードパーティは、リスクアセスメントやモニタリングの強化、契約上の追加管理など、リスクのレベルに応じて追加のセキュリティ要件が課される場合がある。
While we do not believe that our business strategy, results of operations or financial condition have been materially adversely affected by any cybersecurity incidents, cybersecurity threats are pervasive and, similar to other global financial institutions, we, as well as our customers, colleagues, regulators, service providers and other third parties, have experienced a significant increase in information security and cybersecurity risk in recent years and will likely continue to be the target of cyber attacks. We continue to assess the risks and changes in the cyber environment, invest in enhancements to our cybersecurity capabilities, and engage in industry and government forums to promote advancements in our cybersecurity capabilities, as well as the broader financial services cybersecurity ecosystem. For more information on risks to us from cybersecurity threats, see “A major information or cybersecurity incident or an increase in fraudulent activity could lead to reputational damage to our brand and material legal, regulatory and financial exposure, and could reduce the use and acceptance of our products and services.” under “Risk Factors.”	当社の事業戦略、経営成績、財務状況がサイバーセキュリティインシデントによって重大な悪影響を受けたとは考えていないが、サイバーセキュリティ脅威は蔓延しており、他のグローバル金融機関と同様に、当社、当社の顧客、同僚、規制当局、サービスプロバイダー、その他のサードパーティも、近年、情報セキュリティおよびサイバーセキュリティリスクの重要な増加を経験しており、今後もサイバー攻撃の標的になる可能性が高い。当社は引き続き、サイバー環境のリスクと変化をアセスメントし、サイバーセキュリティ能力の強化に投資し、業界や政府のフォーラムに参加して、当社のサイバーセキュリティ能力だけでなく、より広範な金融サービスのサイバーセキュリティ・エコシステムの進歩を促進していく。サイバーセキュリティの脅威による当社へのリスクについては、"リスク要因 "の「重大な情報またはサイバーセキュリティのインシデントや詐欺行為の増加は、当社ブランドの風評被害や重大な法的、規制的、財務的エクスポージャーにつながる可能性があり、当社の製品やサービスの利用や受容を低下させる可能性がある」を参照されたい。
Cybersecurity Governance	サイバーセキュリティ・ガバナンス
Under our cybersecurity governance framework, our Board and our Risk Committee are primarily responsible for overseeing and governing the development, implementation and maintenance of our TRIS program, with the Board designating our Risk Committee to provide oversight and governance of technology and cybersecurity risks. Our Board receives an update on cybersecurity at least once a year from our CISO or their designee. Our Risk Committee receives reports on cybersecurity at least twice a year, including in at least one joint meeting with our Audit and Compliance Committee, and our Board and these committees all receive ad hoc updates as needed. In addition, our Risk Committee annually approves our TRIS program.	当社のサイバーセキュリティ・ガバナンス・フレームワークでは、当社の取締役会とリスク委員会がTRISプログラムの開発、実施、保守を監督・ガバナンスする主な責任を負っており、取締役会はリスク委員会にテクノロジーとサイバーセキュリティ・リスクの監督・ガバナンスを行わせることを指定している。取締役会は少なくとも年1回、CISOまたはその被指名者からサイバーセキュリティに関する最新情報を受け取る。当社のリスク委員会は、当社の監査・コンプライアンス委員会との少なくとも1回の合同会議を含め、サイバーセキュリティに関する報告を少なくとも年に2回受け、当社の取締役会とこれらの委員会はすべて、必要に応じて臨時の最新情報を受け取る。さらに、リスク委員会は毎年TRISプログラムを承認している。
We have multiple internal management committees that are responsible for the oversight of cybersecurity risk. Our Operational Risk Management Committee (ORMC), chaired by our Chief Operational Risk Officer, provides oversight and governance for our information security risk management activities, including those related to cybersecurity.This includes efforts to identify, measure, manage, monitor and report information security risks associated with our information and information systems and potential impacts to the American Express brand. The ORMC escalates risks to our Enterprise Risk Management Committee (ERMC), chaired by our Chief Risk Officer, or our Board based on the escalation criteria provided in our enterprise-wide risk appetite framework. Members of management with cybersecurity oversight responsibilities are informed about cybersecurity risks and incidents through a number of channels, including periodic and annual reports, with the annual report also provided to our Risk Committee, the ORMC and ERMC.	当社には、サイバーセキュリティ・リスクの監督を担当する複数の社内マネジメント委員会がある。これには、当社の情報および情報システムに関連する情報セキュリティリスク、ならびにアメリカン・エキスプレス・ブランドへの潜在的な影響を特定、測定、管理、監視、報告する取り組みが含まれる。ORMCは、全社的なリスク選好フレームワークで規定されたエスカレーション基準に基づき、リスクをチーフ・リスク・オフィサーが議長を務めるエンタープライズ・リスクマネジメント委員会（ERMC）または取締役会にエスカレーションする。サイバーセキュリティの監督責任を負うマネジメントのメンバーは、定期報告書や年次報告書を含む多くのチャネルを通じてサイバーセキュリティリスクやインシデントについて知らされており、年次報告書はリスク委員会、ORMC、ERMCにも提供されている。
Our CISO leads the strategy, engineering and operations of cybersecurity across the Company and is responsible for providing annual updates to our Board, the ERMC and the ORMC on our TRIS program, as well as ad hoc updates on information security and cybersecurity matters. Our current CISO has held a series of roles in telecommunications, networking and information security at American Express, including promotion to the CISO role in 2013 and the addition of responsibility for technology risk management in 2023. Prior to joining American Express, our current CISO served in a variety of technology leadership roles at a public pharmaceutical and biotechnology company for 14 years. Our CISO reports to the Chief Information Officer, information about whom is included in “Information About Our Executive Officers” under “Business.”	当社のCISOは、全社的なサイバーセキュリティの戦略、エンジニアリング、運用を指揮し、取締役会、ERMC、ORMCに対し、当社のTRISプログラムに関する年次報告、および情報セキュリティとサイバーセキュリティに関する臨時報告を行う責任を負っている。現在のCISOは、2013年にCISOに昇格し、2023年にはテクノロジー・リスク・マネジメントの責任者となるなど、アメリカン・エキスプレスで電気通信、ネットワーク、情報セキュリティの職務を歴任してきた。アメリカン・エキスプレスに入社する以前は、上場製薬・バイオテクノロジー企業で14年間、さまざまな技術指導的職務に就いていた。CISO はチーフ・インフォメーション・オフィサーの直属であり、チーフ・インフォメーション・オフィサーに関する情報は、"事業内容 "の "執行役員に関する情報 "に記載されている。
For more information on our risk governance structure, see “Risk Management — Governance” and “Risk Management —Operational Risk Management Process” under “MD&A.”	当社のリスク・ガバナンス体制の詳細については、"MD&A "の "リスクマネジメント-ガバナンス "および "リスクマネジメント-オペレーショナル・リスク管理プロセス "を参照のこと。

・Johnson & Johnson

・2024.02.16 10-K (Annual report)

Item 1C.Cybersecurity	項目1C.サイバーセキュリティ
Risk management and strategy	リスクマネジメントと戦略
The Company has documented cybersecurity policies and standards, assesses risks from cybersecurity threats, and monitors information systems for potential cybersecurity issues. To protect the Company’s information systems from cybersecurity threats, the Company uses various security tools supporting protection, detection, and response capabilities. The Company maintains a cybersecurity incident response plan to help ensure a timely, consistent response to actual or attempted cybersecurity incidents impacting the Company.	当社は、サイバーセキュリティの方針と標準を文書化し、サイバーセキュリティの脅威によるリスクをアセスメントし、サイバーセキュリティの潜在的問題について情報システムを監視している。サイバーセキュリティの脅威から当社の情報システムを保護するため、当社は保護、検知、対応能力をサポートする様々なセキュリティ・ツールを使用している。当社はサイバーセキュリティ・インシデント対応計画を維持し、当社に影響を及ぼす実際の、または未遂のサイバーセキュリティ・インシデントへのタイムリーで一貫した対応を保証している。
The Company also identifies and assesses third-party risks within the enterprise, and through the Company's use of third-party service providers, across a range of areas including data security and supply chain through a structured third-party risk management program.	当社はまた、構造化されたサードパーティ・リスク・マネジメント・プログラムを通じて、データ・セキュリティやサプライ・チェーンを含むさまざまな分野において、エンタープライズ内およびサードパーティ・サービス・プロバイダの利用を通じて、サードパーティのリスクを特定し、アセスメントしている。
The Company maintains a formal information security training program for all employees that includes training on matters such as phishing and email security best practices. Employees are also required to complete mandatory training on data privacy.	当社は、フィッシングや電子メール・セキュリティのベスト・プラクティスなどのトレーニングを含む、全従業員向けの正式な情報セキュリティ・トレーニング・プログラムを維持している。従業員にはデータ・プライバシーに関する必須研修の受講も義務付けられている。
To evaluate and enhance its cybersecurity program, the Company periodically utilizes third-party experts to undertake maturity assessments of the Company’s information security program.	サイバーセキュリティ・プログラムを評価・強化するため、当社はサードパーティーの専門家を定期的に活用し、当社の情報セキュリティ・プログラムの成熟度アセスメントを実施している。
To date, the Company is not aware of any cybersecurity incident that has had or is reasonably likely to have a material impact on the Company’s business or operations; however, because of the frequently changing attack techniques, along with the increased volume and sophistication of the attacks, there is the potential for the Company to be adversely impacted. This impact could result in reputational, competitive, operational or other business harm as well as financial costs and regulatory action. Refer to the risk factor captioned An information security incident, including a cybersecurity breach, could have a negative impact to the Company’s business or reputation in Part I, Item 1A. Risk factors for additional description of cybersecurity risks and potential related impacts on the Company.	現在までのところ、当社の事業または業務に重大な影響を及ぼした、あるいは及ぼす可能性のあるサイバーセキュリティインシデントについて、当社は認識していない。しかし、攻撃手法は頻繁に変化し、攻撃の量も高度化しているため、当社が悪影響を受ける可能性はある。このような影響は、風評、競争、業務、その他の事業上の損害、財務上のコスト、規制上の措置をもたらす可能性がある。サイバーセキュリティ侵害を含む情報セキュリティインシデントが、当社の事業または評判に悪影響を及ぼす可能性がある。サイバーセキュリティリスクおよび関連する当社への潜在的な影響に関する補足説明については、「リスク要因」を参照のこと。
Governance - management’s responsibility	ガバナンス-経営陣の責任
The Company takes a risk-based approach to cybersecurity and has implemented cybersecurity controls designed to address cybersecurity threats and risks. The Chief Information Officer (CIO), who is a member of the Company’s Executive Committee, and the Chief Information Security Officer (CISO) are responsible for assessing and managing cybersecurity risks, including the prevention, mitigation, detection, and remediation of cybersecurity incidents.	当社はサイバーセキュリティに対してリスクベースのアプローチをとっており、サイバーセキュリティの脅威とリスクに対処するために設計されたサイバーセキュリティ統制を導入している。当社の経営委員会のメンバーである最高情報責任者（CIO）と最高情報セキュリティ責任者（CISO）は、サイバーセキュリティ・インシデントの予防、低減、検知、修復を含むサイバーセキュリティ・リスクのアセスメントとマネジメントに責任を負っている。
The Company’s CISO, in coordination with the CIO, is responsible for leading the Company’s cybersecurity program and management of cybersecurity risk. The current CISO has over twenty-five years of experience in information security, and his background includes technical experience, strategy and architecture focused roles, cyber and threat experience, and various leadership roles.	当社のCISOはCIOと連携し、当社のサイバーセキュリティ・プログラムとサイバーセキュリティ・リスクのマネジメントを主導する責任を負っている。現在のCISOは情報セキュリティ分野で25年以上の経験を持ち、その経歴には、技術的な経験、戦略とアーキテクチャに重点を置いた役割、サイバーと脅威に関する経験、さまざまな指導的役割などが含まれる。
Governance - board oversight	ガバナンス - 取締役会の監督
The Company’s Board of Directors oversees the overall risk management process, including cybersecurity risks, directly and through its committees. The Regulatory Compliance & Sustainability Committee (RCSC) of the board is primarily responsible for oversight of risk from cybersecurity threats and oversees compliance with applicable laws, regulations and Company policies related to, among others, privacy and cybersecurity.	当社の取締役会は、サイバーセキュリティ・リスクを含むリスクマネジメント・プロセス全体を、直接または委員会を通じて監督している。取締役会の規制コンプライアンス＆サステナビリティ委員会（RCSC）は、主にサイバーセキュリティの脅威によるリスクの監督を担当し、特にプライバシーとサイバーセキュリティに関連する適用法、規制、会社方針の遵守を監督している。
RCSC meetings include discussions of specific risk areas throughout the year including, among others, those relating to cybersecurity.The CISO provides at least two updates each year to RCSC on cybersecurity matters. These reports include an overview of the cybersecurity threat landscape, key cybersecurity initiatives to improve the Company’s risk posture, changes in the legal and regulatory landscape relative to cybersecurity, and overviews of certain cybersecurity incidents that have occurred within the Company and within the industry.	CISOは毎年少なくとも2回、サイバーセキュリティに関する最新情報をRCSCに提供している。これらの報告には、サイバーセキュリティの脅威状況の概要、当社のリスク態勢を改善するための主要なサイバーセキュリティ・イニシアチブ、サイバーセキュリティに関連する法規制状況の変化、当社および業界で発生した特定のサイバーセキュリティ・インシデントの概要などが含まれる。

・Pfizer

・2024.02.22 10-K (Annual report)

ITEM 1C CYBERSECURITY	項目1C サイバーセキュリティ
Managing cybersecurity risk is a crucial part of our overall strategy for safely operating our business. We incorporate cybersecurity practices into our Enterprise Risk Management (ERM) approach, which is subject to oversight by our BOD. Our cybersecurity policies and practices are aligned with relevant industry standards.	サイバーセキュリティ・リスクのマネジメントは、事業を安全に運営するための全体的な戦略の極めて重要な部分である。当社はサイバーセキュリティの実践をエンタープライズ・リスク・マネジメント（ERM）アプローチに組み込んでおり、これは取締役会の監督を受けている。当社のサイバーセキュリティ方針と実践は、関連する業界標準に沿ったものである。
Consistent with our overall ERM program and practices, our cybersecurity program includes:	当社の全体的なERMプログラムおよび慣行と一貫して、当社のサイバーセキュリティ・プログラムには以下が含まれる：
• Vigilance: We maintain a global cybersecurity operation that endeavors to detect, prevent, contain, and respond to cybersecurity threats and incidents in a prompt and effective manner with the goal of minimizing business disruptions. <	・警戒: 警戒:当社は,事業の中断を最小限に抑えることを目標に,サイバーセキュリティの脅威およびインシデントを迅速かつ効果的な方法で検知,予防,封じ込め,対応するよう努めるグローバルなサイバーセキュリティ業務を維持している。
• External Collaboration: We collaborate with public and private entities, including intelligence and law enforcement agencies, industry groups and third-party service providers to identify, assess and mitigate cybersecurity risks.	・外部との連携: 情報機関や法執行機関,業界団体,サードパーティ・サービス・プロバイダを含む官民の事業体と協力し,サイバーセキュリティ・リスクを特定,アセスメント,軽減する。
• Systems Safeguards: We deploy technical safeguards that are designed to protect our information systems, products, operations and sensitive information from cybersecurity threats. These include firewalls, intrusion prevention and detection systems, disaster recovery capabilities, malware and ransomware prevention, access controls and data protection. We continuously conduct vulnerability assessments to identify new risks and periodically test the efficacy of our safeguards through both internal and external penetration tests.	・システム・セーフガード: システムの防御:当社は,当社の情報システム,製品,業務,および機密情報をサイバーセキュリティの脅威から保護するための技術的な防御策を導入している。これには,ファイアウォール,侵入防御・検知システム,災害復旧機能,マルウェアやランサムウェアの防止,アクセス管理,データ保護などが含まれる。また,新たなリスクを特定するために脆弱性アセスメントを継続的に実施し,社内外の侵入テストを通じて定期的に保護措置の有効性を検証している。
• Education: We provide periodic training for all personnel regarding cybersecurity threats, with such training appropriate to the roles, responsibilities and access of the relevant Company personnel. Our policies require all workers to report any real or suspected cybersecurity events.	・教育: 教育:当社は,サイバーセキュリティの脅威に関する定期的なトレーニングを全従業員に提供し,当該従業員の役割,責任,およびアクセスに応じた適切なトレーニングを行う。当社のポリシーでは,すべての従業員に対し,サイバーセキュリティに関する事実またはその疑いがある事象を報告することを義務付けている。
• Supplier Ecosystem Management: We extend our cybersecurity management control expectations to our supply chain ecosystem, as applicable. This includes identifying cybersecurity risks presented by third parties.	・サプライヤーのエコシステム管理: サプライヤーのエコシステム管理:当社は,サイバーセキュリティ管理統制に期待される範囲を,該当するサプライチェーンのエコシステムにも拡大する。これには,サードパーティがもたらすサイバーセキュリティリスクの識別が含まれる。
• Incident Response Planning: We have established, and maintain and periodically test, incident response plans that direct our response to cybersecurity events and incidents. Such plans include the protocol by which material incidents would be communicated to executive management, our BOD, external regulators and shareholders.	・インシデント対応計画: インシデント対応計画:当社は,サイバーセキュリティのイベントやインシデントへの対応を指示するインシデント対応計画を策定し,維持し,定期的にテストしている。このような計画には,重要なインシデントが経営陣,取締役会,外部の規制当局,株主に伝達される手順が含まれる。
• Enterprise-Wide Coordination: We engage experts from across the Company to identify emerging risks and respond to cybersecurity threats. This cross-functional approach includes personnel from our R&D, manufacturing, commercial, technology, legal, compliance, internal audit and other business functions.	・エンタープライズ全体の調整: 全社的な調整:当社では,新たなリスクを特定し,サイバーセキュリティの脅威に対応するために,全社的な専門家を関与させている。この部門横断的アプローチには,研究開発,製造事業者,商業,技術,法務,コンプライアンス,内部監査,その他の事業機能の担当者が含まれる。
• Governance: Our BOD’s oversight of cybersecurity risk management is led by the Audit Committee, which oversees our ERM program. Cybersecurity threats, risks and mitigation are periodically reviewed by the Audit Committee and such reviews include both internal and independent assessment of risks, controls and effectiveness.	・ガバナンス: ガバナンス:当社の取締役会によるサイバーセキュリティ・リスクマネジメントの監視は,当社のERMプログラムを監督する監査委員会が主導している。サイバーセキュリティの脅威,リスク,低減は監査委員会により定期的にレビューされ,そのレビューにはリスク,統制,有効性に関する内部評価と独立した評価の両方が含まれる。
Our risk assessment efforts have indicated that we are a target for theft of intellectual property, financial resources, personal information, and trade secrets from a wide range of actors including nation states, organized crime, malicious insiders and activists. The impacts of attacks, abuse and misuse of Pfizer’s systems and information include, without limitation, loss of assets, operational disruption and damage to Pfizer’s reputation.	当社のリスクアセスメントによると、当社は国家、組織犯罪、悪意のある内部関係者、活動家など、さまざまな主体から知的財産、財務資源、個人情報、企業秘密を窃取される標的となっている。ファイザーのシステムおよび情報に対する攻撃、悪用、および悪用の影響には、資産の損失、業務の中断、およびファイザーの評判に対する損害が含まれるが、これらに限定されない。
A key element of managing cybersecurity risk is the ongoing assessment and testing of our processes and practices through auditing, assessments, drills and other exercises focused on evaluating the sufficiency and effectiveness of our risk mitigation. We regularly engage third parties to perform assessments of our cybersecurity measures, including information security maturity assessments and independent reviews of our information security control environment and operating effectiveness. Certain results of such assessments and reviews are reported to the Audit Committee and the BOD, as appropriate, and we make adjustments to our cybersecurity processes and practices as necessary based on the information provided by the third-party assessments and reviews.	サイバーセキュリティリスクマネジメントの重要な要素は、監査、リスクアセスメント、訓練、および当社のリスク低減の十分性と有効性を評価することに重点を置いたその他の演習を通じて、当社のプロセスと実践を継続的に評価およびテストすることである。当社は、情報セキュリティ成熟度評価、情報セキュリティ管理環境および運用の有効性に関する独立したレビューなど、当社のサイバーセキュリティ対策のアセスメントを実施するため、定期的にサードパーティを起用している。このような評価およびレビューの一定の結果は、適宜、監査委員会および取締役会に報告され、当社はサードパーティによる評価およびレビューによってプロバイダから提供された情報に基づいて、必要に応じてサイバーセキュリティ・プロセスおよび慣行の調整を行う。
The Audit Committee oversees cybersecurity risk management, including the policies, processes and practices that management implements to prevent, detect and address risks from cybersecurity threats. The Audit Committee receives regular briefings on cybersecurity risks and risk management practices, including, for example, recent developments in the external cybersecurity threat landscape, evolving standards, vulnerability assessments, third-party and independent reviews, technological trends and considerations arising from our supplier ecosystem. The Audit Committee may also promptly receive information regarding any material cybersecurity incident that may occur, including any ongoing updates regarding the same. The Audit Committee periodically discusses our approach to cybersecurity risk management with our Chief Information Security Officer (CISO).	監査委員会は、サイバーセキュリティの脅威によるリスクを防止、検知、対処するためにマネジメントが実施する方針、プロセス、慣行を含むサイバーセキュリティのリスクマネジメントを監督する。監査委員会は、サイバーセキュリティリスクおよびリスクマネジメントの実践に関する定期的なブリーフィングを受ける。これには、例えば、外部のサイバーセキュリティ脅威の状況における最近の動向、進化する標準、脆弱性評価、サードパーティおよび独立機関によるレビュー、技術動向、当社のサプライヤーエコシステムから生じる考慮事項などが含まれる。監査委員会はまた、発生する可能性のある重要なサイバーセキュリティインシデントに関する情報（同インシデントに関する継続的な更新を含む）を速やかに受け取ることができる。監査委員会は、サイバーセキュリティ・リスクマネジメントに対する当社のアプローチについて、当社の最高情報セキュリティ責任者（CISO）と定期的に協議している。
Our CISO is a member of our management team who is principally responsible for overseeing our cybersecurity risk management program, in partnership with other business leaders across the Company. The CISO works in coordination with other members of the management team, including, among others, the Chief Digital Officer, the Chief Financial Officer, the Chief Compliance and Risk Officer and the General Counsel and their designees. We believe our business leaders have the appropriate expertise, background and depth of experience to manage risks arising from cybersecurity threats.	当社のCISOは当社のマネジメント・チームのメンバーであり、当社全体の他のビジネス・リーダーと連携して、当社のサイバーセキュリティ・リスク管理プログラムを監督する主な責任を負っている。CISOは、チーフ・デジタル・オフィサー、チーフ・ファイナンシャル・オフィサー、チーフ・コンプライアンス＆リスク・オフィサー、ジェネラル・カウンセルおよびその被指名人など、マネジメント・チームの他のメンバーと連携して業務を遂行する。当社のビジネスリーダーは、サイバーセキュリティの脅威から生じるリスクをマネジメントするための適切な専門知識、経歴、豊富な経験を有していると確信している。
Our CISO, along with leaders from our privacy and corporate compliance functions, collaborate to implement a program designed to manage our exposure to cybersecurity risks and to promptly respond to cybersecurity incidents. Prompt response to incidents is delivered by multi-disciplinary teams in accordance with our incident response plan. Through ongoing communications with these teams during incidents, the CISO monitors the triage, mitigation and remediation of cybersecurity incidents, and reports such incidents to executive management, the Audit Committee and other Pfizer colleagues in accordance with our cybersecurity policies and procedures, as is appropriate.	当社のCISOは、プライバシーおよび企業コンプライアンス機能のリーダーとともに、サイバーセキュリティリスクへのエクスポージャーを管理し、サイバーセキュリティインシデントに迅速に対応するためのプログラムを実施するために協力している。インシデントへの迅速な対応は、当社のインシデント対応計画に基づき、複数の部門からなるチームによって行われる。インシデント発生中のこれらのチームとの継続的なコミュニケーションを通じて、CISO はサイバーセキュリティ・インシデントのトリアージ、低減、および修復を監視し、そのようなインシデントを適切な場合、当社のサイバーセキュリティ方針および手順に従って経営幹部、監査委員会、および他のファイザーの同僚に報告する。
As of the date of this Form 10-K, we are not aware of any cybersecurity incidents that have materially affected or are reasonably likely to materially affect the Company, including our business strategy, results of operations, or financial condition at this time. For further discussion of the risks associated with cybersecurity incidents, see the Item 1A. Risk Factors—Information Technology and Security section in this Form 10-K.	本フォーム 10-K の日付現在、当社の事業戦略、経営成績、財務状況など、当社に重大な影響を及ぼした、または及ぼす可能性のあるサイバーセキュリティインシデントを当社は認識していない。サイバーセキュリティインシデントに関連するリスクの詳細については、項目1A. リスク要因-情報技術およびセキュリティ」を参照のこと。

Coca-Cola

・2024.02.21 10-K (Annual report)

Item 1C Cybersecurity	項目1C サイバーセキュリティ
Risk Management and Strategy	リスクマネジメント戦略
The Company is committed to maintaining robust processes to assess, identify and mitigate material risks from cybersecurity threats and to protect against, detect and respond to cybersecurity incidents. We integrate these processes into the Company’s overall risk management program and, through the Company’s Cybersecurity Incident Response Plan, we document the intended processes and the roles and responsibilities of teammates involved in assessing, identifying and managing material risks from cybersecurity threats. Periodically, the Company engages third parties to assist in the assessment and ongoing development of cybersecurity processes.	当社は、サイバーセキュリティの脅威による重大なリスクを評価、特定、軽減し、サイバーセキュリティインシデントから保護、検知、対応するための強固なプロセスの維持に努めている。当社はこれらのプロセスを当社の全体的なリスク管理プログラムに統合し、当社のサイバーセキュリティ・インシデント対応計画を通じて、サイバーセキュリティの脅威から生じる重大なリスクの評価、特定、マネジメントに関与するチームメンバーの意図するプロセスおよび役割と責任を文書化している。当社は定期的に、サイバーセキュリティ・プロセスのアセスメントと継続的な開発を支援するサードパーティを起用している。
Our cybersecurity processes are grounded in the National Institute of Standards and Technology Cybersecurity Framework and include a number of different preventative measures. The Company performs periodic risk assessments of systems and applications to identify risks, vulnerabilities and threats in systems and software, performs an annual assessment of the effectiveness of the current	当社のサイバーセキュリティ・プロセスは、国立標準技術研究所のサイバーセキュリティ・フレームワークに基づき、さまざまな予防策を含んでいる。当社は、システムおよびソフトウェアのリスク、脆弱性、脅威を特定するために、システムおよびアプリケーションのリスクアセスメントを定期的に実施し、システムおよびソフトウェアに存在するリスク、脆弱性、脅威を特定するために、システムおよびアプリケーションのリスクアセスメントを定期的に実施する。
cybersecurity response process by conducting incident response tabletop exercises that involve participation by members of the management team, and requires all teammates to participate in user awareness training for information technology and cybersecurity./span>	経営陣も参加するインシデント対応机上演習を実施することで、現在のサイバーセキュリティ対応プロセスの有効性を毎年評価し、全社員に情報テクノロジーおよびサイバーセキュリティに関するユーザー意識向上およびトレーニングへの参加を義務付けている。
Our systems are reasonably designed to enable the information technology infrastructure group to capture application, system and network alerts. In the event of a cybersecurity incident, the Cyber Incident Response Team (the “CIRT”), led by a designated Cyber Incident Coordinator (the “CIC”), is responsible for collecting and analyzing relevant data about the incident and its risks. Members of the CIRT, including the CIC, are selected based on their knowledge of either cybersecurity or the specific information systems or business function affected by the incident.	当社のシステムは、情報技術インフラストラクチャグループがアプリケーション、システム、ネットワークのアラートを捕捉できるように合理的に設計されている。サイバーセキュリティインシデントが発生した場合、指定されたサイバーインシデントコーディネーター（「CIC」）が率いるサイバーインシデント対応チーム（「CIRT」）が、インシデントとそのリスクに関する関連データの収集と分析を担当する。CICを含むCIRTのメンバーは、サイバーセキュリティまたはインシデントの影響を受ける特定の情報システムもしくは業務機能のいずれかの知識に基づいて選出される。
As part of planning for any suspected cybersecurity incident, the CIRT has developed certain incident response strategies to help collect and preserve forensic data, to mitigate the threat and to perform other activities to restore systems to normal operation. These strategies include many of the practices recommended by the U.S. Department of Homeland Security’s Industrial Control Systems Computer Emergency Response Team. In addressing and resolving a significant cybersecurity incident, the Company may engage external experts in relevant fields, such as legal or forensic services, as needed. The Company also has a process whereby the Chief Information Officer (the “CIO”) periodically meets with and assesses third-party service providers in order to help ensure the Company is made aware of any potential material cybersecurity threats or incidents in a timely manner. The Company’s largest external service provider is CONA, as further discussed in “Item 1A. Risk Factors” of this report.	サイバーセキュリティのインシデントが疑われる場合の対応計画の一環として、CIRTは、フォレンジック・データの収集と保存、脅威の軽減、およびシステムを通常運用に戻すためのその他の活動を支援するために、一定のインシデント対応戦略を策定している。これらの戦略には、米国国土安全保障省の産業制御システム・コンピュータ緊急対応チームが推奨するプラクティスの多くが含まれている。重大なサイバーセキュリティインシデントに対処し解決する際、当社は必要に応じて、法律やフォレンジックサービスなど、関連分野の外部専門家に依頼することがある。当社はまた、最高情報責任者（CIO）がサードパーティーのサービスプロバイダーと定期的に面談し、アセスメントを行うことで、重大なサイバーセキュリティの脅威やインシデントが発生する可能性があることをタイムリーに把握できるようにしている。当社の最大の外部サービスプロバイダーはCONAである。リスク要因」で詳述する。
During 2023, there were no identified cybersecurity risks or threats, including as a result of previous cybersecurity incidents, that had, or were reasonably likely to have, a material effect on our business strategy, results of operations or financial condition. While we maintain cybersecurity insurance, the costs related to cybersecurity incidents or disruptions may not be fully insured. See “Item 1A. Risk Factors” for a discussion of cybersecurity risks.	2023年中、過去のサイバーセキュリティ・インシデントの結果も含め、当社の事業戦略、経営成績または財政状態に重大な影響を及ぼす、または及ぼす可能性が合理的に高い、特定されたサイバーセキュリティ・リスクまたは脅威はなかった。当社はサイバーセキュリティ保険に加入しているが、サイバーセキュリティインシデントや混乱に関連する費用は完全に保険で賄えない可能性がある。項目1A. リスク要因」を参照のこと。
Governance	ガバナンス
The Information Security Director, who reports to the CIO, is responsible for establishing basic policies and procedures related to cybersecurity.The Information Security Director is also responsible for selecting the CIRT and the CIC to lead the response to each incident. Established policies and procedures are employed by the CIRT in planning and executing a response to a cybersecurity incident. The CIO and the Information Security Director have over 55 combined years of information technology and program management experience and have served over 31 combined years in the Company’s corporate information security organization. They are familiar with the Company’s cybersecurity landscape, risks and best practices for mitigation of those risks identified.	情報セキュリティ・ディレクターはCIOの直属であり、サイバーセキュリティに関する基本的な方針と手順を確立する責任を負っている。情報セキュリティ・ディレクターはまた、各インシデントへの対応を主導するCIRTとCICを選定する責任も負っている。確立されたポリシーと手順は、CIRT がサイバーセキュリティインシデントへの対応計画を立案し、実行する際に採用される。CIOと情報セキュリティ・ディレクターは、合わせて55年以上の情報技術およびプログラム管理の経験を有し、当社の情報セキュリティ組織で合わせて31年以上勤務している。彼らは当社のサイバーセキュリティの状況、リスク、特定されたリスクを低減するためのベストプラクティスに精通している。
The Company has developed a matrix to assist in determining if a cybersecurity incident is significant. The Information Security Director, with the help of the CIRT, determines whether an incident should be escalated to executive management, including to the Chief Executive Officer, the Chief Financial Officer and the General Counsel, based on its significance. Once escalated, executive management determines the appropriate incident handling strategy, with input from the Information Security Director, including whether the incident warrants immediate notification to the Audit Committee of the Board of Directors. After determining the incident handling approach, the CIC regularly updates executive management on incident response progress to ensure it is aware of the business risks posed by the incident until the incident is resolved.	当社は、サイバーセキュリティインシデントが重大かどうかを判断するためのマトリクスを開発した。情報セキュリティ・ディレクターは、CIRT の助けを借りて、インシデントがその重要性に基づいて、最高経営責任者、最高財務責任者、法律顧問を含む経営幹部にエスカレーションされるべきかどうかを決定する。一旦エスカレーションされると、経営幹部は、インシデントが取締役会の監査委員会に直ちに通知する必要があるかどうかを含め、情報セキュリティ・ディレクターの意見を取り入れながら、適切なインシデント・ハンドリング戦略を決定する。インシデントハンドリングのアプローチを決定した後、CICは定期的にインシデント対応の進捗状況を経営陣に報告し、インシデントが解決されるまで、インシデントがもたらすビジネスリスクを経営陣が認識できるようにする。
The Board of Directors delegates oversight of information technology and cybersecurity to the Audit Committee of the Board of Directors. As part of this oversight, information technology leadership annually provides a detailed cybersecurity update to the Audit Committee. Additionally, on a quarterly basis, the Audit Committee receives a summarized cybersecurity update, including the results of teammate phishing testing programs and the results of the quarterly cybersecurity disclosure questionnaires. In the event of a material cybersecurity incident, the Audit Committee will report such incident to the full Board of Directors.	取締役会は、情報テクノロジーとサイバーセキュリティの監督を取締役会監査委員会に委任している。この監視の一環として、情報技術指導部は毎年、監査委員会にサイバーセキュリティに関する詳細な最新情報を提供している。さらに四半期ごとに、監査委員会はチームメイトのフィッシング・テスト・プログラムの結果や四半期ごとのサイバーセキュリティ開示アンケートの結果など、サイバーセキュリティに関する最新情報の要約を受け取る。重要なサイバーセキュリティインシデントが発生した場合、監査委員会は当該インシデントを取締役会に報告する。

McDonalds Corp.

・2024.02.22 10-K (Annual report)

CYBERSECURITY	サイバーセキュリティ
Governance	ガバナンス
Management has primary responsibility for enterprise-wide risk management (“ERM”), including cybersecurity risk, within our Company, as detailed below. Our Board of Directors is responsible for overseeing our ERM framework and exercises this oversight both as a full Board and through its standing committees. Our Board’s Public Policy & Strategy Committee (“PPS Committee”) has oversight responsibility for our strategy and processes relating to cybersecurity risk management. Our PPS Committee receives updates at regular intervals on cybersecurity matters from management, including our Global Chief Information Officer (“CIO”) and Chief Information Security Officer (“CISO”) who, as discussed below, are responsible for assessing and managing material cybersecurity risks. Such updates include a discussion of the status of our cybersecurity landscape and our cybersecurity strategies, including potential risks and mitigation efforts. If a cybersecurity incident meets our established internal escalation threshold, accelerated reporting of the incident is provided to the applicable members of the Board. The PPS Committee also considers potential remedies to any strategic or process gaps that may be identified during the Company’s review of specific cybersecurity incidents.	経営陣は、以下に詳述するとおり、サイバーセキュリティ・リスクを含むエンタープライズ全体のリスクマネジメント（以下「ERM」という。当社の取締役会は、当社のERMフレームワークを監督する責任を負っており、取締役会全体として、また常任委員会を通じてこの監督を行う。当社取締役会の公共政策・戦略委員会（「PPS委員会」）は、サイバーセキュリティ・リスクマネジメントに関する当社の戦略とプロセスに対する監督責任を有する。当社のPPS委員会は、後述するように、重要なサイバーセキュリティリスクのアセスメントとマネジメントに責任を負う当社のグローバル最高情報責任者（CIO）および最高情報セキュリティ責任者（CISO）を含む経営陣から、サイバーセキュリティに関する最新情報を定期的に受け取っている。このような更新には、当社のサイバーセキュリティの状況、および潜在的リスクと低減努力を含む当社のサイバーセキュリティ戦略に関する議論が含まれる。サイバーセキュリティインシデントが社内で確立されたエスカレーション閾値を満たした場合、インシデントの迅速な報告が該当する取締役会メンバーに提供される。PPS委員会はまた、特定のサイバーセキュリティ・インシデントのレビュー中に特定される可能性のある戦略上またはプロセス上のギャップに対する潜在的な改善策を検討する。
Our Board of Directors recognizes the importance to the Company of effectively identifying, assessing and managing risks that could have a significant impact on our business strategy. The ERM framework leverages internal risk committees comprised of cross-functional leadership who meet regularly to evaluate and prioritize risks, including cybersecurity risk, in the context of our strategy, with further escalation to our CEO, Board and/or Committees, as appropriate. Effective management of cybersecurity risks is critical to the successful execution of our business strategy.	当社の取締役会は、当社の事業戦略に重大な影響を及ぼしうるリスクを効果的に特定、アセスメント、マネジメントすることが当社にとって重要であることを認識している。ERMの枠組みは、サイバーセキュリティ・リスクを含むリスクを当社の戦略に照らして評価し、優先順位を決定するために定期的に開催される、部門横断的なリーダーシップで構成される社内のリスク委員会を活用しており、必要に応じてCEO、取締役会、および/または委員会にさらにエスカレーションされる。サイバーセキュリティ・リスクを効果的にマネジメントすることは、当社の事業戦略を成功裏に遂行するために不可欠である。
Risk Management and Strategy	リスクマネジメント戦略と戦略
Our CIO and CISO are responsible for assessing and implementing our cybersecurity risk management programs, which are informed by the National Institute of Standards and Technology (NIST) Cybersecurity Framework. These leaders and their teams have significant relevant experience in various fields, such as incident response, application security, data protection, network security and identity and access management, and have implemented and executed security programs across multiple industries at Fortune 100 companies. Our programs are designed to create a comprehensive, cross-functional approach to identify and mitigate cybersecurity risks as well as to prevent cybersecurity incidents in an effort to support business continuity and achieve operational resiliency.	当社のCIOとCISOは、国立標準技術研究所（NIST）のサイバーセキュリティ・フレームワークに準拠したサイバーセキュリティ・リスクマネジメント・プログラムのアセスメントと実施に責任を負っている。これらのリーダーとそのチームは、インシデント対応、アプリケーション・セキュリティ、データ保護、ネットワーク・セキュリティ、ID・アクセス管理など、さまざまな分野で関連する重要な経験を有しており、フォーチュン100社のさまざまな業界でセキュリティ・プログラムを実施・実行してきた。当社のプログラムは、サイバーセキュリティ・リスクを特定・軽減し、サイバーセキュリティ・インシデントを未然に防ぐための包括的かつ部門横断的なアプローチを構築することで、事業継続を支援し、業務レジリエンスを実現することを目的としている。
We leverage certain third-party providers and local technology support teams to help execute certain aspects of our cybersecurity risk management programs. We also engage third parties in assessments and testing of our policies, processes and standards that are designed to identify and remediate cybersecurity incidents. These efforts include a wide range of activities focused on evaluating the effectiveness of the program, including audits, modeling, tabletop exercises and vulnerability testing. We also periodically engage independent third parties to perform assessments and evaluations of certain aspects of our information security control environment and operation of our program. Further, we have various processes and programs to manage cybersecurity risks associated with our use of third-party vendors and suppliers.	当社は、サイバーセキュリティ・リスク管理プログラムの特定の側面の実行を支援するために、特定のサードパーティ・プロバイダーと現地の技術サポート・チームを活用している。また、サイバーセキュリティ・インシデントの特定と是正を目的とした当社のポリシー、プロセス、標準のアセスメントとテストにサードパーティを関与させている。こうした取り組みには、監査、モデリング、机上演習、脆弱性テストなど、プログラムの有効性評価に焦点を当てた幅広い活動が含まれる。また、独立したサードパーティを定期的に雇い、当社の情報セキュリティ管理環境とプログラムの運用の特定の側面についてアセスメントと評価を行っている。さらに、サードパーティーのベンダーやサプライヤーの利用に関連するサイバーセキュリティ・リスクを管理するためのさまざまなプロセスやプログラムを用意している。
We provide regular, mandatory training for employees regarding cybersecurity threats to bring awareness on how they can help prevent and report potential cybersecurity incidents. In addition, key stakeholders involved with our cybersecurity risk management programs receive additional training and regularly participate in scenario-based training exercises to support the effective administration of our programs.	従業員に対しては、サイバーセキュリティの脅威に関する定期的な必須トレーニングを実施し、潜在的なサイバーセキュリティインシデントの予防と報告について従業員の意識向上を図っている。さらに、当社のサイバーセキュリティ・リスクマネジメント・プログラムに関与する主要な利害関係者は、追加的なトレーニングを受け、当社のプログラムの効果的な運営をサポートするために、シナリオベースのトレーニング演習に定期的に参加している。
We have established and regularly tested incident response processes and controls that identify and risk-rank incidents through a centralized system to promote timely escalation of cybersecurity incidents that exceed a particular level of risk, including escalation of incidents of sufficient magnitude or severity to our CIO and CISO. In evaluating cybersecurity incidents, management considers the potential impact to our results of operations, control framework, and financial condition, as well as the potential impact, if any, to our business strategy or reputation.	当社は、特定のリスクレベルを超えるサイバーセキュリティインシデントのタイムリーなエスカレーション（十分な規模または重大性のあるインシデントのCIOおよびCISOへのエスカレーションを含む）を促進するため、集中システムを通じてインシデントを特定し、リスクランク付けするインシデント対応プロセスおよびコントロールを確立し、定期的にテストしている。サイバーセキュリティインシデントを評価する際、経営陣は当社の経営成績、統制の枠組み、財務状況に与える潜在的な影響、および事業戦略や評判に与える潜在的な影響（もしあれば）を考慮する。
Cybersecurity threats, including as a result of our previous cybersecurity incidents, have not materially affected our results of operations or financial condition, including our business strategy, in 2023. For additional information on risks from cybersecurity threats, please see our Risk Factors beginning on page 28.	当社の過去のサイバーセキュリティ・インシデントの結果を含むサイバーセキュリティの脅威は、2023年において、当社の事業戦略を含む経営成績または財政状態に重大な影響を及ぼしていない。サイバーセキュリティの脅威によるリスクに関する追加情報については、28ページから始まる「リスク要因」を参照されたい。