SECのルールの改正によるサイバーセキュリティ開示 (20-F) 三井住友ファイナンシャル、ORIX、みずほファイナンシャル、野村、タケダ、ソニー、トヨタ、ホンダの場合 (MUFGも追加)
こんにちは、丸山満彦です。
2023.07.26にSECのルールが改正され、Cybersecurityについての開示が強化され、2023.12.15以後に終了する事業年度から、その開示が求められることになりましたが、それから半年以上がすぎ、Form20-Fに記載されている事例もたくさんありますので、ちょっと紹介...
20-FのItem 16K. Cybersecurityに
Risk Management and Strategyとして、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、
- そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
- そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
- 第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか
を記載することになります。
また、過去のサイバーセキュリティインシデントの結果を含むサイバーセキュリティの脅威から生じるリスクが、その企業の事業戦略、業績、財務状況を含め、重要な影響を与えたか、重要な影響を与える可能性が合理的に高いかどうか、どのように影響を与えた(または、与える可能性が合理的に高いか)を記載する必要があります。。。
そして、
Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。
取締役会としての監督については、
- サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
- そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス
経営者としての役割としては、
- 経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
- どの経営委員会又は役職が負うのか、
- その担当者や委員が有する関連する専門知識
- その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
- その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか
● SECURITIES AND EXCHANGE COMMISSION - EDGAR
開示内容...
・三井住友ファイナンシャル
・2024.06.27 20-F (Annual report - foreign issuer)
| Item 16K. Cybersecurity | 項目16K サイバーセキュリティ |
| The risk of cybersecurity threats is growing ever more serious as a result of the accelerated digitization of financial services and changes to the surrounding environment. We strengthen our security controls in order to achieve a society that is resilient to cybersecurity threats and provide more secure services to our customers. | 金融サービスのデジタル化の加速や取り巻く環境の変化に伴い、サイバーセキュリティの脅威のリスクはますます深刻化している。サイバーセキュリティの脅威に強い社会を実現し、お客さまにより安全なサービスを提供するため、セキュリティ管理を強化している。 |
| SMFG and some of our group companies have established a “Declaration of Cybersecurity Management.” This declaration indicates that we acknowledge cybersecurity as a key management issue, and expresses a commitment to enhancing the security posture not just within our organization, but across society as a whole. Under this declaration, we promote the strengthening of cybersecurity controls led by management in order to counter the increasing severity and sophistication of cyber threats. | SMFGおよび一部のグループ会社では、"サイバーセキュリティ経営宣言 "を制定している。この宣言は、サイバーセキュリティを重要な経営課題として認識し、組織内のみならず社会全体のセキュリティ態勢を強化していくことを表明するものである。この宣言のもと、深刻化・巧妙化するサイバー脅威に対抗するため、経営主導によるサイバーセキュリティ管理の強化を推進している。 |
| Risk Management and Strategy | リスクマネジメントと戦略 |
| We define cybersecurity threats as one of the top risks for our group. Under the concept of “three lines of defense,” we have integrated cybersecurity risk management, which assesses, identifies, and manages material risks from cybersecurity threats, into a company-wide framework and have established a structure with over 600 personnel. Cybersecurity risk management forms part of our cybersecurity operational plan, which is subject to approval by the Management Committee. | 私たちは、サイバーセキュリティの脅威を当社グループの最重要リスクのひとつと定義している。3つの防衛ライン」というコンセプトのもと、サイバーセキュリティの脅威による重大なリスクをアセスメントし、識別し、管理するサイバーセキュリティ・リスクマネジメントを全社的なフレームワークに統合し、600名を超える人員による体制を構築している。サイバーセキュリティ・リスクマネジメントは、当社のサイバーセキュリティ・オペレーション・プランの一部を構成し、マネジメント委員会の承認を得ている。 |
| We periodically engage third-party consultants to conduct maturity assessments based on global cybersecurity frameworks to test our cybersecurity controls. Using our threat intelligence function, we collect information such as the latest cybersecurity threats, vulnerabilities and geopolitical developments, and leverage them to detect and prevent those cybersecurity threats. To deter attacks exploiting vulnerabilities, we regularly conduct vulnerability assessments using various tools and also conduct threat-led penetration testing by entrusting external vendors to penetrate actual systems and evaluate vulnerabilities. | 定期的にサードパーティーのコンサルタントに依頼して、グローバルなサイバーセキュリティフレームワークに基づく成熟度アセスメントを実施し、当社のサイバーセキュリティ管理体制を検証してもらっている。脅威インテリジェンス機能により、最新のサイバーセキュリティ脅威、脆弱性、地政学的動向などの情報を収集し、それらを活用してサイバーセキュリティ脅威を検知・防止している。脆弱性を悪用した攻撃を抑止するため、各種ツールを用いた脆弱性アセスメントを定期的に実施するほか、外部ベンダーに実システムへの侵入を委託し、脆弱性を評価する脅威主導型のペネトレーションテストも実施している。 |
| We have designed a multilayered cyber defense system that includes detection and interception of suspicious communications from the outside, as well as operation and monitoring of various security programs and systems, to protect against various cyberattacks such as unauthorized access and mass access attacks. We have established a Security Operation Center (“SOC”) with a 24-hour, 365-day monitoring function and locate SOCs in various regions. Through coordination among SOCs in each region, we further strengthen security monitoring on a group-wide basis. | 外部からの不審な通信の検知・防御、各種セキュリティプログラムやシステムの運用・監視など、多層的なサイバー防御体制を構築し、不正アクセスや大量アクセス攻撃など、さまざまなサイバー攻撃から身を守っている。24時間365日の監視機能を持つセキュリティ・オペレーションセンター(SOC)を設置し、各地域にSOCを配置している。各地域のSOCが連携することで、グループ全体のセキュリティ監視をさらに強化している。 |
| In terms of preparedness for cyber incidents, we established a Computer Security Incident Response Team (“CSIRT”) to prepare for any incidents and have set up a response system. The CSIRT actively collects cyber information on attackers’ methods and vulnerabilities from both inside and outside of our organization and shares them with external organizations such as government authorities in relevant nations and the Financial Services Information Sharing and Analysis Center (“FS-ISAC”) or other relevant organizations as necessary. In addition, we regularly participate in attack simulation exercises conducted by outside experts or the authorities to further strengthen our cyberattack response and resilience. We have established risk management processes including in relation to third parties such as outsourced vendors, and regularly monitor the actual situation. | サイバーインシデントへの備えとしては、インシデントに備えてコンピュータ・セキュリティ・インシデント対応チーム(以下、CSIRT)を設置し、対応体制を整えている。CSIRTは、攻撃者の手口や脆弱性に関するサイバー情報を社内外から積極的に収集し、必要に応じて関連国の政府当局や金融サービス情報共有・分析センター(FS-ISAC)等の外部組織と共有している。さらに、外部の専門家や当局が実施する攻撃シミュレーション演習に定期的に参加し、サイバー攻撃への対応とレジリエンスをさらに強化している。外部委託先などのサードパーティとの関係も含め、リスクマネジメントプロセスを確立し、定期的に実態をモニタリングしている。 |
| For the fiscal year ended March 31, 2024, there were no cybersecurity incidents that had a material impact on our results of operations or financial condition. | 2024年3月期において、当社の経営成績および財政状態に重要な影響を及ぼすサイバーセキュリティインシデントは発生していない。 |
| Governance | ガバナンス |
| The Management Committee regularly discusses cybersecurity risk management in order to further strengthen our security posture based on our cybersecurity operational plan. | 経営委員会では、サイバーセキュリティ運用計画に基づき、当社のセキュリティ態勢をさらに強化するため、サイバーセキュリティリスクマネジメントについて定期的に議論している。 |
| In order to clarify the roles and responsibilities for promoting the effectiveness of security controls, the position of Group Chief Information Security Officer (“CISO”) has been assigned under the Group Chief Information Officer (“CIO”) and the Group Chief Risk Officer (“CRO”). The Group CISO is responsible for supervision and direction of controls to manage cybersecurity threats on a group-wide basis. The current Group CISO has been working in the systems sector for many years and has extensive experience in cybersecurity, technology risk management and information security. Group Vice CISOs and regional CISOs are stationed under the Group CISO to help secure cybersecurity controls. | セキュリティ管理の有効性を推進するための役割と責任を明確にするため、グループ最高情報責任者(CIO)およびグループ最高リスク責任者(CRO)の下に、グループ最高情報セキュリティ責任者(CISO)の役職を配置している。グループCISOは、サイバーセキュリティの脅威をグループ全体で管理するための統制の監督と指導に責任を負う。現在のグループCISOは、システム部門に長年勤務しており、サイバーセキュリティ、技術リスクマネジメント、情報セキュリティの分野で豊富な経験を有している。グループCISOの下には、グループ副CISOおよび地域CISOが配置され、サイバーセキュリティ統制の確保を支援している。 |
| Our directors, in their capacities serving on the full board of directors as well as on the risk committee and audit committee, obtain information and oversee the status of the cybersecurity risk management. Based on reports from the Group CIO regarding the status of cybersecurity risk management, the board supervises the cybersecurity operational plan and its implementation on risk management related to systems, including cybersecurity. The risk committee oversees the implementation of the cybersecurity operational plan on comprehensive risk management, which includes cybersecurity risk, based on regular reports from the Group CRO. The audit committee supervises the implementation status based on regular reports from the Group CISO on the status of cybersecurity controls. Additionally, members of our board of directors periodically receive reports on cybersecurity information including external threat trends and our cybersecurity control measures from the Group CISO. | 当社の取締役は、取締役会全体ならびにリスク委員会および監査委員会の委員として、サイバーセキュリティ・リスクマネジメントに関する情報を入手し、その状況を監督している。取締役会は、グループCIOからのサイバーセキュリティリスクマネジメントの実施状況に関する報告に基づき、サイバーセキュリティを含むシステムに関するリスクマネジメントについて、サイバーセキュリティ運用計画およびその実施状況を監督している。リスク委員会は、グループCROからの定期的な報告に基づき、サイバーセキュリティ・リスクを含む包括的なリスクマネジメントに関するサイバーセキュリティ運用計画の実施状況を監督する。監査委員会は、グループCISOからのサイバーセキュリティ管理状況に関する定期的な報告に基づき、実施状況を監督する。さらに、取締役会のメンバーは、グループCISOから外部脅威の動向や当社のサイバーセキュリティ管理策を含むサイバーセキュリティ情報に関する報告を定期的に受けている。 |
・ORIX
・2024.06.27 20-F (Annual report - foreign issuer)
| Item 16K.Cybersecurity | 項目16K.サイバーセキュリティ |
| (1) Risk management and strategy | (1) リスクマネジメンと戦略 |
| Our Information Security Control Department reports to and manages cyber and information security risks to the Information Technology Management Committee. | 当社の情報セキュリティ管理部は、サイバーセキュリティおよび情報セキュリティリスクを情報技術マネジメント委員会に報告し、管理している。 |
| Our Information Security Control Department has established a cyber and information security awareness training program for our consolidated group companies. All employees of our consolidated group companies, including investee companies, and employees of outsourcing companies with access to our network are required to take online training at least once a year. These educational programs also include phishing e-mails simulations, which are conducted several times a year on an irregular basis. We also provide training through escalation and response simulations in the event of a cyber or information security incident. | 当社の情報セキュリティ管理部は、当社連結グループ会社に対してサイバーセキュリティおよび情報セキュリティに関する意識向上およびトレーニングプログラムを策定している。投資先企業を含む連結グループ会社の全従業員、および当社のネットワークにアクセスできる業務委託先企業の従業員は、少なくとも年1回のオンライン研修の受講を義務付けられている。これらの教育プログラムには、フィッシングメールのシミュレーションも含まれており、年に数回、不定期に実施している。また、サイバーインシデントや情報セキュリティインシデントが発生した場合のエスカレーションや対応シミュレーションを通じた教育も行っている。 |
| Each of our consolidated group companies is assigned an Information Security Accountable Owner, and cyber and information security knowledge and the Group’s security policies are shared with the companies on a quarterly basis to raise readiness levels across the ORIX Group. | また、連結グループ各社に情報セキュリティ責任者を配置し、四半期ごとにサイバーセキュリティや情報セキュリティに関する知識やオリックスグループのセキュリティポリシーを共有することで、オリックスグループ全体のレベルアップを図っている。 |
| In order to control cyber and information security risks we face through our interactions with and reliance on third parties, such as through our outsourcing activities and use of cloud services, we conduct regular security assessments of business partners and outsourcing vendors. In addition, we have a framework in place for the Information Security Control Department to evaluate the security risks of information systems and cloud services provided by business partners and outsourcing vendors. | アウトソーシング活動やクラウドサービスの利用など、サードパーティとの交流や依存を通じて直面するサイバーセキュリティおよび情報セキュリティリスクをコントロールするため、ビジネスパートナーやアウトソーシングベンダーのセキュリティアセスメントを定期的に実施している。さらに、情報セキュリティ管理部が、ビジネスパートナーやアウトソーシングベンダーが提供する情報システムやクラウドサービスのセキュリティリスクを評価するための枠組みを用意している。 |
| The Information Security Control Department is responsible for assessing and managing our cyber and information security risks and where necessary, engages third-party consultants for advice regarding specific areas where enhanced controls or in-depth analysis is required. | 情報セキュリティ管理部は、当社のサイバーリスクおよび情報セキュリティリスクのアセスメントとマネジメントを担当し、必要に応じて、管理の強化や詳細な分析が必要な特定の分野に関して、サードパーティに助言を依頼している。 |
| The ORIX Group has also established a framework to respond to cyber and information security incidents and to mitigate the risk of security breaches, system failures and information leaks, including cyber attacks and damage to information security systems. A system has been established to assess the impact on operations and the likelihood of secondary damage in the event of a cyber and information security incident caused by cyber attacks. The Information Security Control Department analyzes and investigates the incident and also works with the legal department and compliance department to minimize the impact of the incident and prevent secondary damage. Any serious incidents are reported to the Executive Officer in charge of the Information Security Control Department and appropriate action is taken under his/her direction. The current Executive Officer in charge of information security at ORIX has extensive knowledge of information technology and security, cultivated through his experience with system development, project management and security management in over two decades at various international companies prior to joining ORIX Corporation, including over a decade of experience in the financial business sector. | また、オリックスグループは、サイバー攻撃や情報セキュリティシステムの破損などのセキュリティ侵害やシステム障害、情報漏えいなどのリスク低減のため、サイバーセキュリティおよび情報セキュリティインシデントへの対応体制を整備している。サイバー攻撃によるサイバー・インシデントや情報セキュリティ・インシデントが発生した場合、業務への影響や二次被害の可能性をアセスメントする体制を構築している。情報セキュリティ統括部は、インシデントの分析・調査を行うとともに、法務部門やコンプライアンス部門と連携し、インシデントによる影響を最小限に抑え、二次被害を防止する。重大なインシデントが発生した場合は、情報セキュリティ統括部担当執行役員に報告され、その指示のもと適切な処置がとられる。現執行役員(情報セキュリティ担当)は、オリックス(株)入社以前20年以上にわたり、さまざまな外資系企業でシステム開発、プロジェクトマネジメント、セキュリティマネジメントに携わり、その中で培った情報技術やセキュリティに関する豊富な知見を有している。 |
| In the current fiscal year, we did not identify any cyber or information security incidents that have materially affected or are reasonably likely to materially affect our business activities, results of operations or financial condition. | 当連結会計年度において、当社の事業活動、経営成績および財政状態に重要な影響を及ぼした、または及ぼすおそれがあると合理的に判断されるサイバーまたはインシデントは確認されていない。 |
| (2) Governance | (2)ガバナンス |
| The ORIX Group has established internal rules governing the structure, basic policies, management standards for information security, education, and audits in accordance with global standards for information security controls such as ISO and NIST. | オリックスグループは、ISOやNISTなどの情報セキュリティ管理に関するグローバルスタンダードに準拠した体制、基本方針、情報セキュリティに関する管理標準、教育、監査などを定めた社内規程を制定している。 |
| The Information Security Management Rules stipulate that strategies and policies regarding cyber and information security and its response policies for cyber and information security incidents, are to be discussed and determined at the Information Technology Committee, consisting of the Group CEO, CFO and other members. In addition, the response status of any cyber or information security incident is reported to the Audit Committee by the Executive Officer in charge of the Information Security Control Department to ensure appropriate information sharing. | 情報セキュリティ管理規程」では、サイバーセキュリティおよび情報セキュリティに関する戦略・方針、ならびにサイバーセキュリティおよび情報セキュリティインシデントへの対応方針について、グループCEO、CFOなどで構成される「情報技術委員会」で審議・決定することを定めている。また、サイバー・セキュリティ、情報セキュリティインシデント発生時の対応状況は、情報セキュリティ統括部担当執行役員から監査委員会に報告され、適切な情報共有が図られている。 |
| We have a system in place to determine the seriousness of cyber or information security incidents, report to the Disclosure Committee in a timely manner, as well as to disclose information on cyber security risks, strategies, and governance on a regular basis, in addition to the status of incident management. In addition to the management of incidents, we have also established a system that enables regular disclosure of cyber security risks, strategies, and governance. | サイバーセキュリティまたは情報セキュリティインシデントの重大性を判断し、適時開示委員会に報告するとともに、インシデントマネジメントの状況に加え、サイバーセキュリティリスク、戦略、ガバナンスに関する情報を定期的に開示する体制を整備している。インシデントマネジメントに加え、サイバーセキュリティのリスク、戦略、ガバナンスについても定期的に開示できる体制を構築している。 |
| We have also established company-wide security requirements with which all consolidated group companies must comply, such as keeping systems up to date through vulnerability management program and technical measures for network defense. We have also established internal rules for security log management that take into account physical and logical boundaries with external networks as well as information breaches caused by internal fraud. | また、脆弱性管理プログラムによるシステムの最新状態の維持や、ネットワーク防御のための技術的対策など、連結グループ各社が遵守すべき全社的なセキュリティ要件を定めている。また、外部ネットワークとの物理的・論理的な境界や、内部不正による情報漏えいを考慮したセキュリティログ管理に関する社内ルールを制定している。 |
・みずほファイナンシャル
・2024.06.26 20-F (Annual report - foreign issuer)
| ITEM 16K. Cybersecurity | 項目16K サイバーセキュリティ |
| Cybersecurity Strategy | サイバーセキュリティ戦略 |
| Many of our systems are connected to our domestic and overseas locations, and the systems of our customers and various payment institutions, through a global network. In light of the growing sophistication and scope of cyber-attacks, we recognize cybersecurity as an important management issue and continuously promote cybersecurity measures under management leadership. | 当行のシステムの多くは、グローバルなネットワークを通じて、国内外の拠点、顧客や各種決済機構のシステムに接続されている。サイバー攻撃の高度化・大規模化を踏まえ、サイバーセキュリティを重要な経営課題と認識し、経営陣主導のもと、継続的にサイバーセキュリティ対策を推進している。 |
| We define cybersecurity risk as the risk that the group may incur tangible or intangible losses due to cybersecurity-related problems that occur at the group and/or at its clients, along with organizations, etc., that have a business relationship with the group, such as outside vendors and goods/services suppliers and view it as one of our top risks. Accordingly, we have established a system to centrally manage cybersecurity risk through the Risk Appetite Framework and the Comprehensive Risk Management Framework. | サイバーセキュリティリスクとは、当社グループおよび取引先、ならびに外部業者や商品・サービスの仕入先など、当社グループと取引関係のある組織等で発生するサイバーセキュリティ上の問題により、当社グループが有形・無形の損失を被るリスクと定義し、当社グループの最重要リスクの一つとして捉えている。そのため、「リスクアペタイトフレームワーク」や「包括的リスクマネジメントフレームワーク」を通じて、サイバーセキュリティリスクを一元的に管理する体制を構築している。 |
| Governance System | ガバナンス体制 |
| At Mizuho Financial Group, the Board of Directors deliberates and resolves fundamental issues related to cybersecurity risk management. The Board of Directors receives reports from the Group Chief Information Security Officer (“CISO”) *1 on cybersecurity risks that may have an impact on management policies and strategies, annual business plans, medium- to long-term business plans, etc., other cybersecurity risks that the Board of Directors should be aware of from a medium- to long-term perspective, and important matters such as the status of risk control. | みずほフィナンシャルグループでは、取締役会において、サイバーセキュリティリスクマネジメントに関する基本的事項を審議・決議している。取締役会は、グループ最高情報セキュリティ責任者(CISO)※1より、経営方針・戦略、年度事業計画、中長期事業計画等に影響を及ぼす可能性のあるサイバーセキュリティリスク、その他取締役会が中長期的な観点から認識すべきサイバーセキュリティリスク、リスクコントロールの状況等の重要事項について報告を受ける。 |
| The Risk Committee and the IT/Digital Transformation Committee *2, both of which are advisory bodies to the Board of Directors, each receive reports from the Group CRO on the status of comprehensive risk management and from the Group CISO on basic matters related to cybersecurity risk management, evaluate conformity with our basic management policies and the appropriateness of our cyber initiatives, and present recommendations or opinions to the Board of Directors. In addition, the independent third line in the three lines of defense *3 conducts audits on the initiatives of the first and second lines, and reports the results to the Operational Audit Committee, etc. | 取締役会の諮問機関であるリスク委員会およびIT・デジタルトランスフォーメーション委員会※2は、それぞれグループCROから総合的なリスクマネジメントの状況について、グループCISOからサイバーセキュリティリスクマネジメントに関する基本的事項についての報告を受け、経営基本方針への適合性およびサイバー施策の適切性を評価し、取締役会に提言または意見を述べる。また、3つの防衛ライン※3のうち独立した第3のラインは、第1および第2のラインの取り組みについて監査を実施し、その結果を業務監査委員会等に報告している。 |
| Under such supervision by the Board of Directors, the President and Chief Executive Officer oversees the cybersecurity risk management of Mizuho Financial Group, and the Group CISO, in accordance with the instructions of the Group CIO and the Group CRO, establishes measures for risk management through autonomous control activities by the first line, and monitoring, measurement, and evaluation by the second line of such autonomous control activities by the first line and give instructions to prevent cybersecurity risks that may arise from fraud or outsourcing, and to respond appropriately to cyber incidents. | このような取締役会の監督のもと、代表執行役社長がみずほフィナンシャルグループのサイバーセキュリティリスクマネジメントを統括し、グループCIOおよびグループCROの指示に従い、グループCISOが、ファーストラインによる自律的な統制活動、およびファーストラインによる自律的な統制活動に対するセカンドラインによる監視・計測・評価を通じて、リスクマネジメントの方策を策定し、不正や外部委託に起因するサイバーセキュリティリスクの未然防止やサイバーインシデントへの適切な対応を指示する。 |
| The Group CISO has been engaged in the IT and systems industry for more than 30 years and, with extensive knowledge and experience, is responsible for the planning and operation of cybersecurity risk management. | グループCISOは、IT・システム業界に30年以上従事し、豊富な知識と経験を有しており、サイバーセキュリティリスクマネジメントの企画・運営を担っている。 |
| Based on the instructions of the Group CISO, the Cybersecurity Management Department identifies possible cybersecurity risks to our business and systems, evaluates our preparedness, assesses risks identified by analyzing the location and magnitude of cybersecurity risks, and then reviews and formulates additional measures to strengthen risk control, such as preventive measures and reactive responses, and strengthens risk control and governance through reflection in business plans. | サイバーセキュリティマネジメント部は、グループCISOの指示に基づき、当社の事業やシステムに起こりうるサイバーセキュリティリスクの洗い出し、備えの評価、サイバーセキュリティリスクの所在や大きさの分析により洗い出したリスクのアセスメントを行い、予防策や事後対応などリスクコントロール強化のための追加施策の検討・策定、事業計画への反映によるリスクコントロールやガバナンスの強化を図っている。 |
| The Cybersecurity Management Department reports to the Group CISO on the status of cybersecurity risk management, and the Group CISO reports, and if applicable, submits proposals for deliberation, to the Management Committee via the IT Strategy Promotion Committee and to the Board of Directors, each on the status of our cybersecurity measures, etc., with the aim of developing and strengthening a system for ensuring cybersecurity. | サイバーセキュリティマネジメント部は、サイバーセキュリティリスクの管理状況をグループCISOに報告し、グループCISOは、当社のサイバーセキュリティ対策の状況等について、IT戦略推進委員会を経由してマネジメント委員会に報告し、場合によっては取締役会に付議するなど、サイバーセキュリティを確保するための体制の整備・強化を図っている。 |
| We have appointed a person in charge of cybersecurity and have established a communication system at group companies, to monitor the status of our cybersecurity measures and to quickly gather information when an incident occurs. | サイバーセキュリティ担当者を設置し、グループ各社におけるコミュニケーション体制を確立することで、サイバーセキュリティ対策状況の把握やインシデント発生時の迅速な情報収集に努めている。 |
| Initiatives for Cybersecurity Measures | サイバーセキュリティ対策への取り組み |
| Based on the cybersecurity risks identified and assessed by the Cybersecurity Management Department, Mizuho Financial Group promotes cybersecurity risk management measures across the group, globally and in our supply chains. Specifically, the Mizuho-Cyber Incident Response Team *4 and other highly qualified professionals are deployed, and a 24-hour, 365-day a year monitoring system is in place using an integrated Security Operation Center *5, etc., while making full use of intelligence and advanced technologies in cooperation with external specialized agencies. | みずほフィナンシャルグループでは、サイバーセキュリティマネジメント部が抽出・評価したサイバーセキュリティリスクに基づき、グループ全体、グローバル、サプライチェーンにおけるサイバーセキュリティリスクマネジメントを推進している。具体的には、「みずほ・サイバーインシデント対応チーム※4」をはじめとする優秀な専門家の配置、統合セキュリティ・オペレーションセンター※5等による24時間365日の監視体制を整備するとともに、外部専門機関と連携し、インテリジェンスや先端技術を駆使している。 |
| Our systems have a virus analysis and a multi-layered defense mechanism, and we are working to strengthen our resilience by implementing Threat-Led Penetration Testing *6 to test the effectiveness of these technical measures and the effectiveness of the response process. | システム面では、ウイルス分析や多層防御の仕組みを導入しており、これらの技術的防御策の有効性や対応プロセスの有効性を検証する「脅威主導型ペネトレーションテスト※6」を実施するなど、レジリエンスの強化に努めている。 |
| We are also focusing on human resources development, such as conducting study groups for directors including outside directors, cybersecurity training for each executive layer, and phishing email training for all executives and employees at least once every six months. | また、社外取締役を含む取締役を対象とした勉強会、各役員層を対象としたサイバーセキュリティ研修、全役職員を対象としたフィッシングメール研修を半年に1回以上実施するなど、人材育成にも注力している。 |
| We confirm in advance and on a regular basis the security management preparedness, including responses in the event of a cyber-incident, of third parties such as cloud service providers that provide outsourcing and cloud services. When we receive reports of cyber-incidents from third parties, in addition to identifying and analyzing the impact on the group, we also strive to respond appropriately to risks when there is concern about the impact on the group. | アウトソーシングやクラウドサービスを提供するクラウドサービス・プロバイダなどのサードパーティに対して、サイバーインシデント発生時の対応を含めたマネージド・セキュリティ・プロバイダーとしての心構えを事前かつ定期的に確認している。また、サードパーティからサイバーインシデントの報告を受けた際には、当社グループへの影響を識別・分析するとともに、当社グループへの影響が懸念されるリスクについては、適切な対応に努めている。 |
| In order to evaluate the maturity of these cybersecurity measures, we refer to third party assessment by the Cybersecurity Assessment Tool of the Federal Financial Institutions Examination Council and the Cybersecurity Framework of the National Institute of Standards and Technology. | これらのサイバーセキュリティ対策の成熟度を評価するために、連邦金融機関審査委員会のサイバーセキュリティアセスメントツールや国立標準技術研究所のサイバーセキュリティフレームワークによる第三者評価を参考にしている。 |
| Impact and Response When a Cyber-Incident Occurs | サイバーインシデント発生時の影響と対応 |
| As a result of our enhanced cybersecurity measures, we are not aware of any past cyber-attacks that could have had a significant impact on investor decisions or could have materially affected our business operations, results of operations and financial condition. However, in the event of a cyber-attack due to a failure to strengthen cybersecurity measures, leaks or falsification of electronic data, suspension of business operations, information leaks, and unauthorized remittances may occur and cause inconvenience and disadvantage to our customers. In addition, our business operations, results of operations and financial condition may be materially affected by compensation for damages, administrative actions and damage to reputation. | 当社のサイバーセキュリティ対策強化の結果、投資家の意思決定に重大な影響を与えたり、当社の事業運営、経営成績および財政状態に重大な影響を与えた可能性のあるサイバー攻撃を過去に認識したことはない。しかしながら、サイバーセキュリティ対策の不徹底によるサイバー攻撃等が発生した場合、電子データの漏洩・改ざん、業務の停止、情報漏洩、不正送金等が発生し、お客さまにご迷惑・ご不便をおかけする可能性がある。また、損害賠償、行政処分、信用毀損等により、当社の事業運営、経営成績及び財政状態に重大な影響を及ぼす可能性がある。 |
| In the unlikely event that a cyber-incident is detected, or if it is determined on firm grounds that the likelihood of a cyber-incident occurring is very high, the Cybersecurity Management Department will report the cyber-incident to the Group CISO. The Group CISO reports to the Management Committee and the Board of Directors when particularly important incidents occur or are likely to occur. | 万が一、サイバーインシデントが検知された場合、またはサイバーインシデントが発生する可能性が極めて高いと確たる根拠に基づいて判断された場合、サイバーセキュリティ管理部はグループCISOに報告する。グループCISOは、特に重要なインシデントが発生した場合、または発生する可能性が高い場合には、経営会議および取締役会に報告する。 |
| Based on the instructions from the Group CISO, the Cybersecurity Management Department monitors the cause of the incident (including incidents for which the likelihood of occurrence is determined on firm grounds to be very high), the nature and extent of the damage or expected damage, supports the formulation of effective containment, eradication, and recovery measures, analyzes attack methods or expected attack methods based on cyber-incident information, and conducts incident response. | サイバーセキュリティ統括部は、グループCISOの指示に基づき、インシデント(発生可能性が極めて高いと確たる根拠に基づいて判断されるものを含む)の発生原因、被害内容・程度、効果的な封じ込め・根絶・復旧策の策定支援、サイバーインシデント情報に基づく攻撃手法・予想される攻撃手法の分析、インシデント対応を行う。 |
| Even after incident recovery, the Cybersecurity Management Department monitors changes that could lead to cyber-incidents in the group and promptly reports to the Group CISO when a breach of the threshold is identified. In addition, the Cybersecurity Management Department analyzes and evaluates the status of causes and risks, and implements necessary measures after consulting with the Group CISO on the response policy. | インシデント復旧後も、サイバーセキュリティ統括部は、グループ内のサイバーインシデントにつながる可能性のある変化を監視し、閾値突破が確認された場合には、速やかにグループCISOに報告する。また、サイバーセキュリティマネジメント部は、原因やリスクの状況を分析・評価し、グループCISOと対応方針を協議の上、必要な対策を実施している。 |
| *1 Chief Information Security Officer | *1 最高情報セキュリティ責任者 |
| *2 IT/Digital Transformation Committee (as described in “Item6.C. Board Practices”) | *IT/Digital Transformation委員会(「項目6.C. 取締役会の実務」に記載) |
| *3 Three lines of defense (concept for defining and classifying organizational functions and responsibilities in risk management and compliance) | *3 スリー・ライン・オブ・ディフェンス(リスクマネジメントとコンプライアンスにおける組織の機能と責任を定義・分類する考え方) |
| *4 Cyber Incident Response Team (incident response teams within the Cybersecurity Management Department that specialize in information security issues within the organization) | *4 サイバーインシデント対応チーム(サイバーセキュリティ管理部内に設置された、組織内の情報セキュリティ問題に特化したインシデント対応チーム) |
| *5 Security Operation Center (a specialized team within the Cybersecurity Management Department that monitors and analyzes threats to information systems in organizations such as enterprises) | *5 セキュリティ・オペレーション・センター(エンタープライズなど組織内の情報システムに対する脅威を監視・分析するサイバーセキュリティ管理部内の専門チーム) |
| *6 Threat-Led Penetration Testing (evaluation of systems and response processes by analyzing targeted threats and conducting attacks that mimic actual attacks) | *6 Threat-Led Penetration Testing(標的型脅威を分析し、実際の攻撃を模倣した攻撃を実施することで、システムや対応プロセスを評価する。) |
・野村ホールディングス
・2024.06.26 20-F (Annual report - foreign issuer)
| Item 16K.Cybersecurity | 項目16K.サイバーセキュリティ |
| Risk Management and Strategy | リスクマネジメント戦略 |
| Nomura maintains a comprehensive cybersecurity strategy. Identifying, assessing and managing cybersecurity threats and risks are an integral component of Nomura’s Operational Risk Management (ORM) Framework. See Item 11. “Quantitative and Qualitative Disclosures about Market, Credit and Other Risk—Operational Risk Management Framework” for further information on the framework. | 野村は包括的なサイバーセキュリティ戦略を維持している。サイバーセキュリティの脅威およびリスクの特定、アセスメント、管理は、野村のオペレーショナル・リスク・マネジメント(ORM)フレームワークの不可欠な要素である。項目11. 「市場リスク、信用リスクおよびその他のリスクに関する定量的・定性的開示-オペレーショナル・リスク・マネジメントの枠組み」を参照のこと。 |
| Nomura has invested and is continuing to invest in its cybersecurity strategy to address fast-evolving and sophisticated cybersecurity threats while at the same time complying with extensive global, legal and regulatory expectations. Our cybersecurity programs are designed to be in line with industry best practice standards and include core capabilities such as Security Governance, Security Awareness and Training, Threat Intelligence & Management, Security Operations Management, Vulnerability Management, Application Security, Data Security, and Identity and Access Management. | 野村は、急速に進化する高度なサイバーセキュリティの脅威に対処すると同時に、グローバルで広範な法律や規制の期待に応えるため、サイバーセキュリティ戦略に投資しており、現在も投資を継続している。野村のサイバーセキュリティ・プログラムは、業界のベストプラクティスの標準に沿うように設計されており、セキュリティ・ガバナンス、セキュリティ意識向上およびトレーニング、脅威インテリジェンスおよび管理、セキュリティ・オペレーション・マネジメント、脆弱性管理、アプリケーション・セキュリティ、データ・セキュリティ、アイデンティティおよびアクセス・マネジメントなどの中核的な機能を備えている。 |
| Nomura is regularly engaging various external service providers to perform independent assessments of our cybersecurity programs and controls. The results from these independent engagements are integrated into updates to our cybersecurity strategy as appropriate. We also conduct our own regular internal security assessments, such as penetration testing, vulnerability scanning, red teaming, and tabletop cyber attack simulations. | 野村は、さまざまな外部サービス・プロバイダと定期的に契約し、サイバーセキュリティ・プログラムと統制の第三者評価を行っている。これらの第三者評価の結果は、適宜サイバーセキュリティ戦略の更新に反映される。また、侵入テスト、脆弱性スキャン、レッドチーム、机上でのサイバー攻撃シミュレーションなどの内部セキュリティ・アセスメントも定期的に実施している。 |
| Nomura has developed a Third-Party Security Risk Management program that monitors and assesses the cybersecurity controls of our third-party vendors, which include, among others, service providers, SaaS providers, contractors, consultants, suppliers, etc. This program provides a consistent, controlled, cross-divisional approach to managing the services provided by third-party vendors. We perform various risk identification activities including security questionnaires, threat intel reports, SOC2 Type 2 attestation, and onsite reviews for critical suppliers. We also perform periodic reassessment of existing critical vendors. Security risks and exceptions observed are monitored per our global Operational Risk Management framework. | 野村は、サードパーティ・セキュリティ・リスク管理プログラムを策定し、サービスプロバイダー、SaaSプロバイダー、請負業者、コンサルタント、サプライヤーなどのサードパーティ・ベンダーのサイバーセキュリティ管理体制を監視・アセスメントしている。このプログラムは、サードパーティ・ベンダーが提供するサービスを管理するための、一貫性のある管理された部門横断的なアプローチを提供する。セキュリティ・アンケート、脅威情報レポート、SOC2タイプ2認証、重要なサプライヤーのオンサイト・レビューなど、さまざまなリスク識別活動を行っている。また、既存の重要ベンダーの定期的な再評価も実施している。観察されたセキュリティリスクおよび例外は、当社のグローバルなオペレーショナルリスクマネジメントの枠組みに従って監視される。 |
| During the fiscal year ended March 31, 2024, we did not identify any risks from cybersecurity threats, including as a result of previously identified cybersecurity incidents that have materially affected or are reasonably likely to materially affect our business strategy, results of operations or financial condition. However, there is no guarantee that our business strategy, results of operations and financial condition will not be materially affected by a future cybersecurity incident, and we cannot provide assurances that we have not had occurrences of undetected cybersecurity incidents. See Item 3.D “ Risk Factors ” for further information on our cybersecurity-related risks. | 2024年3月31日に終了した事業年度において、過去に確認されたサイバーセキュリティインシデントの結果も含め、当社の事業戦略、経営成績または財政状態に重大な影響を与えた、または与える可能性が合理的に高いサイバーセキュリティの脅威によるリスクは確認されなかった。しかしながら、当社の事業戦略、経営成績および財政状態が将来のサイバーセキュリティインシデントによって重大な影響を受けないという保証はなく、また、未検出のサイバーセキュリティインシデントが発生していないという保証を提供することはできない。サイバーセキュリティ関連のリスクに関する詳細については、項目3.D「リスク要因」を参照のこと。 |
| Cybersecurity Risk Governance | サイバーセキュリティ・リスクのガバナンス |
| Nomura’s cybersecurity strategy and programs are managed by senior officers: the Group Chief Information Officer (“CIO”), who is supported by the Group Chief Information Security Officer (“CISO”) and the Group Chief Data Officer (“CDO”). | 野村のサイバーセキュリティ戦略およびプログラムは、グループ・チーフ・インフォメーション・オフィサー(以下「CIO」)、グループ・チーフ・インフォメーション・セキュリティ・オフィサー(以下「CISO」)、グループ・チーフ・データ・オフィサー(以下「CDO」)というシニア・オフィサーによって管理されている。 |
| These senior officers have extensive experience in technology, cybersecurity, information security, and data protection and privacy. The CIO has over 35 years of experience in various engineering, IT, Operations and information security roles. The CISO has over 20 years of experience leading cybersecurity teams at financial institutions, including in the areas of security engineering, risk and control management, data privacy, information security, and cybersecurity. The CDO has over 25 years of experience in data and analytics-led business transformation. | これらの上級役員は、テクノロジー、サイバーセキュリティ、情報セキュリティ、データ・プライバシーの分野で豊富な経験を有している。CIOは、様々なエンジニアリング、IT、オペレーション、情報セキュリティの職務において35年以上の経験を有する。CISOは、セキュリティ・エンジニアリング、リスク・マネジメント、データ・プライバシー、情報セキュリティ、サイバーセキュリティの分野を含め、金融機関におけるサイバーセキュリティ・チームのリーダーとして20年以上の経験がある。CDOは、データとアナリティクス主導のビジネス変革において25年以上の経験を有する。 |
| Our Board of Directors (“BoD”) has overall responsibility for risk management, with its committees assisting the BoD in performing this function based on their respective areas of expertise. Our BoD delegates its authority to execute business to the Executive Officers led by Group CEO to the extent permitted by law. Among the matters delegated to the Executive Officers by the BoD, the most important matters of business are decided upon deliberation by the Executive Management Board (“EMB”) which consists of the Executive Officers. The EMB delegates responsibility for deliberation of matters concerning risk management including cybersecurity risks to the Group Risk Management Committee (“GRMC”). The CIO is an observer of the EMB and the GRMC, and provides cybersecurity updates to the EMB and the GRMC. | 当社の取締役会(以下「取締役会」)はリスクマネジメントの全体的な責任を負っており、取締役会を補佐する委員会がそれぞれの専門分野に基づいてこの機能を遂行している。取締役会は、法律で認められている範囲内で、グループCEO率いる執行役に業務執行権限を委譲している。取締役会から執行役に委任された事項のうち、最も重要な業務執行事項については、執行役で構成される執行役会(以下「EMB」という。EMBは、サイバーセキュリティリスクを含むリスクマネジメントに関する事項の審議をグループリスクマネジメント委員会(GRMC)に委任している。CIOはEMBおよびGRMCのオブザーバーであり、サイバーセキュリティに関する最新情報をEMBおよびGRMCに提供する。 |
| The GRMC, based on a delegation from the EMB, meets regularly and reports on its activities and findings to the EMB. These meetings cover critical security topics such as resources and budget in cybersecurity risk mitigation and governance, cybersecurity risks, as well as security incidents and cyber tabletop simulations. In addition to these regular reporting activities to the GRMC, the EMB, and the BoD, potentially material cybersecurity events will be escalated to the same management bodies as well as key stakeholders according to Nomura’s security incident response process including crisis management perspectives. | GRMCはEMBからの委任に基づいて定期的に会合を開き、その活動と調査結果をEMBに報告する。これらの会議では、サイバーセキュリティリスクの軽減やガバナンスにおけるリソースや予算、サイバーセキュリティリスクのほか、セキュリティインシデントやサイバー机上シミュレーションなど、重要なセキュリティトピックを取り上げている。GRMC、EMB、取締役会への定期的な報告活動に加え、サイバーセキュリティに関する潜在的に重要な事象は、危機管理の観点を含む野村のセキュリティ・インシデント対応プロセスに従って、同じ経営団体や主要なステークホルダーにエスカレーションされる。 |
・ダケダ
・2024.06.26 20-F (Annual report - foreign issuer)
| Item 16K. Cybersecurity | 項目16K サイバーセキュリティ |
| Risk management and strategy | リスクマネジメント戦略 |
| Cybersecurity Risk Management Framework | サイバーセキュリティ・リスクマネジメントの枠組み |
| Takeda maintains a cybersecurity controls framework designed to identify, protect from, detect, respond to and recover from cybersecurity threats consistent with the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) Cybersecurity Framework. Preventive control measures are deployed across Takeda’s application, cloud, end-user device, networking and manufacturing infrastructure. Takeda’s Chief Information Security Officer (“CISO”) oversees our cybersecurity risk management framework, reporting to the Chief Data and Technology Officer (“CDTO”). Our CISO has over 30 years of experience in information technology, including more than 10 years serving in a CISO capacity at companies in various industries, including pharmaceuticals. | タケダは、米国商務省の国立標準技術研究所(NIST)のサイバーセキュリティフレームワークに準拠し、サイバーセキュリティの脅威を特定、防御、検知、対応、回復するためのサイバーセキュリティ管理体制を維持している。予防的管理策は、タケダのアプリケーション、クラウド、エンドユーザーデバイス、ネットワーク、製造事業者のインフラ全体に展開されている。タケダのチーフ・インフォメーション・セキュリティ・オフィサー(CISO)は、チーフ・データ・アンド・テクノロジー・オフィサー(CDTO)に報告し、タケダのサイバーセキュリティ・リスクマネジメントの枠組みを監督している。当社のCISOは、製薬を含む様々な業種の企業で10年以上CISOを務めるなど、情報技術分野で30年以上の経験を有している。 |
| Experienced and trained cyber risk professionals in the Cybersecurity & Risk team (“TCR”) within Takeda’s global data, digital & technology function (“DD&T”), many of whom hold certifications from established cybersecurity organizations, are responsible for identifying and managing cybersecurity risks from various sources, including proactive control evaluations, reporting by Takeda personnel, third-party security assessments, penetration testing, threat modeling, and vulnerability scanning of information systems. Takeda’s internal audit function performs periodic assessments on our cybersecurity controls framework. Third-party security assessments are performed during the vendor selection process or when significant changes are made to a vendor relationship, with each vendor assigned a residual risk rating which determines the frequency of re-assessment. Our commercial agreements typically include contractual provisions to ensure third-party vendors meet Takeda’s standards for data protection. | タケダのグローバルデータ・デジタル・テクノロジー部門(以下、「DD&T」)内のサイバーセキュリティ&リスクチーム(以下、「TCR」)の経験豊富で訓練を受けたサイバーリスクの専門家は、その多くが確立されたサイバーセキュリティ組織の認定資格を有しており、プロアクティブな制御評価、タケダの職員による報告、サードパーティによるセキュリティ評価、侵入テスト、脅威モデル、情報システムの脆弱性スキャンなど、様々な情報源からサイバーセキュリティ・リスクを特定し、マネジメントする責任を負っている。タケダの内部監査機能は、タケダのサイバーセキュリティ管理体制について定期的なアセスメントを実施している。サードパーティによるセキュリティアセスメントは、ベンダーの選定プロセス中、またはベンダーとの関係に重要な変更があった場合に実施され、各ベンダーには、再評価の頻度を決定する残余リスク評価が割り当てられている。当社の商業契約には通常、サードパーティがタケダのデータ保護標準を満たすことを保証する契約条項が含まれている。 |
| TCR risk professionals assess identified risks for their perceived severity of impact on Takeda and likelihood of occurrence, and design and implement appropriate responsive measures in collaboration with relevant business units. TCR provides to the CISO on a monthly basis, and to other members of DD&T senior management on a quarterly basis, operational reports regarding the number and nature of cyber incidents detected and the status of controls and program enhancements. Cybersecurity risk management is integrated into Takeda’s Enterprise Risk Management (“ERM”) program and addressed as a principal risk in our annual Enterprise Risk Assessment, which is reported to the RECC and the Board of Directors, each of which is responsible for approving the reported risks and associated mitigation plans, as well as assessing the effectiveness of the mitigation. In addition, all Takeda employees receive online training on cyber threats as well as periodic e-mail reminders about best practices to safeguard from those threats. | TCRのリスク専門家は、特定されたリスクについて、タケダへの影響の重大性と発生の可能性を評価し、関連する事業部門と協力して適切な対応策を立案・実施する。TCRは、月次でCISOに、四半期ごとにDD&T上級管理職の他のメンバーに、検知されたサイバーインシデントの件数と性質、管理およびプログラムの強化状況に関する業務報告書を提供している。サイバーセキュリティリスクマネジメントは、タケダのエンタープライズリスクマネジメント(ERM)プログラムに組み込まれ、年次エンタープライズリスクアセスメントにおいて主要リスクとして取り上げられている。さらに、タケダの全従業員は、サイバー脅威に関するオンライントレーニングを受けるとともに、これらの脅威から身を守るためのベストプラクティスについて、定期的に電子メールによる注意喚起を受けている。 |
| Cybersecurity Incident Response | サイバーセキュリティインシデント対応 |
| The TCR team has established an incident response procedure that governs our response to cybersecurity events and regularly conducts tabletop incident response exercises during the year. In the event a potential cybersecurity incident is detected, TCR’s core Information Security Incident Response Team (“ISIRT”) is responsible for investigation, analysis, containment and eradication of the threat, as well as recovery efforts, in coordination with other functions, such as Takeda’s Privacy Office, Human Resources, Crisis Management, Compliance and Legal, as needed depending on the severity and scope of the incident. Following recovery from an incident, ISIRT analyzes the underlying cause of the incident to identify and, as applicable, implement potential improvements to internal controls. While Takeda’s cybersecurity risk management program is principally managed by TCR risk professionals, it does engage third parties on an as-needed basis, including with respect to technical consulting and third-party digital forensic or cyber recovery partners in connection with incident response activities. | TCRチームは、サイバーセキュリティ事象への対応をガバナンスするインシデント対応手順を策定し、年間を通じて定期的に机上インシデント対応演習を実施している。サイバーセキュリティに関するインシデントの可能性が検知された場合、TCRの中核をなす情報セキュリティ・インシデント対応チーム(ISIRT)は、インシデントの深刻度や範囲に応じて、必要に応じてタケダのプライバシーオフィス、人事、危機管理、コンプライアンス、法務などの他の部門と連携しながら、脅威の調査、分析、封じ込め、根絶、および復旧作業に責任を負う。インシデントからの復旧後、ISIRTは、インシデントの根本的な原因を分析し、該当する場合には、内部統制の改善の可能性を特定し、実施する。タケダのサイバーセキュリティリスクマネジメントプログラムは、主にTCRのリスク専門家によって管理されているが、インシデント対応活動に関連して、技術コンサルティングやサードパーティデジタルフォレンジックまたはサイバーリカバリーパートナーなど、必要に応じてサードパーティを起用している。 |
| Cyber Incident Impacts | サイバーインシデントによる影響 |
| During the three fiscal years ended March 31, 2024, no risks from cybersecurity threats, including previous incidents, have materially affected or are reasonably likely to materially affect Takeda, including its business strategy, results of operations or financial condition. Notwithstanding our risk management efforts described above, we have been the target of cyberattacks and anticipate they will continue. Takeda cannot completely eliminate all risks associated with such attacks, which could have a material adverse effect on Takeda’s business strategy, results of operations or financial condition as further described in “Item 3.D. Risk Factors — Risks Relating to Our Business Strategies—We are increasingly dependent on information technology systems and our systems and infrastructure face the risk of misuse, theft, exposure, tampering or other intrusions”. | 2024年3月31日に終了した3事業年度において、過去のインシデントを含め、サイバーセキュリティ上の脅威によるリスクは、タケダの事業戦略、経営成績または財政状態を含め、タケダに重大な影響を及ぼしたことはなく、また、及ぼす合理的な可能性もない。上記のようなリスクマネジメントの取り組みにもかかわらず、当社はサイバー攻撃の標的となっており、今後もサイバー攻撃は継続すると予想される。武田薬品は、このような攻撃に関連するすべてのリスクを完全に排除することはできず、「項目3.D. リスク要因-事業戦略に関するリスク-情報技術システムへの依存度が高まっており、当社のシステムおよびインフラは、誤用、盗難、エクスポージャー、改ざんまたはその他の侵入のリスクに直面している」に記載のとおり、当社の事業戦略、経営成績または財政状態に重要な悪影響を及ぼす可能性がある。 |
| Governance | ガバナンス |
| Takeda’s Board of Directors (the “Board”) is ultimately responsible for overseeing Takeda’s management of cybersecurity risk and provides strategic direction for Takeda’s information security program and responses to cybersecurity risks and incidents. Takeda’s CISO generally provides an annual update to the Board on the status of Takeda’s information security program, including significant developments, and the Board receives reports of any decisions by any of Takeda’s Business and Sustainability Committee, Portfolio Review Committee or Risk, Ethics and Compliance Committee (see “Item 6. Directors, Senior Management and Employees—C. Board Practices—Takeda Executive Team”) related to cybersecurity. In addition, the Board reviews and approves the Enterprise Risk Assessment, which includes significant cybersecurity risk matters, on an annual basis. On an as-needed basis, the Board is informed of, and provides strategic direction on, significant cybersecurity risks or incidents, if and when identified, by the CISO and CDTO. | タケダの取締役会(以下「取締役会」という。)は、タケダのサイバーセキュリティリスクマネジメントを監督する最終的な責任を負っており、タケダの情報セキュリティプログラムおよびサイバーセキュリティリスクやインシデントへの対応について戦略的な方向性を示している。タケダのCISOは、通常、取締役会に対して、重要な進展を含むタケダの情報セキュリティプログラムの状況について、年次報告書を提出し、取締役会は、タケダの事業・持続可能性委員会、ポートフォリオ検討委員会またはリスク・エシックス・コンプライアンス委員会(「項目6.取締役、上級管理職および従業員-C.取締役会の慣行-タケダ・エグゼクティブ・チーム」を参照)。さらに、取締役会は、サイバーセキュリティリスクの重要事項を含むエンタープライズリスク アセスメントを毎年見直し、承認している。取締役会は、必要に応じて、CISOおよびCDTOから、重大なサイバーセキュリティリスクまたはインシデントが特定された場合、その内容について報告を受け、戦略的な指示を行う。 |
| The Risk, Ethics & Compliance Committee (“RECC”) is the governing management committee responsible for overseeing risk management, including cybersecurity risk. The RECC is composed of the Takeda Executive Team, including Takeda’s CDTO and is chaired by Takeda’s Chief Ethics and Compliance Officer. In addition, Takeda’s CISO attends RECC meetings for relevant agenda items and generally provides an update to the RECC on the status of Takeda’s information security program, including significant developments, on at least annual basis. On an as-needed basis, DD&T senior management escalates decisions regarding significant cybersecurity risks to the RECC, which also reviews and approves Takeda’s annual Enterprise Risk Assessment before it is approved by the Board. For a description of the relevant expertise of the CISO and of management’s role and processes in assessing and managing material risks from cybersecurity threats, see “—Risk management and strategy—Cybersecurity Risk Management Framework.” | リスク・エシックス・コンプライアンス委員会(RECC)は、サイバーセキュリティ・リスクを含むリスクマネジメントの監督に責任を負うガバナンス・マネジメント委員会である。RECCは、タケダのCDTOを含むタケダ・エグゼクティブ・チームで構成され、タケダの最高倫理・コンプライアンス責任者が委員長を務める。さらに、タケダのCISOは、関連する議題についてRECCの会合に出席し、通常、少なくとも年1回、重要な進展を含むタケダの情報セキュリティプログラムの状況についてRECCに最新情報を提供する。また、DD&Tの上級管理職は、必要に応じて、重要なサイバーセキュリティリスクに関する決定をRECCにエスカレーションし、RECCは、取締役会の承認を得る前に、タケダの年次エンタープライズリスクアセスメントを見直し、承認する。CISOの専門知識、およびサイバーセキュリティの脅威による重大なリスクの評価と管理における経営陣の役割とプロセスについては、「-リスクマネジメントと戦略-サイバーセキュリティ・リスクマネジメント・フレームワーク」を参照のこと。 |
・ソニー
・2024.06.25 20-F (Annual report - foreign issuer)
| Item 16K. Cybersecurity | 項目16K サイバーセキュリティ |
| Sony recognizes the importance of cybersecurity, both in achieving financial success for the company and in maintaining the trust of its stakeholders, which include shareholders, customers, employees, suppliers, and business partners. | ソニーは、会社の経済的成功と、株主、顧客、従業員、サプライヤー、ビジネスパートナーなどのステークホルダーの信頼維持の両面で、サイバーセキュリティの重要性を認識している 。 |
| Risk Management & Strategy | リスクマネジメントと戦略 |
| As part of Sony’s risk management framework, Sony maintains and continuously strives to enhance its information security program. This program covers the entire Sony Group and is implemented in accordance with policies and standards, which include cybersecurity risk management and governance frameworks, and guidance, developed by Sony and based on globally recognized industry best practices and standards. The policies define information security responsibilities within Sony and outline certain actions and procedures that officers and employees are required to follow, including with respect to the assessment and management of cybersecurity risks to Sony, including its systems and information. The policies, standards, and guidance are structured to help Sony respond effectively to the dynamically changing environment of cybersecurity threats, cybersecurity risks, technologies, laws, and regulations. Sony modifies its policies, standards, and guidance as needed to adjust to this changing environment. | ソニーは、リスクマネジメントの一環として、情報セキュリティプログラムを維持し、継続的に強化している。このプログラムは、サイバーセキュリティリスクマネジメントやガバナンスの枠組み、ガイダンスなど、ソニーが開発し、グローバルに認められた業界のベストプラクティスや標準に基づくポリシーや標準に従って実施されている。これらの方針は、ソニーにおける情報セキュリティ責任を定義し、システムおよび情報を含むソニーのサイバーセキュリティリスクのアセスメントおよびマネジメントを含め、役員および従業員が従うべき一定の行動および手続きの概要を示している。これらの方針、標準、ガイダンスは、ダイナミックに変化するサイバーセキュリティ上の脅威、サイバーセキュリティ上のリスク、技術、法律、規制などの環境にソニーが効果的に対応できるように構成されています。ソニーは、このような環境の変化に適応するため、必要に応じて方針、標準、およびガイダンスを変更します。 |
| If Sony’s cybersecurity risk management controls are overcome by a cyber attacker, Sony follows an incident response plan and escalation process as defined in the information security program. The response process includes an assessment of whether an incident may be material, and this assessment is adjusted as necessary as additional facts become known during the incident response. Any incident that is assessed as potentially material is escalated to Sony’s senior management and is reported to the two outside Directors in charge of information security on Sony Group Corporation’s Board of Directors (the “Board”). | ソニーのサイバーセキュリティリスクマネジメントの統制がサイバー攻撃者に克服された場合、ソニーは情報セキュリティプログラムに定められたインシデント対応計画とエスカレーションプロセスに従う。この対応プロセスには、インシデントが重要であるかどうかのアセスメントが含まれ、このアセスメントは、インシデント対応中に追加的な事実が判明した場合、必要に応じて調整される。重要なインシデントである可能性があると評価されたインシデントは、ソニーの経営陣にエスカレーションされ、ソニーグループ株式会社の取締役会(以下「取締役会」)の情報セキュリティ担当社外取締役2名に報告される。 |
| In the fiscal year ended March 31, 2024, Sony was the victim of several cyberattacks. None of these incidents was assessed to be material, nor did they materially affect Sony’s business strategy, the results of its operations, or its financial condition. However, there can be no guarantee that this will be the case with a future incident. For more information about risks Sony faces from cyberattacks, please refer to “Sony’s brand image, reputation and business may be harmed and Sony may be subject to legal claims if there is a breach or other compromise of Sony’s information security or that of its third-party service providers or business partners.” included in “Risk Factors” in “Item 3. Key Information.” | 2024年度において、ソニーは複数のサイバー攻撃の被害にあった。これらのインシデントはいずれも重要性がなく、ソニーのビジネス戦略、経営成績、財政状態に重要な影響を及ぼすものではありませんでした。しかし、将来このようなインシデントが発生するという保証はありません。ソニーが直面するサイバー攻撃に関するリスクについては、「3.リスク要因」に記載されている「ソニーの情報セキュリティ、またはサードパーティやビジネス・パートナーの情報セキュリティが侵害された場合、ソニーのブランドイメージ、評判、ビジネスが損なわれ、法的責任を問われる可能性があります。重要な情報」の「リスク要因」に含まれている。 |
| Sony has also established policies and processes to help identify and manage cybersecurity risks associated with third parties, including companies that provide services and products to Sony, and companies that hold Sony information or have electronic access to Sony systems or information. The policies and processes include assessment of the cybersecurity and privacy programs at certain third parties, the use of this risk information when making contracting decisions, and the use of contract language that includes cybersecurity and privacy requirements. | また、ソニーは、サードパーティ(ソニーにサービスや製品を提供する会社、ソニーの情報を保有し、またはソニーのシステムや情報に電子的にアクセスできる会社を含みます。)に関連するサイバーセキュリティ・リスクを特定し管理するための方針およびプロセスを確立しています。この方針およびプロセスには、特定のサードパーティにおけるサイバーセキュリティおよびプライバシープログラムのアセスメント、契約上の意思決定を行う際のこのリスク情報の利用、サイバーセキュリティおよびプライバシーの要件を含む契約文言の使用などが含まれる。 |
| Most of the information security program is implemented by Sony employees. Sony also engages the services of external providers to enhance and support its information security program, including leading cyber response specialists as may be needed, and consultants to evaluate and help improve organization, policies, and other aspects of the program. | 情報セキュリティプログラムのほとんどは、ソニーの従業員によって実施されている。ソニーはまた、情報セキュリティプログラムを強化・支援するために、必要に応 じてサイバー対応の専門家や、組織・方針・その他の面を評価し改善を支援するコンサルタントを含む外部プロバイダのサービスを利用している。 |
| Structure and Governance of Sony’s Information Security Program | ソニーの情報セキュリティプログラムの構造とガバナンス |
| Sony’s information security program is under the responsibility of a Senior Executive, specifically, the Sony Group Chief Digital Officer (“CDO”), and the Sony Group Chief Information Security Officer (“CISO”), who reports to the CDO. | ソ ニ ー の 情 報 セキュリティプ ログ ラム は 、ソ ニ ー グ ル ー プ チ ー フ デ ジ タ ル オ フィサー( 以 下「 CDO」)およびCDOの直轄組織であるソニーグループチーフインフォメー ションセキュリティオフィサー( 以 下「 CISO」)を中心とする経営陣の責任のもとに運営されている。 |
| Under the leadership of the CDO and CISO, and supported by a global information security team that works across the entire Sony Group, Sony implements the cybersecurity risk management and governance frameworks that are described in its policies and standards. Each business segment of Sony has a senior information security leader, called an Executive Information Security Officer (“EISO”), who reports both to the CISO and to the senior management of the particular business unit. EISOs and their associated teams are responsible for ensuring implementation and operation of the information security program in a way that is tailored to each specific business unit, including as it relates to the assessment and management of cybersecurity risks. The CISO coordinates with the EISOs to monitor the proper implementation and compliance with Sony’s cybersecurity policies and standards. | CDOとCISOのリーダーシップのもと、ソニーグループ全体で活動するグローバルな情報セキュリティチームの支援を受けながら、ソニーはポリシーと標準に記載されているサイバーセキュリティリスクマネジメントとガバナンスの枠組みを実施している。ソニーの各事業部門には、エグゼクティブ・インフォメーション・セキュリティ・オフィサー(「EISO」)と呼ばれる上級情報セキュリティ・リーダーがおり、CISOと特定の事業部門の経営陣の両方に報告を行う。EISOとその関連チームは、サイバーセキュリティリスクのアセスメントとマネジメントを含め、各事業部門に応じた情報セキュリティプログラムの実施と運用を確保する責任を負っている。CISOは、EISOと連携し、ソニーのサイバーセキュリティ方針および標準の適切な実施および遵守を監視する。 |
| The current CDO has experience within Sony in launching and overseeing the development, technical operation, and business operations of large-scale network products and services, including overseeing implementation and operation of the information security program. The current CISO has more than 40 years of experience in cybersecurity. Before joining Sony, the CISO served as Deputy Chief Information Officer for Cybersecurity of the U.S. Department of Defense (the department’s equivalent of a CISO) and before that, as the Chief Information Assurance Executive at the Defense Information Systems Agency (DISA), an agency of the U.S. Department of Defense. | 現職のCDOは、ソニーにおいて、情報セキュリティプログラムの実施および運用の監督を含む、大規模なネットワーク製品およびサービスの開発、技術的運用、および事業運営の立ち上げおよび監督に関する経験を有している。現CISOは、サイバーセキュリティにおいて40年以上の経験を有する。ソニー入社以前は、米国国防総省のサイバーセキュリティ担当副最高情報責任者(同省のCISOに相当)を務め、それ以前は、米国国防総省の一機関である防衛情報システム局(DISA)で最高情報保証責任者を務めていた。 |
| To oversee the information security program, the Sony Group CEO and COO receive regular reports from the CDO, monthly reports from the CISO, additional reports as needed during the response to a cyber incident, and briefings from the CDO and CISO at various times during the year. The head of each Sony business segment also receives the monthly reports from the CDO and the CISO, as well as reports and briefings from the business segment EISO. | 情報セキュリティプログラムを監督するため、ソニーグループのCEOとCOOは、CDOから定期的な報告を受け、CISOから月次報告を受け、サイバーインシデント対応時に必要に応じて追加報告を受け、CDOとCISOから年間を通じて様々なタイミングでブリーフィングを受けている。また、ソニーの各事業分野の責任者は、CDOおよびCISOからの月次報告、ならびに各事業分野のEISOからの報告および説明を受けている。 |
| The Board oversees Sony’s information security efforts, including in the following ways: | 取締役会は、以下の方法を含め、ソニーの情報セキュリティへの取り組みを監督している: |
| • Two outside Directors oversee Sony’s information security efforts, via monthly meetings and ad-hoc incident response communications with the CDO and CISO. Those meetings address, among other matters, significant cybersecurity incidents and Sony Group-level policies and key initiatives regarding cybersecurity. | ・2名の社外取締役が、月1回の定例会議およびCDOおよびCISOとの臨時のインシデント対応コミュニケーションを通じて、ソニーの情報セキュリティの取り組みを監督している。これらの会議では、特に重要なサイバーセキュリティインシデント、サイバーセキュリティに関するソニーグループレベルの方針および主要な取り組みについて議論している。 |
| - One of these two outside Directors has extensive experience in the development of large-scale information systems, including experience with management of the risks associated with cyberattacks. | ・・社外取締役2名のうち1名は,サイバー攻撃に関連するリスクマネジメントの経験を含め,大規模情報システムの開発において豊富な経験を有している。 |
| - The other outside Director serves simultaneously as the Chair of the Audit Committee. | ・・もう一人の社外取締役は監査委員会の委員長を兼務している。 |
| • The full Board receives reports from the outside Directors in charge of information security and briefings several times a year from the CDO and the CISO. The full Board also engages in discussion of these matters. | ・取締役会全体は,情報セキュリティ担当の社外取締役から報告を受けるほか,CDOおよびCISOから年に数回説明を受ける。また,取締役会全体でもこれらの事項についての討議が行われる。 |
・トヨタ
・2024.06.25 20-F (Annual report - foreign issuer)
| ITEM 16K.CYBERSECURITY | 項目16K.サイバーセキュリティ |
| Cybersecurity Risk Management and Strategy | サイバーセキュリティのリスクマネジメントと戦略 |
| The process at TMC for managing cybersecurity risks is integrated into the TGRS, a company-wide risk management framework based on ISO and COSO. For instance, based on the TGRS, TMC identifies cybersecurity risks, determines their degree of significance, and sets priorities to enable an effective response. For a further discussion of TMC’s company-wide risk management, see “Item 4. Information on TMC — 4.B. Business Overview — Climate Change-related Disclosures — Risk Management” in this annual report. | TMCにおけるサイバーセキュリティ・リスクの管理プロセスは、ISOとCOSOに基づく全社的なリスクマネジメントの枠組みであるTGRSに統合されている。例えば、TGRSに基づき、TMCはサイバーセキュリティ・リスクを識別し、その重要度を判断し、効果的な対応を可能にするための優先順位を設定している。TMCの全社的リスクマネジメントの詳細については、「項目4.TMCに関する情報 - 4.B.事業概要 - 気候変動関連の開示 - リスクマネジメント」を参照のこと。 |
| As part of TMC’s cybersecurity risk management process, TMC has a cybersecurity team established within the information systems field that gathers information concerning cybersecurity-related trends and case examples relating to other companies from third parties such as governmental security agencies, cybersecurity companies and software vendors, and monitors cyberattacks from external sources. In addition, by being a member of the Automotive Information Sharing & Analysis Center (Auto-ISAC) in Japan and the U.S., TMC is able to learn promptly about problematic events that occur within the industry and puts the information to use to improve and implement cybersecurity measures. Furthermore, TMC also actively collaborates with outside experts to gain outside knowledge and uses it to improve security. TMC also is a member of the Nippon Computer Security Incident Response Team (CSIRT) Association, which shares information about incidents, vulnerabilities, and signs of attacks, among member companies. | TMCのサイバーセキュリティリスクマネジメントの一環として、情報システム分野にサイバーセキュリティチームを設置し、政府系セキュリティ機関、サイバーセキュリティ企業、ソフトウェアベンダーなどのサードパーティからサイバーセキュリティ関連の動向や他社事例に関する情報を収集し、外部からのサイバー攻撃を監視している。また、日米の自動車情報共有分析センター(Auto-ISAC)に加盟することで、業界内で発生した問題事象をいち早く把握し、サイバーセキュリティ対策の改善・実施に役立てている。さらに、外部の専門家とも積極的に連携し、外部の知見を得ることで、セキュリティの改善に役立てている。また、日本コンピュータ・セキュリティ・インシデント対応チーム(CSIRT)協議会にも加盟しており、インシデントや脆弱性、攻撃の兆候などの情報を会員企業間で共有している。 |
| The team also shares information about security threats with Toyota’s overseas regional headquarters, which then share information within their own regions and implement countermeasures as necessary. Similarly, in the area of product security, the groups in charge of automotive security within the specialized team promotes automotive security initiatives throughout the entire automotive lifecycle in collaboration with the automotive development field, including product development with security-by-design and multi-layered protection in mind, in addition to compliance with international regulations and standards such as UNR155*1 and ISO/SAE 21434*2, and the collection and monitoring of threat and vulnerability information. | 同チームは、トヨタの海外地域本部ともセキュリティ脅威に関する情報を共有し、海外地域本部は各地域で情報を共有し、必要に応じて対策を実施している。同様に、製品セキュリティの分野では、専門チーム内の自動車セキュリティ担当グループが、UNR155※1やISO/SAE 21434※2などの国際規制・規格への対応や、脅威・脆弱性情報の収集・監視に加え、セキュリティ・バイ・デザインや多層防御を考慮した製品開発など、自動車開発現場と連携しながら、自動車のライフサイクル全体を通じた自動車セキュリティへの取り組みを推進している。 |
| *1 Regulations concerning cybersecurity, which were adopted at the World Forum for the Harmonization of Vehicle Regulations (WP.29) in June 2020 | *1 2020年6月の自動車規制調和世界フォーラム(WP.29)で採択されたサイバーセキュリティに関する規制。 |
| *2 International standards concerning cyber security of electrical/electronic systems of automobiles | *2 自動車の電気・電子システムのサイバーセキュリティに関する国際標準規格 |
| TMC also provides information security training for all of TMC’s employees, including secondees and dispatched employees, such as through activities to raise awareness during “Information Security Reinforcement Months,” educational or warning information displayed at the startup of individuals’ personal computers, and unannounced training to test responses to targeted-attack-type emails. | また、出向者や派遣社員を含む全社員を対象に、「情報セキュリティ強化月間」での意識向上活動や、パソコン起動時の啓発・注意喚起情報の表示、標的型攻撃メールへの対応をテストする抜き打ちトレーニングなど、情報セキュリティ教育を実施している。 |
| In addition, third-party organizations with expertise in cybersecurity and risk management evaluate, based on such standards as those of the U.S National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), NIST’s Special Publications (SP) Series, ISO and International Electrotechnical Commission (IEC), the condition of the management and technical aspects of TMC’s security measures for information technology, operational technology, products and other areas. TMC implements measures to address problems identified through these evaluations as needed, working to raise the level of security. | また、米国国立標準技術研究所のサイバーセキュリティフレームワーク(NIST CSF)、NISTの特別刊行物(SP)シリーズ、ISO、国際電気標準会議(IEC)などの標準に基づき、サイバーセキュリティやリスクマネジメントに精通したサードパーティが、情報技術、運用技術、製品などのセキュリティ対策のマネジメントや技術的な状況を評価している。これらの評価を通じて特定された問題点については、必要に応じて対策を実施し、セキュリティレベルの向上に努めている。 |
| TMC has an ongoing process in place to monitor known access routes to its systems, block potential threats, and evaluate incidents as they are identified. This process also applies to the systems of certain subsidiaries as well as certain third-party distributors, suppliers, and service providers. | TMCは、システムへの既知のアクセス経路を監視し、潜在的な脅威をブロックし、インシデントが特定された場合に評価する継続的なプロセスを実施している。このプロセスは、特定の子会社のシステム、および特定のサードパーティーの頒布事業者、サプライヤー、サービスプロバイダーにも適用される。 |
| TMC has issued the All Toyota Security Guidelines (“ATSG”), which are guidelines for identifying and mitigating cybersecurity risks, to TMC’s consolidated subsidiaries, as well as third party dealers and rental or leasing agencies in Japan, requesting them to conduct self-inspections covering more than 100 items and enhance cybersecurity measures. In addition, the cybersecurity team carries out on-site audits by visiting the subsidiaries and other entities that the ATSG applies to, to check responses to the ATSG and the status of implementation of physical security measures at each company. TMC has also requested TMC’s key suppliers to enhance their cybersecurity measures based on the guidelines that are equivalent to the ATSG. | TMCは、サイバーセキュリティリスクを特定し、低減するためのガイドラインである「オールトヨタセキュリティガイドライン(ATSG)」をTMCの連結子会社、日本国内のサードパーティ販売会社、レンタル・リース会社に発行し、100項目以上に及ぶ自己点検の実施とサイバーセキュリティ対策の強化を要請している。また、サイバーセキュリティチームは、ATSGが適用される子会社等の事業体を訪問し、ATSGへの対応状況や各社の物理的セキュリティ対策の実施状況を確認する実地監査を実施している。また、TMCの主要取引先に対しても、ATSGと同等のガイドラインに基づくサイバーセキュリティ対策の強化を要請している。 |
| No material cybersecurity incident has occurred to Toyota to date. In fiscal 2024, Toyota did not identify cybersecurity risks from cybersecurity threats, including as a result of past cybersecurity incidents, that are reasonably likely to materially affect Toyota, including its business strategy, results of operations, or financial condition. However, despite the capabilities, processes, and other security measures we employ that we believe are designed to assess, identify, and mitigate the risk of cybersecurity incidents, we may not be aware of all vulnerabilities or might not accurately assess the risks of incidents, and such preventative measures cannot provide absolute security and may not be sufficient in all circumstances or mitigate all potential risks. For a further discussion of risks that may materially affect Toyota if a cybersecurity threat materializes and other matters, see “Risk Factors” in this annual report. | これまでトヨタにサイバーセキュリティに関する重大インシデントは発生していない。2024年度において、トヨタは、過去のサイバーセキュリティインシデントの結果も含め、トヨタの事業戦略、経営成績または財政状態を含むトヨタに重大な影響を及ぼす可能性が合理的に高いサイバーセキュリティ脅威によるサイバーセキュリティリスクを特定していない。しかしながら、サイバーセキュリティインシデントのリスクをアセスメントし、特定し、軽減するために設計されていると考える、当社が採用している能力、プロセス、およびその他のセキュリティ対策にもかかわらず、当社はすべての脆弱性を把握しているとは限らず、インシデントのリスクを正確に評価できない可能性があり、そのような予防的対策は絶対的なセキュリティを提供することはできず、すべての状況において十分であるとは限らず、すべての潜在的リスクを軽減できるとは限らない。サイバーセキュリティの脅威が顕在化した場合にトヨタ自動車に重大な影響を及ぼす可能性のあるリスク等の詳細については、本年次報告書の「リスク要因」を参照されたい。 |
| Cybersecurity Governance | サイバーセキュリティガバナンス |
| TMC considers cybersecurity risk to be a particularly important risk within its risk management framework and one of the areas of focus for its board of directors, audit & supervisory board, and management. As part of the company-wide risk management process, in addition to developing the TGRS described above, TMC has established a governance and risk subcommittee that includes members of the board of directors and audit & supervisory board, as well as the Chief Information & Security Officer (“CISO”) as a member in charge of cybersecurity. The subcommittee discusses cybersecurity as one of the company-wide risks. | トヨタ自動車は、サイバーセキュリティリスクをリスクマネジメントの枠組みの中で特に重要なリスクと位置づけ、取締役会、監査役会、経営陣の注力分野の一つとしている。全社的なリスクマネジメントプロセスの一環として、上記のTGRSの策定に加え、取締役会および監査役会のメンバー、ならびにサイバーセキュリティ担当として最高情報セキュリティ責任者(CISO)を含むガバナンス・リスク小委員会を設置している。同部会では、サイバーセキュリティを全社的なリスクのひとつとして議論している。 |
| TMC’s cybersecurity team is led by the CISO and reports serious cybersecurity risks or incidents to the board of directors and the audit & supervisory board as they arise. | TMCのサイバーセキュリティ・チームはCISOが率い、重大なサイバーセキュリティ・リスクやインシデントが発生した場合には、取締役会および監査役会に報告する。 |
| In addition, the members of the Information Security Management Meeting, which is held approximately four times a year, receives reports on and oversees the status of cybersecurity risks and incidents at TMC. This body, chaired by the CISO, is attended by responsible personnel assigned to each security area, such as confidential information management, information systems, and supply chain. Participants report and share information about security risks and the status of incidents. | さらに、年4回程度開催される情報セキュリティ・マネジメント会議のメンバーは、TMCのサイバーセキュリティ・リスクやインシデントの状況について報告を受け、監督している。CISOが議長を務めるこの団体には、機密情報管理、情報システム、サプライチェーンなど、各セキュリティ分野の責任者が出席する。参加者は、セキュリティ・リスクやインシデントの状況について報告し、情報を共有する。 |
| Of such information, material matters are reported by the CISO to the board of directors and audit & supervisory board through the CRO, who is responsible for overall risk management. | こうした情報のうち、重要なものについては、CISOがリスクマネジメント全般の責任者であるCROを通じて取締役会および監査役会に報告する。 |
| In addition to the meeting mentioned above, the cybersecurity team is in close contact with full-time audit & supervisory board members, providing regular reports and receiving and responding to their inquiries about the state of TMC’s approach to cybersecurity and incident trends in the world. | 上記の会議に加えて、サイバーセキュリティ・チームは常勤の監査役と緊密に連絡を取り合っており、定期的に報告を行うほか、サイバーセキュリティに対するTMCの取り組み状況や世界のインシデント動向に関する問い合わせを受け、対応している。 |
| TMC’s process for identifying, tracking and managing cybersecurity risks on a daily basis is primarily carried out by the cybersecurity team led by the CISO. | TMCの日常的なサイバーセキュリティ・リスクの識別、追跡、マネジメントのプロセスは、主にCISO率いるサイバーセキュリティ・チームによって行われている。 |
| The cybersecurity team consists of professionals with cybersecurity expertise. Among the members, the CISO has gained experience in the development of in-vehicle software and on-board devices since joining TMC and has insights into information technologies such as software and cloud services. The CISO also gained experience in the field of cybersecurity since 2016, whe n he became an officer of Toyota’s Connected Company, and thus has knowledge of and insights into cybersecurity. | サイバーセキュリティ・チームは、サイバーセキュリティの専門知識を持つプロフェッショナルで構成されている。メンバーのうち、CISOはTMC入社以来、車載ソフトウェアや車載機器の開発で経験を積み、ソフトウェアやクラウドサービスなどの情報技術に関する見識を持っている。また、CISOはトヨタのコネクティッドカンパニーの役員に就任した2016年からサイバーセキュリティ分野の経験を積んでおり、サイバーセキュリティに関する知見や見識を持っている。 |
| TMC has a process where cybersecurity incidents at TMC or TMC’s group companies or suppliers is reported to an appropriate cybersecurity team in a timely manner as it occurs and escalated to the CISO according to the severity of the incident. | TMCは、TMCまたはTMCのグループ会社やサプライヤーでサイバーセキュリティに関するインシデントが発生した場合、タイムリーに適切なサイバーセキュリティチームに報告され、インシデントの重大性に応じてCISOにエスカレーションされるプロセスを有している。 |
| In addition, TMC has the Toyota Motor Corporation-Security Incident Response Team (TMC-SIRT), a response team including members of management, and has established a system to take appropriate and prompt action to resolve incidents. The TMC-SIRT does not only respond to cybersecurity incidents at TMC, but also provides support for incidents at TMC’s subsidiaries in Japan and overseas and key suppliers in Japan as necessary to bring the situation under control. | また、経営層を含む対応チーム「トヨタ自動車・セキュリティ・インシデント対応チーム(TMC-SIRT)」を設置し、インシデントの解決に向けて適切かつ迅速な対応を行う体制を構築している。TMC-SIRTは、TMCにおけるサイバーセキュリティインシデントへの対応だけでなく、TMCの国内外子会社や国内主要取引先におけるインシデントに対しても、必要に応じて事態収束に向けた支援を行っている。 |
| The CISO is responsible for managing the cybersecurity risks and strategic processes described above, as well as overseeing the prevention, mitigation, detection, and remediation of cybersecurity incidents. | CISOは、上記のサイバーセキュリティリスクと戦略プロセスのマネジメントに加え、サイバーセキュリティインシデントの予防、低減、検知、是正を監督する責任を負う。 |
ホンダ
・2024.06.20 20-F (Annual report - foreign issuer)
| Item 16K. Cybersecurity | 項目16K サイバーセキュリティ |
| Risk Management and Strategy | リスクマネジメントと戦略 |
| Honda has established a management system and standards for information system security in order to minimize the negative impact on its business and business results from the occurrence of cybersecurity incidents. Based on these standards, we have implemented security measures in both hardware and software aspects to strengthen the security of our information systems. To address security, including product security, we have established a cross-functional system across business and manufacturing systems, software, quality, and other areas. | ホンダは、サイバーセキュリティインシデントの発生による事業および業績への悪影響を最小限に抑えるため、情報システムセキュリティに関する管理体制および標準を確立している。これらの標準に基づき、ハードウェアとソフトウェアの両面からセキュリティ対策を実施し、情報システムのセキュリティ強化を図っている。製品セキュリティを含むセキュリティ対策として、業務・製造システム、ソフトウェア、品質など横断的な体制を構築している。 |
| We develop rules and procedures based on laws and regulations, formulate response flows, verify and implement measures for improvement through cybersecurity exercises, and develop human resources, among other things. We also utilize solutions for managing cybersecurity information and monitoring malicious activities to monitor and analyze cybersecurity threats and vulnerabilities, and in the event of a security incident related to a cyberattack with a significant impact on Honda, we establish a Global Emergency Headquarters under the supervision and monitoring of the Risk Management Officer, and the supervisory division in charge of risks from cybersecurity threats plays a central role in quickly ascertaining the actual situation and taking measures to minimize the impacts of cybersecurity incidents from a company-wide perspective. | 法令に基づくルールや手順の整備、対応フローの策定、サイバーセキュリティ演習による改善策の検証・実施、人材育成などを行っている。また、サイバーセキュリティ情報管理ソリューションや悪質行為監視ソリューションを活用し、サイバーセキュリティ上の脅威や脆弱性を監視・分析するとともに、ホンダに重大な影響を及ぼすサイバー攻撃に関するセキュリティインシデントが発生した場合には、リスクマネジメント責任者の統括・監視のもと、グローバル緊急対策本部を設置し、サイバーセキュリティ上の脅威によるリスクを担当する統括部門が中心となって、全社的な観点から迅速な実態把握とサイバーセキュリティインシデントによる影響を最小限に抑えるための対策を講じている。 |
| When implementing third-party packaged software and cloud services, we make decisions based on risk assessments following established security standards and conduct annual checks after implementation. In response to cyberattacks on production facilities and suppliers, we verify the status of security measures at both domestic and overseas production facilities and suppliers. Based on the results of these verifications, we take measures to strengthen security, such as supporting the introduction of solutions for managing cybersecurity incident information, and monitoring malicious activities. For such activities to strengthen security, we have concluded outsourcing agreements with security consulting companies and external specialists to receive support. | サードパーティ製のパッケージソフトやクラウドサービスの導入に際しては、定められたセキュリティ標準に従ったリスクアセスメントに基づいて判断し、導入後も年1回のチェックを実施している。生産拠点やサプライヤーへのサイバー攻撃に対しては、国内外の生産拠点やサプライヤーのセキュリティ対策状況を検証している。検証結果に基づき、サイバーセキュリティインシデント情報管理ソリューションの導入支援や悪質な行為の監視など、セキュリティ強化策を講じている。こうしたセキュリティ強化のための活動については、セキュリティコンサルティング会社や外部の専門家と業務委託契約を締結し、支援を受けている。 |
| With regard to personal information protection regulations and cybersecurity-related laws and regulations in various countries, in addition to current regulations, we collect and monitor information on regulatory trends that are expected to be enforced in the future. | 各国の個人情報保護規制やサイバーセキュリティ関連法規制については、現行の規制に加えて、今後施行が予想される規制動向の情報収集・監視を行っている。 |
| These comprehensive cybersecurity response processes are incorporated into Honda’s comprehensive risk management system and will be discussed in detail in the following “Governance” section. | これらの包括的なサイバーセキュリティ対応プロセスは、ホンダの包括的なリスクマネジメントシステムに組み込まれており、詳細は以下の「ガバナンス」の項で説明する。 |
| For a description of information security-related risks, including risks from cybersecurity threats, identified by Honda as of the filing date of this Annual Report, please refer to Item 3. “Key Information—D. Risk Factors—Information Security Risks”. | 本アニュアルレポートの提出日現在、ホンダが認識しているサイバーセキュリティの脅威によるリスクを含む情報セキュリティ関連リスクについては、「3.「重要な情報-D.リスク要因-情報セキュリティリスク」を参照のこと。 |
| Honda has been targeted by cyberattacks in the past; however, no risks from cybersecurity threats have been identified that have materially affected or are reasonably likely to materially affect us, including our business strategy, results of operations or financial condition, over the past three fiscal years, including the fiscal year that is the subject of this annual report. | ホンダは過去にサイバー攻撃の標的にされたことがあるが、本アニュアルレポートの対象となっている事業年度を含む過去3事業年度において、当社の事業戦略、経営成績または財政状態を含む当社に重大な影響を与えた、または与える可能性が合理的に高いサイバーセキュリティの脅威によるリスクは確認されていない。 |
| Governance | ガバナンス |
| Based on the resolution of the Board of Directors, the Board of Directors has appointed the Director, Executive Vice President and Representative Executive Officer as the Risk Management Officer, who monitors and supervises the response status of significant risks, including risks from cybersecurity threats. | 取締役会の決議に基づき、取締役副社長執行役員をリスクマネジメント担当執行役員に任命し、サイバーセキュリティ上の脅威によるリスクを含む重要なリスクへの対応状況を監視・監督している。 |
| The Risk Management Committee, chaired by the Risk Management Officer, has been established to deliberate on important matters related to risk management, including risk from cybersecurity threats. Honda has established the Honda Global Risk Management Policy, which stipulates the Company’s basic policy for risk management, the collection of risk information, and the response system in the event of risk occurrence. | サイバーセキュリティの脅威によるリスクを含むリスクマネジメントに関する重要事項を審議するため、リスクマネジメントオフィサーを委員長とするリスクマネジメント委員会を設置している。ホンダは、リスクマネジメントの基本方針、リスク情報の収集、リスク発生時の対応体制などを定めた「ホンダグローバルリスクマネジメント方針」を制定している。 |
| In accordance with the aforementioned Policy, Honda has designated its cybersecurity supervisory divisions to conduct risk assessments and report the status of cybersecurity risk responses to the Risk Management Officer through the Risk Management Committee. The designated cybersecurity supervisory divisions consisted of 64 members as of the filing date of this Annual Report with practical experience in various roles related to information technology, including security, auditing, and systems are established in both the Quality Innovation Operations and Corporate Administration Operations divisions. The Risk Management Officer, who has knowledge and experience in overall risk management, receives technical support from the cybersecurity risk supervisory divisions, and monitors and supervises the responses to risks from cybersecurity threats. | 同方針に基づき、サイバーセキュリティ統括部署を定め、リスクアセスメントを実施するとともに、サイバーセキュリティリスクへの対応状況をリスクマネジメント委員会を通じてリスクマネジメントオフィサーに報告している。サイバーセキュリティ統括部署は、本有価証券報告書提出日現在64名で構成され、セキュリティ、監査、システムなど情報技術に関する様々な職務の実務経験を有する者を、品質革新業務部門と経営管理業務部門の双方に設置している。また、リスクマネジメント全般の知識と経験を有するリスクマネジメントオフィサーが、サイバーセキュリティリスク統括部門から技術的な支援を受け、サイバーセキュリティの脅威によるリスクへの対応を監視・監督している。 |
| In the event of a material cybersecurity incident, the cybersecurity risk supervisory divisions are to immediately report it to the Risk Management Officer. Upon receiving the report, the Risk Management Officer is to establish a Global Emergency Headquarters, which coordinate with relevant organizations affected by the incident in order to prevent and contain the crisis. Such response status is reported to the Board of Directors and the Executive Council as necessary based on the judgment of the Risk Management Officer. | 重要なサイバーセキュリティインシデントが発生した場合、サイバーセキュリティリスク統括部門は直ちにリスクマネジメントオフィサーに報告する。報告を受けたリスクマネジメントオフィサーは、グローバル緊急対策本部を設置し、インシデントの影響を受ける関連組織と連携して、危機の予防と封じ込めを行う。こうした対応状況は、リスクマネジメント担当役員の判断に基づき、必要に応じて取締役会および経営会議に報告される。 |
今日現在で、MUFGは20-Fを見つけられませんでした...
Canonは昨年、NYSE上場を廃止すると発表していますね...昔は、(12月決算会社だったので)USGAAPで開示している日本企業のトップを切って開示をしていましたので、USGAAPの監査をする際には、キヤノン先生(^^)の開示を確認したりしていましたね...
あと、10年以上前に廃止していますけど、日立製作所の経理部門もレベルが高かったですよね...
Nasdaqといえば、IIJが上場していましたね...ここも廃止しましたけど...
2006年当時は26社も上場していましたね...今は9社ですか...
今回紹介したところの2024年の20-Fと有価証券報告書...
| 2024 | 20-F | 有価証券報告書 |
| 三井住友ファイナンシャルグループ | ● | ● |
| ORIX | ● | ● |
| みずほファイナンシャルグループ | ● | ● |
| 三菱UFJファイナンシャルグループ | ⚪︎ | ● |
| 野村ホールディングス | ● | ● |
| 武田薬品工業 | ● | ● |
| ソニーグループ | ● | ● |
| トヨタ自動車 | ● | ● |
| 本田技研工業 | ● | ● |
<2024.10.10追記>
⚪︎ 三菱UFJファイナンシャルグループは、2024.07.30に20-Fを開示...
<2024.10.10追記>
三菱UFJファイナンシャルグループの20-Fもあったので、追記しておきます。
・2024.07.30 20-F (Annual report - foreign issuer)
| Item 16K. Cybersecurity | 項目16K サイバーセキュリティ |
| Overview | 概要 |
| As a financial institution operating globally, we are exposed to various cybersecurity risks, including ransomware, phishing, and distributed denial of service attacks. These risks are often influenced by criminal activity, international conflicts and other threat environments but are becoming increasingly more sophisticated and complex to deal with. We take seriously our responsibilities for securing the assets entrusted to us by our customers against cybersecurity threats and our obligation to provide secure and stable financial services. We have identified risks and threats posed by cyber-attacks and other relevant events as one of our top risks and have been developing and implementing cybersecurity measures under management leadership. During the fiscal year ended March 31, 2024, we did not identify any cybersecurity threats that have materially affected, or were reasonably likely to materially affect, our business strategy, results of operations or financial condition. While we endeavor to remain vigilant for, and continue to develop and implement measures to address, cybersecurity risk, we may not be able to prevent or mitigate a future cybersecurity incident that could have a material adverse impact on our business strategy, performance, and financial stability. See “Item 3.D. Key Information—Risk Factors—Operational Risk—Our operations are highly dependent on our information, communications and transaction management systems and are subject to an increasing risk of cyber-attacks and other information security threats and to changes in the business and regulatory environment.” | グローバルに事業を展開する金融機関として、当行はランサムウェア、フィッシング、分散型サービス妨害攻撃など、さまざまなサイバーセキュリティ・リスクにさらされている。これらのリスクは、犯罪活動、国際紛争、その他の脅威環境に影響されることが多いが、その対処はますます巧妙かつ複雑になってきている。当社は、サイバーセキュリティの脅威からお客様からお預かりした資産を保護する責任と、安全で安定した金融サービスを提供する義務を真摯に受け止めている。当行は、サイバー攻撃やその他の関連事象がもたらすリスクや脅威を最重要リスクのひとつと認識し、マネジメント主導のもと、サイバーセキュリティ対策の策定・実施に取り組んできた。2024年3月期において、当行の事業戦略、経営成績または財政状態に重大な影響を及ぼした、または及ぼす可能性のあるサイバーセキュリティ上の脅威は確認されていない。当社はサイバーセキュリティ・リスクに対する警戒を怠らず、その対応策を策定・実施し続けるよう努めているが、当社の事業戦略、業績、財務安定性に重大な悪影響を及ぼす可能性のある将来のサイバーセキュリティ・インシデントを防止または軽減できない可能性がある。項目3.D.主要情報-リスク要因-オペレーショナル・リスク-当社の業務は当社の情報、コミュニケーションおよびトランザクション・マネジメント・システムに大きく依存しており、サイバー攻撃やその他の情報セキュリティ脅威のリスク増大や、ビジネス環境および規制環境の変化の影響を受ける。"を参照。 |
| Cybersecurity Risk Management Process | サイバーセキュリティ・リスクマネジメント・プロセス |
| We manage cybersecurity risk as a subset of IT risk, which is included in the broader risk category of operational risk. Operational risk is defined as the risk of potential loss resulting from inadequate or ineffective internal processes, people and systems, or due to external events. Cybersecurity risk management is integrated into our comprehensive risk management framework where we have adopted a three lines of defense approach. The first line of defense is the Cyber Security Division, which is the team primarily responsible for identifying and mitigating risks as well as designing and executing controls to manage cybersecurity risk. The second line of defense is the Corporate Risk Management Division, which is responsible for assessing and monitoring cybersecurity risk as well as testing the effectiveness of cybersecurity risk controls independently from the first line. The third line of defense is the Internal Audit Division, which audits the effectiveness of first-line and second-line cybersecurity risk management. | 当社はサイバーセキュリティ・リスクをITリスクのサブセットとしてマネジメントしているが、これはより広範なリスクカテゴリーであるオペレーショナル・リスクに含まれている。オペレーショナル・リスクとは、社内のプロセス、人材、システムの不備や非効率、あるいは外部事象に起因する潜在的損失のリスクと定義される。サイバーセキュリティ・リスクマネジメントは、包括的なリスクマネジメントの枠組みに統合されており、3つの防衛ラインによるアプローチを採用している。第一の防衛ラインはサイバーセキュリティ部門で、主にリスクの特定と低減、サイバーセキュリティ・リスクをマネジメントするためのコントロールの設計と実行を担当するチームである。第二の防衛ラインはコーポレート・リスクマネジメント部門であり、サイバーセキュリティ・リスクのアセスメントとモニタリング、および第一の防衛ラインとは独立したサイバーセキュリティ・リスク管理策の有効性テストを担当する。第三の防衛ラインは内部監査部門であり、第一線と第二線のサイバーセキュリティ・リスクマネジメントの有効性を監査する。 |
| Our cybersecurity risk management program incorporates features based on globally recognized standards such as those issued by the National Institute of Standards and Technology (NIST). Based on such globally recognized standards, the Cyber Security Division, which is supervised by the Group Chief Information Security Officer (CISO), establishes policies and standards to protect our information systems and conducts cybersecurity risk assessments. Among its other responsibilities, the Division also focuses on threat intelligence, including centralized information collection and impact analysis on newly discovered vulnerabilities and past experience, and prevention and remediation of such impacts on a global group-wide basis. Additionally, the Division conducts daily monitoring of our external-facing systems to identify and prevent any flaws in security updates or configuration settings. In an effort to enhance our round-the-clock monitoring and incident response capabilities on a global group-wide basis, we have established the MUFG Cyber Security Fusion Center (MUFG CSFC), which specializes in cybersecurity threat analysis and information security solutions. At the subsidiary level, the Computer Security Incident Response Teams (CSIRTs) have been established within subsidiaries to receive, investigate and implement measures in response to reports of cybersecurity incidents from within such respective subsidiaries in coordination with the MUFG Computer Security Incident Response Team (MUFG-CERT), a team established within the Cyber Security Division for centralizing our cybersecurity incident responses. | 当社のサイバーセキュリティ・リスクマネジメント・プログラムは、国立標準技術研究所(NIST)が発行した標準など、世界的に認められた標準に基づく機構を組み込んでいる。このような世界的に認められた標準に基づき、グループ最高情報セキュリティ責任者(CISO)が監督するサイバーセキュリティ部門は、当社の情報システムを保護するための方針と標準を確立し、サイバーセキュリティリスクアセスメントを実施している。またディビジョンは、新たに発見された脆弱性や過去の経験に関する情報の一元的な収集と影響分析、およびグローバルなグループ全体でのそのような影響の予防と修復を含む脅威インテリジェンスにも注力している。さらに、ディビジョンは社外向けシステムの日常的な監視を実施し、セキュリティ更新や設定に不備がないかを特定し、未然に防止している。グローバル・グループ全体で24時間体制の監視とインシデント対応能力を強化するため、サイバーセキュリティ脅威分析と情報セキュリティ・ソリューションを専門とするMUFGサイバーセキュリティ融合センター(MUFG CSFC)を設立した。子会社レベルでは、サイバーセキュリティ・インシデント対応チーム(CSIRT)を子会社内に設置し、サイバーセキュリティ・インシデント対応を一元化するためにサイバーセキュリティ部門内に設置したMUFG Computer Security Incident Response Team(MUFG-CERT)と連携しながら、子会社からのサイバーセキュリティ・インシデント報告を受け、調査・対策を実施している。 |
| We regularly conduct exercises and drills designed to ensure our ability to effectively perform cybersecurity incident response functions. We have also expanded our collaborative activities with government agencies, other companies in the financial industry and other information security communities, including the Financial Services Information Sharing and Analysis Center (FS-ISAC), the Financials Information Sharing and Analysis Center Japan (F-ISAC), the Forum of Incident Response and Security Teams (FIRST) and the Japan Computer Emergency Response Team Coordination Center (JPCERT/CC). Furthermore, in order to minimize third-party risks, we conduct risk assessments on third-party vendor contracts prior to contract initiation and subsequently conduct annual reviews to identify any significant changes in the risk environment. We also require our vendors to adhere to the standards set by us in order to ensure that our risk management protocols are consistently maintained. Along with regularly conducted internal reviews of our cybersecurity risk management program against market trends and best practices, we engage audit firms and external consultants as needed, receive evaluations, and utilize the results of these evaluations to continuously ensure and enhance the effectiveness of our program. | サイバーセキュリティのインシデント対応機能を効果的に発揮できるよう、定期的に演習や訓練を実施している。また、政府機関や金融業界各社、金融サービス情報共有・分析センター(FS-ISAC)、金融情報共有・分析センター(F-ISAC)、インシデント・レスポンス・セキュリティ・チーム・フォーラム(FIRST)、コンピュータ緊急対応チーム・コーディネーション・センター(JPCERT/CC)などの情報セキュリティ・コミュニティとの連携活動も拡大している。さらに、サードパーティのリスクを最小化するため、契約開始前にサードパーティとの契約に関するリスクアセスメントを実施し、その後、リスク環境の重大な変化を特定するための年次レビューを実施している。また、当社のリスク・マネジメント・プロトコルが一貫して維持されるよう、当社の定める標準を遵守するようベンダーに求めている。市場動向やベストプラクティスに照らしたサイバーセキュリティ・リスクマネジメント・プログラムの内部レビューを定期的に実施するとともに、必要に応じて監査法人や外部コンサルタントを起用し、評価を受け、その結果を活用してプログラムの有効性を継続的に確保・強化している。 |
| Governance | ガバナンス |
| The Group Chief Information Officer (CIO) is responsible for operating and maintaining our cybersecurity risk management program and regularly reports on significant cybersecurity-related matters to the Board of Directors as well as the Executive Committee. In the fiscal year ended March 31, 2024, the cybersecurity-related matters reported on by the Group CIO to the Board of Directors included the progress and future policy directions of various key measures, such as those designed to protect public internet assets with subject to significant attack risk, to strengthen the security posture of our internal information security environment, and to improve the security posture of our overseas facilities. As the most senior manager responsible for cybersecurity risk, the Group CISO supervises the Cyber Security Division and directly reports to the Group CIO. The Cyber Security Division receives information on cybersecurity incidents from the CSIRTs in accordance with our policies and procedures, supervises and coordinates incident response at our group companies, and provides relevant information to the Group CISO, the Group CIO, the Corporate Risk Management Division and, as appropriate, other senior management members. Our current Group CIO has over twenty years of experience in IT management, including cybersecurity risk management, and has experience as a member of a government information security organization. Similarly, the current Group CISO and senior members of the Cyber Security Division have extensive cybersecurity management experience and expertise, with many members participating in financial industry information security organizations, including the F-ISAC. | グループ最高情報責任者(CIO)は、当社のサイバーセキュリティ・リスクマネジメント・プログラムの運営・維持に責任を負っており、サイバーセキュリティ関連の重要事項について、取締役会および経営委員会に定期的に報告している。2024年3月期において、グループCIOが取締役会に報告したサイバーセキュリティ関連事項には、重大な攻撃リスクにさらされる公共インターネット資産の保護、社内情報セキュリティ環境のセキュリティ態勢強化、海外施設のセキュリティ態勢改善など、さまざまな重要施策の進捗状況と今後の方針が含まれている。サイバーセキュリティリスクの最高責任者として、グループCISOはサイバーセキュリティ部門を統括し、グループCIOに直属する。サイバーセキュリティ部門は、当社のポリシーと手順に従ってCSIRTからサイバーセキュリティインシデントに関する情報を受け取り、当社グループ各社のインシデント対応を監督・調整し、グループCISO、グループCIO、コーポレートリスクマネジメント部門、および必要に応じてその他の上級管理職に関連情報を提供する。現在のグループCIOは、サイバーセキュリティ・リスクマネジメントを含むITマネジメントにおいて20年以上の経験を有し、政府の情報セキュリティ組織のメンバーとしての経験もある。同様に、現グループCISOおよびサイバーセキュリティ・ディビジョンのシニア・メンバーは、サイバーセキュリティ管理に関する豊富な経験と専門知識を有しており、多くのメンバーがF-ISACを含む金融業界の情報セキュリティ組織に参加している。 |
| The Board of Directors decides key management policies and is responsible for management oversight. Decisions on particularly important matters, such as decisions on key management policies as cybersecurity risk management policy for the entire Group, and oversight of the execution of duties related to cybersecurity by directors and corporate executive officers are performed by the Board of Directors. In addition, the Risk Committee and the Audit Committee are established under the Board of Directors to assist the Board with oversight. The Risk Committee discusses and makes recommendations to the Board of Directors on material matters, including cybersecurity, relating to the risk management operations, matters relating to top risk matters and any other material matters that require discussion, and any other material matters that require discussion by the Risk Committee. The Audit Committee obtains reports from management, the Internal Audit Division and the external auditor on any cybersecurity risks and the risk management and corporate governance frameworks and the operation of such frameworks, and oversees them, and assists oversight of the Board of Directors. | 取締役会は主要な経営方針を決定し、経営監督に責任を負う。グループ全体のサイバーセキュリティ・リスクマネジメント方針としての重要な経営方針の決定や、取締役・執行役員のサイバーセキュリティに関する職務執行の監督など、特に重要な事項の決定は取締役会が行う。また、取締役会の監督を補佐するため、取締役会の下にリスク委員会および監査委員会を設置している。リスク委員会は、サイバーセキュリティを含むリスクマネジメント業務に関する重要事項、トップリスク事項に関する事項、その他リスク委員会の審議が必要な重要事項について審議し、取締役会に提言する。監査委員会は、経営陣、内部監査部門および外部監査人から、あらゆるサイバーセキュリティ・リスク、リスクマネジメントおよびコーポレート・ガバナンスのフレームワークとその運用状況について報告を受け、それらを監督し、取締役会の監督を補佐する。 |
| Our cybersecurity risk management program is also operated and maintained under the supervision of the Board of Directors with the report on significant cybersecurity-related matters by the Group CIO and the assistance of the Risk Committee and the Audit Committee. | また、当社のサイバーセキュリティ・リスクマネジメント・プログラムは、取締役会の監督のもと、グループCIOによるサイバーセキュリティ関連の重要事項の報告、リスク委員会および監査委員会の支援を受けて運営・維持されている。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.07.19 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合
・2024.07.15 SECのルールの改正によるサイバーセキュリティ開示 (20-F) ORIX、野村、タケダ、ソニー、トヨタ、ホンダの場合
・2024.07.14 SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合
・2024.06.02 米国 SEC ニューヨーク証券取引所を所有するインターコンチネンタル取引所をサイバー侵入をしていたのに通知しなかったいうことで1000万ドル(約16億円)の罰金を受け入れていますね... (2024.05.22)
・2023.11.08 米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)
・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。
・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択
・2023.03.17 米国 SEC 米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を市場関係者向けに提案
2006年、20-Fに公開されていた日本企業のリスト...
・2006.08.11 SECに登録している日本企業の20-F Item15
« SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合 | Main | 金融における人工知能に関するOECD-FSBラウンドテーブル(2024年5月22日、パリ)におけるネリー・リャン米国国内金融担当次官兼金融安定理事会脆弱性アセスメント常設委員会議長の発言 »
Comments