ESG/CSR

2024.07.18

米国AI安全研究所と欧州AI事務局の技術対話 (2024.07.12)

こんにちは、丸山満彦です。

米国AI安全研究所と欧州AI事務局が技術対話が開始されているようですね...


環境災害を予測するために重要な気象モデリングに焦点が当てられた。


ということで、環境問題の解決にもAIの活用を考えている様ですね...

 

また、


電子透かしとコンテンツ実証のためのベストプラクティスとツールを探求し、それぞれの活動の中でこれらのツールを促進し、合成コンテンツから生じるリスクに対処するため、AIの安全性と信頼に関する科学的・技術的交流をさらに進めるという共通の関心を表明した。


AIが作るコンテンツから生じるリスクに対処するための、技術的対策(電子少し、コンテンツ実証など)のための実践やツールを検討するようですね...

 

 

NIST - U.S. Artificial Intelligence Safety Institute

・2024.07.12 U.S. AI Safety Institute and European AI Office Hold Technical Dialogue

 

U.S. AI Safety Institute and European AI Office Hold Technical Dialogue 米国AI安全機構と欧州AI事務局が技術対話を実施
On July 11, 2024, U.S. Under Secretary of Commerce for Standards and Technology Laurie E. Locascio and Director General of the European Commission’s DG Connect Roberto Viola, initiated a technical dialogue between the European AI Office (EUAIO) and the U.S. AI Safety Institute (USAISI). The dialogue, held at the Department of Commerce in Washington, D.C., aims to deepen bilateral collaboration on AI and foster scientific information exchange between the E.U. and the U.S. It was included as part of the sixth ministerial meeting of the U.S.-E.U. Trade and Technology Council. 2024年7月11日、ローリー・E・ロカシオ米商務次官(標準技術担当)とロベルト・ヴィオラ欧州委員会コネクト総局長は、欧州AI事務局(EUAIO)と米国AI安全研究所(USAISI)の技術対話を開始した。ワシントンD.C.の商務省で開催されたこの対話は、AIに関する二国間の協力を深め、EUと米国の科学的な情報交換進することを目的としている。この対話は、第6回米・EU貿易・技術協議会閣僚会議の一環として開催された。

USAISI Director Elizabeth Kelly and EUAIO Director Lucilla Sioli led the technical discussion on best practices, key risks and other core questions related to AI. The dialogue focused on three key topics: watermarking and content authentication of synthetic content; government compute infrastructure; and AI for societal good. In this respect, the dialogue focused on weather modelling, which is key to enable simulations and forecasts and anticipate environmental disasters.  USAISIのエリザベス・ケリー所長とEUAIOのルチッラ・シオリ所長が、AIに関するベストプラクティス、主要リスク、その他の核心的な質問に関する技術的な議論を主導した。対話では、合成コンテンツの電子透かしとコンテンツ認証、政府の計算インフラ、社会的利益のためのAIという3つの主要トピックに焦点が当てられた。その中でも、シミュレーションや予測を可能にし、環境災害を予測するために重要な気象モデリングに焦点が当てられた。
The conversations featured a session on watermarking that included academics and civil society representatives. The government discussions brought together experts from the U.S. Department of Energy, National Science Foundation, National Oceanic and Atmospheric Administration, and the Department of State as well as experts from the European AI Office, the Emerging and Enabling Technologies department of DG Connect, the European Commission's Joint Research Centre, and the European Centre for Medium-Range Weather Forecasts.  対話では、学者や市民社会の代表者が参加した電子透かしに関するセッションが行われた。政府との対話では、米国エネルギー省、米国科学財団、米国海洋大気庁、国務省の専門家のほか、欧州AI事務局、コネクト総局の新興・実現技術部門、欧州委員会共同研究センター、欧州中距離天気予報センターの専門家が参加した。
During the discussion, the EUAIO and USAISI expressed a shared interest to explore best practices and tools for watermarking and content provenance, promote these tools within their respective actions and further scientific and technical exchange on AI safety and trust to address risks arising from synthetic content. Both institutions reiterated the shared ambition to develop an international network among key partners to accelerate the advancement of the science of AI safety as articulated at the AI Seoul Summit.  意見交換の中で、EUAIOとUSAISIは、電子透かしとコンテンツ実証のためのベストプラクティスとツールを探求し、それぞれの活動の中でこれらのツールを促進し、合成コンテンツから生じるリスクに対処するため、AIの安全性と信頼に関する科学的・技術的交流をさらに進めるという共通の関心を表明した。両機関は、AIソウル・サミットで明確にされたように、AIの安全性の科学の進歩を加速させるために、主要なパートナー間で国際的なネットワークを開発するという共通の野心を改めて表明した。
“This dialogue between the AI Safety Institute and EU AI Office highlights the strength of our partnership to facilitate the exchange of the latest scientific approaches and techniques from our experts in order to promote safe and trustworthy AI internationally,” said Laurie E. Locascio, Under Secretary of Commerce for Standards and Technology and director of the National Institute of Standards and Technology (NIST). 国立標準技術研究所(NIST)のローリー・E・ロカシオ商務次官(標準技術担当)は、次のように述べた。「AI安全研究所とEUのAI事務局との今回の対話は、安全で信頼できるAIを国際的に推進するため、両機関の専門家による最新の科学的アプローチと技術の交換を促進するという、両機関のパートナーシップの強みを浮き彫りにするものである。」
“Our EU-US cooperation strengthens our mutual trust and paves the way for an international network among key partners for a truly global impact on trustworthy AI for societal good,” said Roberto Viola, Director-General of the European Commission’s Directorate-General for Communications Networks, Content and Technology (DG Connect). 欧州委員会の通信ネットワーク・コンテンツ・技術総局(コネクト総局)のロベルト・ヴィオラ総局長は、次のように述べた。「我々のEUと米国の協力は、相互の信頼を強化し、社会のために信頼できるAIを真に世界的な規模で普及させるための主要パートナー間の国際的なネットワークへの道を開くものである」。

 

 

European Commission - European AI Office

・2024.07.12 U.S. AI Safety Institute and European AI Office Technical Dialogue

 

1_20240717161601

 

| | Comments (0)

2024.07.15

SECのルールの改正によるサイバーセキュリティ開示 (20-F) 三井住友ファイナンシャル、ORIX、みずほファイナンシャル、野村、タケダ、ソニー、トヨタ、ホンダの場合

こんにちは、丸山満彦です。

2023.07.26にSECのルールが改正され、Cybersecurityについての開示が強化され、2023.12.15以後に終了する事業年度から、その開示が求められることになりましたが、それから半年以上がすぎ、Form20-Fに記載されている事例もたくさんありますので、ちょっと紹介...

20-FのItem 16K. Cybersecurity

Risk Management and Strategyとして、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、

  • そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
  • そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
  • 第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか

を記載することになります。

また、過去のサイバーセキュリティインシデントの結果を含むサイバーセキュリティの脅威から生じるリスクが、その企業の事業戦略、業績、財務状況を含め、重要な影響を与えたか、重要な影響を与える可能性が合理的に高いかどうか、どのように影響を与えた(または、与える可能性が合理的に高いか)を記載する必要があります。。。

そして、

Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。

取締役会としての監督については、

  • サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
  • そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス

経営者としての役割としては、

  • 経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
    • どの経営委員会又は役職が負うのか、
    • その担当者や委員が有する関連する専門知識
  • その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
  • その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか

● SECURITIES AND EXCHANGE COMMISSION - EDGAR

1_20240714072701

 

開示内容...

 

・三井住友ファイナンシャル

・2024.06.27 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity 項目16K サイバーセキュリティ
The risk of cybersecurity threats is growing ever more serious as a result of the accelerated digitization of financial services and changes to the surrounding environment. We strengthen our security controls in order to achieve a society that is resilient to cybersecurity threats and provide more secure services to our customers. 金融サービスのデジタル化の加速や取り巻く環境の変化に伴い、サイバーセキュリティの脅威のリスクはますます深刻化している。サイバーセキュリティの脅威に強い社会を実現し、お客さまにより安全なサービスを提供するため、セキュリティ管理を強化している。
SMFG and some of our group companies have established a “Declaration of Cybersecurity Management.” This declaration indicates that we acknowledge cybersecurity as a key management issue, and expresses a commitment to enhancing the security posture not just within our organization, but across society as a whole. Under this declaration, we promote the strengthening of cybersecurity controls led by management in order to counter the increasing severity and sophistication of cyber threats. SMFGおよび一部のグループ会社では、"サイバーセキュリティ経営宣言 "を制定している。この宣言は、サイバーセキュリティを重要な経営課題として認識し、組織内のみならず社会全体のセキュリティ態勢を強化していくことを表明するものである。この宣言のもと、深刻化・巧妙化するサイバー脅威に対抗するため、経営主導によるサイバーセキュリティ管理の強化を推進している。
Risk Management and Strategy リスクマネジメントと戦略
We define cybersecurity threats as one of the top risks for our group. Under the concept of “three lines of defense,” we have integrated cybersecurity risk management, which assesses, identifies, and manages material risks from cybersecurity threats, into a company-wide framework and have established a structure with over 600 personnel. Cybersecurity risk management forms part of our cybersecurity operational plan, which is subject to approval by the Management Committee. 私たちは、サイバーセキュリティの脅威を当社グループの最重要リスクのひとつと定義している。3つの防衛ライン」というコンセプトのもと、サイバーセキュリティの脅威による重大なリスクをアセスメントし、識別し、管理するサイバーセキュリティ・リスクマネジメントを全社的なフレームワークに統合し、600名を超える人員による体制を構築している。サイバーセキュリティ・リスクマネジメントは、当社のサイバーセキュリティ・オペレーション・プランの一部を構成し、マネジメント委員会の承認を得ている。
We periodically engage third-party consultants to conduct maturity assessments based on global cybersecurity frameworks to test our cybersecurity controls. Using our threat intelligence function, we collect information such as the latest cybersecurity threats, vulnerabilities and geopolitical developments, and leverage them to detect and prevent those cybersecurity threats. To deter attacks exploiting vulnerabilities, we regularly conduct vulnerability assessments using various tools and also conduct threat-led penetration testing by entrusting external vendors to penetrate actual systems and evaluate vulnerabilities. 定期的にサードパーティーのコンサルタントに依頼して、グローバルなサイバーセキュリティフレームワークに基づく成熟度アセスメントを実施し、当社のサイバーセキュリティ管理体制を検証してもらっている。脅威インテリジェンス機能により、最新のサイバーセキュリティ脅威、脆弱性、地政学的動向などの情報を収集し、それらを活用してサイバーセキュリティ脅威を検知・防止している。脆弱性を悪用した攻撃を抑止するため、各種ツールを用いた脆弱性アセスメントを定期的に実施するほか、外部ベンダーに実システムへの侵入を委託し、脆弱性を評価する脅威主導型のペネトレーションテストも実施している。
We have designed a multilayered cyber defense system that includes detection and interception of suspicious communications from the outside, as well as operation and monitoring of various security programs and systems, to protect against various cyberattacks such as unauthorized access and mass access attacks. We have established a Security Operation Center (“SOC”) with a 24-hour, 365-day monitoring function and locate SOCs in various regions. Through coordination among SOCs in each region, we further strengthen security monitoring on a group-wide basis. 外部からの不審な通信の検知・防御、各種セキュリティプログラムやシステムの運用・監視など、多層的なサイバー防御体制を構築し、不正アクセスや大量アクセス攻撃など、さまざまなサイバー攻撃から身を守っている。24時間365日の監視機能を持つセキュリティ・オペレーションセンター(SOC)を設置し、各地域にSOCを配置している。各地域のSOCが連携することで、グループ全体のセキュリティ監視をさらに強化している。
In terms of preparedness for cyber incidents, we established a Computer Security Incident Response Team (“CSIRT”) to prepare for any incidents and have set up a response system. The CSIRT actively collects cyber information on attackers’ methods and vulnerabilities from both inside and outside of our organization and shares them with external organizations such as government authorities in relevant nations and the Financial Services Information Sharing and Analysis Center (“FS-ISAC”) or other relevant organizations as necessary. In addition, we regularly participate in attack simulation exercises conducted by outside experts or the authorities to further strengthen our cyberattack response and resilience. We have established risk management processes including in relation to third parties such as outsourced vendors, and regularly monitor the actual situation. サイバーインシデントへの備えとしては、インシデントに備えてコンピュータ・セキュリティ・インシデント対応チーム(以下、CSIRT)を設置し、対応体制を整えている。CSIRTは、攻撃者の手口や脆弱性に関するサイバー情報を社内外から積極的に収集し、必要に応じて関連国の政府当局や金融サービス情報共有・分析センター(FS-ISAC)等の外部組織と共有している。さらに、外部の専門家や当局が実施する攻撃シミュレーション演習に定期的に参加し、サイバー攻撃への対応とレジリエンスをさらに強化している。外部委託先などのサードパーティとの関係も含め、リスクマネジメントプロセスを確立し、定期的に実態をモニタリングしている。
For the fiscal year ended March 31, 2024, there were no cybersecurity incidents that had a material impact on our results of operations or financial condition. 2024年3月期において、当社の経営成績および財政状態に重要な影響を及ぼすサイバーセキュリティインシデントは発生していない。
Governance ガバナンス
The Management Committee regularly discusses cybersecurity risk management in order to further strengthen our security posture based on our cybersecurity operational plan. 経営委員会では、サイバーセキュリティ運用計画に基づき、当社のセキュリティ態勢をさらに強化するため、サイバーセキュリティリスクマネジメントについて定期的に議論している。
In order to clarify the roles and responsibilities for promoting the effectiveness of security controls, the position of Group Chief Information Security Officer (“CISO”) has been assigned under the Group Chief Information Officer (“CIO”) and the Group Chief Risk Officer (“CRO”). The Group CISO is responsible for supervision and direction of controls to manage cybersecurity threats on a group-wide basis. The current Group CISO has been working in the systems sector for many years and has extensive experience in cybersecurity, technology risk management and information security. Group Vice CISOs and regional CISOs are stationed under the Group CISO to help secure cybersecurity controls. セキュリティ管理の有効性を推進するための役割と責任を明確にするため、グループ最高情報責任者(CIO)およびグループ最高リスク責任者(CRO)の下に、グループ最高情報セキュリティ責任者(CISO)の役職を配置している。グループCISOは、サイバーセキュリティの脅威をグループ全体で管理するための統制の監督と指導に責任を負う。現在のグループCISOは、システム部門に長年勤務しており、サイバーセキュリティ、技術リスクマネジメント、情報セキュリティの分野で豊富な経験を有している。グループCISOの下には、グループ副CISOおよび地域CISOが配置され、サイバーセキュリティ統制の確保を支援している。
Our directors, in their capacities serving on the full board of directors as well as on the risk committee and audit committee, obtain information and oversee the status of the cybersecurity risk management. Based on reports from the Group CIO regarding the status of cybersecurity risk management, the board supervises the cybersecurity operational plan and its implementation on risk management related to systems, including cybersecurity. The risk committee oversees the implementation of the cybersecurity operational plan on comprehensive risk management, which includes cybersecurity risk, based on regular reports from the Group CRO. The audit committee supervises the implementation status based on regular reports from the Group CISO on the status of cybersecurity controls. Additionally, members of our board of directors periodically receive reports on cybersecurity information including external threat trends and our cybersecurity control measures from the Group CISO. 当社の取締役は、取締役会全体ならびにリスク委員会および監査委員会の委員として、サイバーセキュリティ・リスクマネジメントに関する情報を入手し、その状況を監督している。取締役会は、グループCIOからのサイバーセキュリティリスクマネジメントの実施状況に関する報告に基づき、サイバーセキュリティを含むシステムに関するリスクマネジメントについて、サイバーセキュリティ運用計画およびその実施状況を監督している。リスク委員会は、グループCROからの定期的な報告に基づき、サイバーセキュリティ・リスクを含む包括的なリスクマネジメントに関するサイバーセキュリティ運用計画の実施状況を監督する。監査委員会は、グループCISOからのサイバーセキュリティ管理状況に関する定期的な報告に基づき、実施状況を監督する。さらに、取締役会のメンバーは、グループCISOから外部脅威の動向や当社のサイバーセキュリティ管理策を含むサイバーセキュリティ情報に関する報告を定期的に受けている。

 

 

・ORIX

・2024.06.27 20-F (Annual report - foreign issuer)

Item 16K.Cybersecurity 項目16K.サイバーセキュリティ
(1) Risk management and strategy (1) リスクマネジメンと戦略
Our Information Security Control Department reports to and manages cyber and information security risks to the Information Technology Management Committee. 当社の情報セキュリティ管理部は、サイバーセキュリティおよび情報セキュリティリスクを情報技術マネジメント委員会に報告し、管理している。
Our Information Security Control Department has established a cyber and information security awareness training program for our consolidated group companies. All employees of our consolidated group companies, including investee companies, and employees of outsourcing companies with access to our network are required to take online training at least once a year. These educational programs also include phishing e-mails simulations, which are conducted several times a year on an irregular basis. We also provide training through escalation and response simulations in the event of a cyber or information security incident. 当社の情報セキュリティ管理部は、当社連結グループ会社に対してサイバーセキュリティおよび情報セキュリティに関する意識向上およびトレーニングプログラムを策定している。投資先企業を含む連結グループ会社の全従業員、および当社のネットワークにアクセスできる業務委託先企業の従業員は、少なくとも年1回のオンライン研修の受講を義務付けられている。これらの教育プログラムには、フィッシングメールのシミュレーションも含まれており、年に数回、不定期に実施している。また、サイバーインシデントや情報セキュリティインシデントが発生した場合のエスカレーションや対応シミュレーションを通じた教育も行っている。
Each of our consolidated group companies is assigned an Information Security Accountable Owner, and cyber and information security knowledge and the Group’s security policies are shared with the companies on a quarterly basis to raise readiness levels across the ORIX Group. また、連結グループ各社に情報セキュリティ責任者を配置し、四半期ごとにサイバーセキュリティや情報セキュリティに関する知識やオリックスグループのセキュリティポリシーを共有することで、オリックスグループ全体のレベルアップを図っている。
In order to control cyber and information security risks we face through our interactions with and reliance on third parties, such as through our outsourcing activities and use of cloud services, we conduct regular security assessments of business partners and outsourcing vendors. In addition, we have a framework in place for the Information Security Control Department to evaluate the security risks of information systems and cloud services provided by business partners and outsourcing vendors. アウトソーシング活動やクラウドサービスの利用など、サードパーティとの交流や依存を通じて直面するサイバーセキュリティおよび情報セキュリティリスクをコントロールするため、ビジネスパートナーやアウトソーシングベンダーのセキュリティアセスメントを定期的に実施している。さらに、情報セキュリティ管理部が、ビジネスパートナーやアウトソーシングベンダーが提供する情報システムやクラウドサービスのセキュリティリスクを評価するための枠組みを用意している。
The Information Security Control Department is responsible for assessing and managing our cyber and information security risks and where necessary, engages third-party consultants for advice regarding specific areas where enhanced controls or in-depth analysis is required. 情報セキュリティ管理部は、当社のサイバーリスクおよび情報セキュリティリスクのアセスメントとマネジメントを担当し、必要に応じて、管理の強化や詳細な分析が必要な特定の分野に関して、サードパーティに助言を依頼している。
The ORIX Group has also established a framework to respond to cyber and information security incidents and to mitigate the risk of security breaches, system failures and information leaks, including cyber attacks and damage to information security systems. A system has been established to assess the impact on operations and the likelihood of secondary damage in the event of a cyber and information security incident caused by cyber attacks. The Information Security Control Department analyzes and investigates the incident and also works with the legal department and compliance department to minimize the impact of the incident and prevent secondary damage. Any serious incidents are reported to the Executive Officer in charge of the Information Security Control Department and appropriate action is taken under his/her direction. The current Executive Officer in charge of information security at ORIX has extensive knowledge of information technology and security, cultivated through his experience with system development, project management and security management in over two decades at various international companies prior to joining ORIX Corporation, including over a decade of experience in the financial business sector. また、オリックスグループは、サイバー攻撃や情報セキュリティシステムの破損などのセキュリティ侵害やシステム障害、情報漏えいなどのリスク低減のため、サイバーセキュリティおよび情報セキュリティインシデントへの対応体制を整備している。サイバー攻撃によるサイバー・インシデントや情報セキュリティ・インシデントが発生した場合、業務への影響や二次被害の可能性をアセスメントする体制を構築している。情報セキュリティ統括部は、インシデントの分析・調査を行うとともに、法務部門やコンプライアンス部門と連携し、インシデントによる影響を最小限に抑え、二次被害を防止する。重大なインシデントが発生した場合は、情報セキュリティ統括部担当執行役員に報告され、その指示のもと適切な処置がとられる。現執行役員(情報セキュリティ担当)は、オリックス(株)入社以前20年以上にわたり、さまざまな外資系企業でシステム開発、プロジェクトマネジメント、セキュリティマネジメントに携わり、その中で培った情報技術やセキュリティに関する豊富な知見を有している。
In the current fiscal year, we did not identify any cyber or information security incidents that have materially affected or are reasonably likely to materially affect our business activities, results of operations or financial condition. 当連結会計年度において、当社の事業活動、経営成績および財政状態に重要な影響を及ぼした、または及ぼすおそれがあると合理的に判断されるサイバーまたはインシデントは確認されていない。
(2) Governance (2)ガバナンス
The ORIX Group has established internal rules governing the structure, basic policies, management standards for information security, education, and audits in accordance with global standards for information security controls such as ISO and NIST. オリックスグループは、ISOやNISTなどの情報セキュリティ管理に関するグローバルスタンダードに準拠した体制、基本方針、情報セキュリティに関する管理標準、教育、監査などを定めた社内規程を制定している。
The Information Security Management Rules stipulate that strategies and policies regarding cyber and information security and its response policies for cyber and information security incidents, are to be discussed and determined at the Information Technology Committee, consisting of the Group CEO, CFO and other members. In addition, the response status of any cyber or information security incident is reported to the Audit Committee by the Executive Officer in charge of the Information Security Control Department to ensure appropriate information sharing. 情報セキュリティ管理規程」では、サイバーセキュリティおよび情報セキュリティに関する戦略・方針、ならびにサイバーセキュリティおよび情報セキュリティインシデントへの対応方針について、グループCEO、CFOなどで構成される「情報技術委員会」で審議・決定することを定めている。また、サイバー・セキュリティ、情報セキュリティインシデント発生時の対応状況は、情報セキュリティ統括部担当執行役員から監査委員会に報告され、適切な情報共有が図られている。
We have a system in place to determine the seriousness of cyber or information security incidents, report to the Disclosure Committee in a timely manner, as well as to disclose information on cyber security risks, strategies, and governance on a regular basis, in addition to the status of incident management. In addition to the management of incidents, we have also established a system that enables regular disclosure of cyber security risks, strategies, and governance. サイバーセキュリティまたは情報セキュリティインシデントの重大性を判断し、適時開示委員会に報告するとともに、インシデントマネジメントの状況に加え、サイバーセキュリティリスク、戦略、ガバナンスに関する情報を定期的に開示する体制を整備している。インシデントマネジメントに加え、サイバーセキュリティのリスク、戦略、ガバナンスについても定期的に開示できる体制を構築している。
We have also established company-wide security requirements with which all consolidated group companies must comply, such as keeping systems up to date through vulnerability management program and technical measures for network defense. We have also established internal rules for security log management that take into account physical and logical boundaries with external networks as well as information breaches caused by internal fraud. また、脆弱性管理プログラムによるシステムの最新状態の維持や、ネットワーク防御のための技術的対策など、連結グループ各社が遵守すべき全社的なセキュリティ要件を定めている。また、外部ネットワークとの物理的・論理的な境界や、内部不正による情報漏えいを考慮したセキュリティログ管理に関する社内ルールを制定している。

 

・みずほファイナンシャル

・2024.06.26 20-F (Annual report - foreign issuer)

ITEM 16K. Cybersecurity 項目16K サイバーセキュリティ
Cybersecurity Strategy サイバーセキュリティ戦略
Many of our systems are connected to our domestic and overseas locations, and the systems of our customers and various payment institutions, through a global network. In light of the growing sophistication and scope of cyber-attacks, we recognize cybersecurity as an important management issue and continuously promote cybersecurity measures under management leadership. 当行のシステムの多くは、グローバルなネットワークを通じて、国内外の拠点、顧客や各種決済機構のシステムに接続されている。サイバー攻撃の高度化・大規模化を踏まえ、サイバーセキュリティを重要な経営課題と認識し、経営陣主導のもと、継続的にサイバーセキュリティ対策を推進している。
We define cybersecurity risk as the risk that the group may incur tangible or intangible losses due to cybersecurity-related problems that occur at the group and/or at its clients, along with organizations, etc., that have a business relationship with the group, such as outside vendors and goods/services suppliers and view it as one of our top risks. Accordingly, we have established a system to centrally manage cybersecurity risk through the Risk Appetite Framework and the Comprehensive Risk Management Framework. サイバーセキュリティリスクとは、当社グループおよび取引先、ならびに外部業者や商品・サービスの仕入先など、当社グループと取引関係のある組織等で発生するサイバーセキュリティ上の問題により、当社グループが有形・無形の損失を被るリスクと定義し、当社グループの最重要リスクの一つとして捉えている。そのため、「リスクアペタイトフレームワーク」や「包括的リスクマネジメントフレームワーク」を通じて、サイバーセキュリティリスクを一元的に管理する体制を構築している。
Governance System ガバナンス体制
At Mizuho Financial Group, the Board of Directors deliberates and resolves fundamental issues related to cybersecurity risk management. The Board of Directors receives reports from the Group Chief Information Security Officer (“CISO”) *1 on cybersecurity risks that may have an impact on management policies and strategies, annual business plans, medium- to long-term business plans, etc., other cybersecurity risks that the Board of Directors should be aware of from a medium- to long-term perspective, and important matters such as the status of risk control. みずほフィナンシャルグループでは、取締役会において、サイバーセキュリティリスクマネジメントに関する基本的事項を審議・決議している。取締役会は、グループ最高情報セキュリティ責任者(CISO)※1より、経営方針・戦略、年度事業計画、中長期事業計画等に影響を及ぼす可能性のあるサイバーセキュリティリスク、その他取締役会が中長期的な観点から認識すべきサイバーセキュリティリスク、リスクコントロールの状況等の重要事項について報告を受ける。
The Risk Committee and the IT/Digital Transformation Committee *2, both of which are advisory bodies to the Board of Directors, each receive reports from the Group CRO on the status of comprehensive risk management and from the Group CISO on basic matters related to cybersecurity risk management, evaluate conformity with our basic management policies and the appropriateness of our cyber initiatives, and present recommendations or opinions to the Board of Directors. In addition, the independent third line in the three lines of defense *3 conducts audits on the initiatives of the first and second lines, and reports the results to the Operational Audit Committee, etc. 取締役会の諮問機関であるリスク委員会およびIT・デジタルトランスフォーメーション委員会※2は、それぞれグループCROから総合的なリスクマネジメントの状況について、グループCISOからサイバーセキュリティリスクマネジメントに関する基本的事項についての報告を受け、経営基本方針への適合性およびサイバー施策の適切性を評価し、取締役会に提言または意見を述べる。また、3つの防衛ライン※3のうち独立した第3のラインは、第1および第2のラインの取り組みについて監査を実施し、その結果を業務監査委員会等に報告している。
Under such supervision by the Board of Directors, the President and Chief Executive Officer oversees the cybersecurity risk management of Mizuho Financial Group, and the Group CISO, in accordance with the instructions of the Group CIO and the Group CRO, establishes measures for risk management through autonomous control activities by the first line, and monitoring, measurement, and evaluation by the second line of such autonomous control activities by the first line and give instructions to prevent cybersecurity risks that may arise from fraud or outsourcing, and to respond appropriately to cyber incidents. このような取締役会の監督のもと、代表執行役社長がみずほフィナンシャルグループのサイバーセキュリティリスクマネジメントを統括し、グループCIOおよびグループCROの指示に従い、グループCISOが、ファーストラインによる自律的な統制活動、およびファーストラインによる自律的な統制活動に対するセカンドラインによる監視・計測・評価を通じて、リスクマネジメントの方策を策定し、不正や外部委託に起因するサイバーセキュリティリスクの未然防止やサイバーインシデントへの適切な対応を指示する。
The Group CISO has been engaged in the IT and systems industry for more than 30 years and, with extensive knowledge and experience, is responsible for the planning and operation of cybersecurity risk management. グループCISOは、IT・システム業界に30年以上従事し、豊富な知識と経験を有しており、サイバーセキュリティリスクマネジメントの企画・運営を担っている。
Based on the instructions of the Group CISO, the Cybersecurity Management Department identifies possible cybersecurity risks to our business and systems, evaluates our preparedness, assesses risks identified by analyzing the location and magnitude of cybersecurity risks, and then reviews and formulates additional measures to strengthen risk control, such as preventive measures and reactive responses, and strengthens risk control and governance through reflection in business plans. サイバーセキュリティマネジメント部は、グループCISOの指示に基づき、当社の事業やシステムに起こりうるサイバーセキュリティリスクの洗い出し、備えの評価、サイバーセキュリティリスクの所在や大きさの分析により洗い出したリスクのアセスメントを行い、予防策や事後対応などリスクコントロール強化のための追加施策の検討・策定、事業計画への反映によるリスクコントロールやガバナンスの強化を図っている。
The Cybersecurity Management Department reports to the Group CISO on the status of cybersecurity risk management, and the Group CISO reports, and if applicable, submits proposals for deliberation, to the Management Committee via the IT Strategy Promotion Committee and to the Board of Directors, each on the status of our cybersecurity measures, etc., with the aim of developing and strengthening a system for ensuring cybersecurity. サイバーセキュリティマネジメント部は、サイバーセキュリティリスクの管理状況をグループCISOに報告し、グループCISOは、当社のサイバーセキュリティ対策の状況等について、IT戦略推進委員会を経由してマネジメント委員会に報告し、場合によっては取締役会に付議するなど、サイバーセキュリティを確保するための体制の整備・強化を図っている。
We have appointed a person in charge of cybersecurity and have established a communication system at group companies, to monitor the status of our cybersecurity measures and to quickly gather information when an incident occurs. サイバーセキュリティ担当者を設置し、グループ各社におけるコミュニケーション体制を確立することで、サイバーセキュリティ対策状況の把握やインシデント発生時の迅速な情報収集に努めている。
Initiatives for Cybersecurity Measures サイバーセキュリティ対策への取り組み
Based on the cybersecurity risks identified and assessed by the Cybersecurity Management Department, Mizuho Financial Group promotes cybersecurity risk management measures across the group, globally and in our supply chains. Specifically, the Mizuho-Cyber Incident Response Team *4 and other highly qualified professionals are deployed, and a 24-hour, 365-day a year monitoring system is in place using an integrated Security Operation Center *5, etc., while making full use of intelligence and advanced technologies in cooperation with external specialized agencies. みずほフィナンシャルグループでは、サイバーセキュリティマネジメント部が抽出・評価したサイバーセキュリティリスクに基づき、グループ全体、グローバル、サプライチェーンにおけるサイバーセキュリティリスクマネジメントを推進している。具体的には、「みずほ・サイバーインシデント対応チーム※4」をはじめとする優秀な専門家の配置、統合セキュリティ・オペレーションセンター※5等による24時間365日の監視体制を整備するとともに、外部専門機関と連携し、インテリジェンスや先端技術を駆使している。
Our systems have a virus analysis and a multi-layered defense mechanism, and we are working to strengthen our resilience by implementing Threat-Led Penetration Testing *6 to test the effectiveness of these technical measures and the effectiveness of the response process. システム面では、ウイルス分析や多層防御の仕組みを導入しており、これらの技術的防御策の有効性や対応プロセスの有効性を検証する「脅威主導型ペネトレーションテスト※6」を実施するなど、レジリエンスの強化に努めている。
We are also focusing on human resources development, such as conducting study groups for directors including outside directors, cybersecurity training for each executive layer, and phishing email training for all executives and employees at least once every six months. また、社外取締役を含む取締役を対象とした勉強会、各役員層を対象としたサイバーセキュリティ研修、全役職員を対象としたフィッシングメール研修を半年に1回以上実施するなど、人材育成にも注力している。
We confirm in advance and on a regular basis the security management preparedness, including responses in the event of a cyber-incident, of third parties such as cloud service providers that provide outsourcing and cloud services. When we receive reports of cyber-incidents from third parties, in addition to identifying and analyzing the impact on the group, we also strive to respond appropriately to risks when there is concern about the impact on the group. アウトソーシングやクラウドサービスを提供するクラウドサービス・プロバイダなどのサードパーティに対して、サイバーインシデント発生時の対応を含めたマネージド・セキュリティ・プロバイダーとしての心構えを事前かつ定期的に確認している。また、サードパーティからサイバーインシデントの報告を受けた際には、当社グループへの影響を識別・分析するとともに、当社グループへの影響が懸念されるリスクについては、適切な対応に努めている。
In order to evaluate the maturity of these cybersecurity measures, we refer to third party assessment by the Cybersecurity Assessment Tool of the Federal Financial Institutions Examination Council and the Cybersecurity Framework of the National Institute of Standards and Technology. これらのサイバーセキュリティ対策の成熟度を評価するために、連邦金融機関審査委員会のサイバーセキュリティアセスメントツールや国立標準技術研究所のサイバーセキュリティフレームワークによる第三者評価を参考にしている。
Impact and Response When a Cyber-Incident Occurs サイバーインシデント発生時の影響と対応
As a result of our enhanced cybersecurity measures, we are not aware of any past cyber-attacks that could have had a significant impact on investor decisions or could have materially affected our business operations, results of operations and financial condition. However, in the event of a cyber-attack due to a failure to strengthen cybersecurity measures, leaks or falsification of electronic data, suspension of business operations, information leaks, and unauthorized remittances may occur and cause inconvenience and disadvantage to our customers. In addition, our business operations, results of operations and financial condition may be materially affected by compensation for damages, administrative actions and damage to reputation. 当社のサイバーセキュリティ対策強化の結果、投資家の意思決定に重大な影響を与えたり、当社の事業運営、経営成績および財政状態に重大な影響を与えた可能性のあるサイバー攻撃を過去に認識したことはない。しかしながら、サイバーセキュリティ対策の不徹底によるサイバー攻撃等が発生した場合、電子データの漏洩・改ざん、業務の停止、情報漏洩、不正送金等が発生し、お客さまにご迷惑・ご不便をおかけする可能性がある。また、損害賠償、行政処分、信用毀損等により、当社の事業運営、経営成績及び財政状態に重大な影響を及ぼす可能性がある。
In the unlikely event that a cyber-incident is detected, or if it is determined on firm grounds that the likelihood of a cyber-incident occurring is very high, the Cybersecurity Management Department will report the cyber-incident to the Group CISO. The Group CISO reports to the Management Committee and the Board of Directors when particularly important incidents occur or are likely to occur. 万が一、サイバーインシデントが検知された場合、またはサイバーインシデントが発生する可能性が極めて高いと確たる根拠に基づいて判断された場合、サイバーセキュリティ管理部はグループCISOに報告する。グループCISOは、特に重要なインシデントが発生した場合、または発生する可能性が高い場合には、経営会議および取締役会に報告する。
Based on the instructions from the Group CISO, the Cybersecurity Management Department monitors the cause of the incident (including incidents for which the likelihood of occurrence is determined on firm grounds to be very high), the nature and extent of the damage or expected damage, supports the formulation of effective containment, eradication, and recovery measures, analyzes attack methods or expected attack methods based on cyber-incident information, and conducts incident response. サイバーセキュリティ統括部は、グループCISOの指示に基づき、インシデント(発生可能性が極めて高いと確たる根拠に基づいて判断されるものを含む)の発生原因、被害内容・程度、効果的な封じ込め・根絶・復旧策の策定支援、サイバーインシデント情報に基づく攻撃手法・予想される攻撃手法の分析、インシデント対応を行う。
Even after incident recovery, the Cybersecurity Management Department monitors changes that could lead to cyber-incidents in the group and promptly reports to the Group CISO when a breach of the threshold is identified. In addition, the Cybersecurity Management Department analyzes and evaluates the status of causes and risks, and implements necessary measures after consulting with the Group CISO on the response policy. インシデント復旧後も、サイバーセキュリティ統括部は、グループ内のサイバーインシデントにつながる可能性のある変化を監視し、閾値突破が確認された場合には、速やかにグループCISOに報告する。また、サイバーセキュリティマネジメント部は、原因やリスクの状況を分析・評価し、グループCISOと対応方針を協議の上、必要な対策を実施している。
*1 Chief Information Security Officer *1 最高情報セキュリティ責任者
*2 IT/Digital Transformation Committee (as described in “Item6.C. Board Practices”) *IT/Digital Transformation委員会(「項目6.C. 取締役会の実務」に記載)
*3 Three lines of defense (concept for defining and classifying organizational functions and responsibilities in risk management and compliance) *3 スリー・ライン・オブ・ディフェンス(リスクマネジメントとコンプライアンスにおける組織の機能と責任を定義・分類する考え方)
*4 Cyber Incident Response Team (incident response teams within the Cybersecurity Management Department that specialize in information security issues within the organization) *4 サイバーインシデント対応チーム(サイバーセキュリティ管理部内に設置された、組織内の情報セキュリティ問題に特化したインシデント対応チーム)
*5 Security Operation Center (a specialized team within the Cybersecurity Management Department that monitors and analyzes threats to information systems in organizations such as enterprises) *5 セキュリティ・オペレーション・センター(エンタープライズなど組織内の情報システムに対する脅威を監視・分析するサイバーセキュリティ管理部内の専門チーム)
*6 Threat-Led Penetration Testing (evaluation of systems and response processes by analyzing targeted threats and conducting attacks that mimic actual attacks) *6 Threat-Led Penetration Testing(標的型脅威を分析し、実際の攻撃を模倣した攻撃を実施することで、システムや対応プロセスを評価する。)

 

 

・野村ホールディングス

・2024.06.26 20-F (Annual report - foreign issuer)  

Item 16K.Cybersecurity 項目16K.サイバーセキュリティ
Risk Management and Strategy リスクマネジメント戦略
Nomura maintains a comprehensive cybersecurity strategy. Identifying, assessing and managing cybersecurity threats and risks are an integral component of Nomura’s Operational Risk Management (ORM) Framework. See Item 11. “Quantitative and Qualitative Disclosures about Market, Credit and Other Risk—Operational Risk Management Framework” for further information on the framework. 野村は包括的なサイバーセキュリティ戦略を維持している。サイバーセキュリティの脅威およびリスクの特定、アセスメント、管理は、野村のオペレーショナル・リスク・マネジメント(ORM)フレームワークの不可欠な要素である。項目11. 「市場リスク、信用リスクおよびその他のリスクに関する定量的・定性的開示-オペレーショナル・リスク・マネジメントの枠組み」を参照のこと。
Nomura has invested and is continuing to invest in its cybersecurity strategy to address fast-evolving and sophisticated cybersecurity threats while at the same time complying with extensive global, legal and regulatory expectations. Our cybersecurity programs are designed to be in line with industry best practice standards and include core capabilities such as Security Governance, Security Awareness and Training, Threat Intelligence & Management, Security Operations Management, Vulnerability Management, Application Security, Data Security, and Identity and Access Management. 野村は、急速に進化する高度なサイバーセキュリティの脅威に対処すると同時に、グローバルで広範な法律や規制の期待に応えるため、サイバーセキュリティ戦略に投資しており、現在も投資を継続している。野村のサイバーセキュリティ・プログラムは、業界のベストプラクティスの標準に沿うように設計されており、セキュリティ・ガバナンス、セキュリティ意識向上およびトレーニング、脅威インテリジェンスおよび管理、セキュリティ・オペレーション・マネジメント、脆弱性管理、アプリケーション・セキュリティ、データ・セキュリティ、アイデンティティおよびアクセス・マネジメントなどの中核的な機能を備えている。
Nomura is regularly engaging various external service providers to perform independent assessments of our cybersecurity programs and controls. The results from these independent engagements are integrated into updates to our cybersecurity strategy as appropriate. We also conduct our own regular internal security assessments, such as penetration testing, vulnerability scanning, red teaming, and tabletop cyber attack simulations. 野村は、さまざまな外部サービス・プロバイダと定期的に契約し、サイバーセキュリティ・プログラムと統制の第三者評価を行っている。これらの第三者評価の結果は、適宜サイバーセキュリティ戦略の更新に反映される。また、侵入テスト、脆弱性スキャン、レッドチーム、机上でのサイバー攻撃シミュレーションなどの内部セキュリティ・アセスメントも定期的に実施している。
Nomura has developed a Third-Party Security Risk Management program that monitors and assesses the cybersecurity controls of our third-party vendors, which include, among others, service providers, SaaS providers, contractors, consultants, suppliers, etc. This program provides a consistent, controlled, cross-divisional approach to managing the services provided by third-party vendors. We perform various risk identification activities including security questionnaires, threat intel reports, SOC2 Type 2 attestation, and onsite reviews for critical suppliers. We also perform periodic reassessment of existing critical vendors. Security risks and exceptions observed are monitored per our global Operational Risk Management framework. 野村は、サードパーティ・セキュリティ・リスク管理プログラムを策定し、サービスプロバイダー、SaaSプロバイダー、請負業者、コンサルタント、サプライヤーなどのサードパーティ・ベンダーのサイバーセキュリティ管理体制を監視・アセスメントしている。このプログラムは、サードパーティ・ベンダーが提供するサービスを管理するための、一貫性のある管理された部門横断的なアプローチを提供する。セキュリティ・アンケート、脅威情報レポート、SOC2タイプ2認証、重要なサプライヤーのオンサイト・レビューなど、さまざまなリスク識別活動を行っている。また、既存の重要ベンダーの定期的な再評価も実施している。観察されたセキュリティリスクおよび例外は、当社のグローバルなオペレーショナルリスクマネジメントの枠組みに従って監視される。
During the fiscal year ended March 31, 2024, we did not identify any risks from cybersecurity threats, including as a result of previously identified cybersecurity incidents that have materially affected or are reasonably likely to materially affect our business strategy, results of operations or financial condition. However, there is no guarantee that our business strategy, results of operations and financial condition will not be materially affected by a future cybersecurity incident, and we cannot provide assurances that we have not had occurrences of undetected cybersecurity incidents. See Item 3.D “ Risk Factors ” for further information on our cybersecurity-related risks. 2024年3月31日に終了した事業年度において、過去に確認されたサイバーセキュリティインシデントの結果も含め、当社の事業戦略、経営成績または財政状態に重大な影響を与えた、または与える可能性が合理的に高いサイバーセキュリティの脅威によるリスクは確認されなかった。しかしながら、当社の事業戦略、経営成績および財政状態が将来のサイバーセキュリティインシデントによって重大な影響を受けないという保証はなく、また、未検出のサイバーセキュリティインシデントが発生していないという保証を提供することはできない。サイバーセキュリティ関連のリスクに関する詳細については、項目3.D「リスク要因」を参照のこと。
Cybersecurity Risk Governance サイバーセキュリティ・リスクのガバナンス
Nomura’s cybersecurity strategy and programs are managed by senior officers: the Group Chief Information Officer (“CIO”), who is supported by the Group Chief Information Security Officer (“CISO”) and the Group Chief Data Officer (“CDO”). 野村のサイバーセキュリティ戦略およびプログラムは、グループ・チーフ・インフォメーション・オフィサー(以下「CIO」)、グループ・チーフ・インフォメーション・セキュリティ・オフィサー(以下「CISO」)、グループ・チーフ・データ・オフィサー(以下「CDO」)というシニア・オフィサーによって管理されている。
These senior officers have extensive experience in technology, cybersecurity, information security, and data protection and privacy. The CIO has over 35 years of experience in various engineering, IT, Operations and information security roles. The CISO has over 20 years of experience leading cybersecurity teams at financial institutions, including in the areas of security engineering, risk and control management, data privacy, information security, and cybersecurity. The CDO has over 25 years of experience in data and analytics-led business transformation. これらの上級役員は、テクノロジー、サイバーセキュリティ、情報セキュリティ、データ・プライバシーの分野で豊富な経験を有している。CIOは、様々なエンジニアリング、IT、オペレーション、情報セキュリティの職務において35年以上の経験を有する。CISOは、セキュリティ・エンジニアリング、リスク・マネジメント、データ・プライバシー、情報セキュリティ、サイバーセキュリティの分野を含め、金融機関におけるサイバーセキュリティ・チームのリーダーとして20年以上の経験がある。CDOは、データとアナリティクス主導のビジネス変革において25年以上の経験を有する。
Our Board of Directors (“BoD”) has overall responsibility for risk management, with its committees assisting the BoD in performing this function based on their respective areas of expertise. Our BoD delegates its authority to execute business to the Executive Officers led by Group CEO to the extent permitted by law. Among the matters delegated to the Executive Officers by the BoD, the most important matters of business are decided upon deliberation by the Executive Management Board (“EMB”) which consists of the Executive Officers. The EMB delegates responsibility for deliberation of matters concerning risk management including cybersecurity risks to the Group Risk Management Committee (“GRMC”). The CIO is an observer of the EMB and the GRMC, and provides cybersecurity updates to the EMB and the GRMC. 当社の取締役会(以下「取締役会」)はリスクマネジメントの全体的な責任を負っており、取締役会を補佐する委員会がそれぞれの専門分野に基づいてこの機能を遂行している。取締役会は、法律で認められている範囲内で、グループCEO率いる執行役に業務執行権限を委譲している。取締役会から執行役に委任された事項のうち、最も重要な業務執行事項については、執行役で構成される執行役会(以下「EMB」という。EMBは、サイバーセキュリティリスクを含むリスクマネジメントに関する事項の審議をグループリスクマネジメント委員会(GRMC)に委任している。CIOはEMBおよびGRMCのオブザーバーであり、サイバーセキュリティに関する最新情報をEMBおよびGRMCに提供する。
The GRMC, based on a delegation from the EMB, meets regularly and reports on its activities and findings to the EMB. These meetings cover critical security topics such as resources and budget in cybersecurity risk mitigation and governance, cybersecurity risks, as well as security incidents and cyber tabletop simulations. In addition to these regular reporting activities to the GRMC, the EMB, and the BoD, potentially material cybersecurity events will be escalated to the same management bodies as well as key stakeholders according to Nomura’s security incident response process including crisis management perspectives. GRMCはEMBからの委任に基づいて定期的に会合を開き、その活動と調査結果をEMBに報告する。これらの会議では、サイバーセキュリティリスクの軽減やガバナンスにおけるリソースや予算、サイバーセキュリティリスクのほか、セキュリティインシデントやサイバー机上シミュレーションなど、重要なセキュリティトピックを取り上げている。GRMC、EMB、取締役会への定期的な報告活動に加え、サイバーセキュリティに関する潜在的に重要な事象は、危機管理の観点を含む野村のセキュリティ・インシデント対応プロセスに従って、同じ経営団体や主要なステークホルダーにエスカレーションされる。

 

・ダケダ

・2024.06.26 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity 項目16K サイバーセキュリティ
Risk management and strategy リスクマネジメント戦略
Cybersecurity Risk Management Framework サイバーセキュリティ・リスクマネジメントの枠組み
Takeda maintains a cybersecurity controls framework designed to identify, protect from, detect, respond to and recover from cybersecurity threats consistent with the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) Cybersecurity Framework. Preventive control measures are deployed across Takeda’s application, cloud, end-user device, networking and manufacturing infrastructure. Takeda’s Chief Information Security Officer (“CISO”) oversees our cybersecurity risk management framework, reporting to the Chief Data and Technology Officer (“CDTO”). Our CISO has over 30 years of experience in information technology, including more than 10 years serving in a CISO capacity at companies in various industries, including pharmaceuticals. タケダは、米国商務省の国立標準技術研究所(NIST)のサイバーセキュリティフレームワークに準拠し、サイバーセキュリティの脅威を特定、防御、検知、対応、回復するためのサイバーセキュリティ管理体制を維持している。予防的管理策は、タケダのアプリケーション、クラウド、エンドユーザーデバイス、ネットワーク、製造事業者のインフラ全体に展開されている。タケダのチーフ・インフォメーション・セキュリティ・オフィサー(CISO)は、チーフ・データ・アンド・テクノロジー・オフィサー(CDTO)に報告し、タケダのサイバーセキュリティ・リスクマネジメントの枠組みを監督している。当社のCISOは、製薬を含む様々な業種の企業で10年以上CISOを務めるなど、情報技術分野で30年以上の経験を有している。
Experienced and trained cyber risk professionals in the Cybersecurity & Risk team (“TCR”) within Takeda’s global data, digital & technology function (“DD&T”), many of whom hold certifications from established cybersecurity organizations, are responsible for identifying and managing cybersecurity risks from various sources, including proactive control evaluations, reporting by Takeda personnel, third-party security assessments, penetration testing, threat modeling, and vulnerability scanning of information systems. Takeda’s internal audit function performs periodic assessments on our cybersecurity controls framework. Third-party security assessments are performed during the vendor selection process or when significant changes are made to a vendor relationship, with each vendor assigned a residual risk rating which determines the frequency of re-assessment. Our commercial agreements typically include contractual provisions to ensure third-party vendors meet Takeda’s standards for data protection. タケダのグローバルデータ・デジタル・テクノロジー部門(以下、「DD&T」)内のサイバーセキュリティ&リスクチーム(以下、「TCR」)の経験豊富で訓練を受けたサイバーリスクの専門家は、その多くが確立されたサイバーセキュリティ組織の認定資格を有しており、プロアクティブな制御評価、タケダの職員による報告、サードパーティによるセキュリティ評価、侵入テスト、脅威モデル、情報システムの脆弱性スキャンなど、様々な情報源からサイバーセキュリティ・リスクを特定し、マネジメントする責任を負っている。タケダの内部監査機能は、タケダのサイバーセキュリティ管理体制について定期的なアセスメントを実施している。サードパーティによるセキュリティアセスメントは、ベンダーの選定プロセス中、またはベンダーとの関係に重要な変更があった場合に実施され、各ベンダーには、再評価の頻度を決定する残余リスク評価が割り当てられている。当社の商業契約には通常、サードパーティがタケダのデータ保護標準を満たすことを保証する契約条項が含まれている。
TCR risk professionals assess identified risks for their perceived severity of impact on Takeda and likelihood of occurrence, and design and implement appropriate responsive measures in collaboration with relevant business units. TCR provides to the CISO on a monthly basis, and to other members of DD&T senior management on a quarterly basis, operational reports regarding the number and nature of cyber incidents detected and the status of controls and program enhancements. Cybersecurity risk management is integrated into Takeda’s Enterprise Risk Management (“ERM”) program and addressed as a principal risk in our annual Enterprise Risk Assessment, which is reported to the RECC and the Board of Directors, each of which is responsible for approving the reported risks and associated mitigation plans, as well as assessing the effectiveness of the mitigation. In addition, all Takeda employees receive online training on cyber threats as well as periodic e-mail reminders about best practices to safeguard from those threats. TCRのリスク専門家は、特定されたリスクについて、タケダへの影響の重大性と発生の可能性を評価し、関連する事業部門と協力して適切な対応策を立案・実施する。TCRは、月次でCISOに、四半期ごとにDD&T上級管理職の他のメンバーに、検知されたサイバーインシデントの件数と性質、管理およびプログラムの強化状況に関する業務報告書を提供している。サイバーセキュリティリスクマネジメントは、タケダのエンタープライズリスクマネジメント(ERM)プログラムに組み込まれ、年次エンタープライズリスクアセスメントにおいて主要リスクとして取り上げられている。さらに、タケダの全従業員は、サイバー脅威に関するオンライントレーニングを受けるとともに、これらの脅威から身を守るためのベストプラクティスについて、定期的に電子メールによる注意喚起を受けている。
Cybersecurity Incident Response サイバーセキュリティインシデント対応
The TCR team has established an incident response procedure that governs our response to cybersecurity events and regularly conducts tabletop incident response exercises during the year. In the event a potential cybersecurity incident is detected, TCR’s core Information Security Incident Response Team (“ISIRT”) is responsible for investigation, analysis, containment and eradication of the threat, as well as recovery efforts, in coordination with other functions, such as Takeda’s Privacy Office, Human Resources, Crisis Management, Compliance and Legal, as needed depending on the severity and scope of the incident. Following recovery from an incident, ISIRT analyzes the underlying cause of the incident to identify and, as applicable, implement potential improvements to internal controls. While Takeda’s cybersecurity risk management program is principally managed by TCR risk professionals, it does engage third parties on an as-needed basis, including with respect to technical consulting and third-party digital forensic or cyber recovery partners in connection with incident response activities. TCRチームは、サイバーセキュリティ事象への対応をガバナンスするインシデント対応手順を策定し、年間を通じて定期的に机上インシデント対応演習を実施している。サイバーセキュリティに関するインシデントの可能性が検知された場合、TCRの中核をなす情報セキュリティ・インシデント対応チーム(ISIRT)は、インシデントの深刻度や範囲に応じて、必要に応じてタケダのプライバシーオフィス、人事、危機管理、コンプライアンス、法務などの他の部門と連携しながら、脅威の調査、分析、封じ込め、根絶、および復旧作業に責任を負う。インシデントからの復旧後、ISIRTは、インシデントの根本的な原因を分析し、該当する場合には、内部統制の改善の可能性を特定し、実施する。タケダのサイバーセキュリティリスクマネジメントプログラムは、主にTCRのリスク専門家によって管理されているが、インシデント対応活動に関連して、技術コンサルティングやサードパーティデジタルフォレンジックまたはサイバーリカバリーパートナーなど、必要に応じてサードパーティを起用している。
Cyber Incident Impacts サイバーインシデントによる影響
During the three fiscal years ended March 31, 2024, no risks from cybersecurity threats, including previous incidents, have materially affected or are reasonably likely to materially affect Takeda, including its business strategy, results of operations or financial condition. Notwithstanding our risk management efforts described above, we have been the target of cyberattacks and anticipate they will continue. Takeda cannot completely eliminate all risks associated with such attacks, which could have a material adverse effect on Takeda’s business strategy, results of operations or financial condition as further described in “Item 3.D. Risk Factors — Risks Relating to Our Business Strategies—We are increasingly dependent on information technology systems and our systems and infrastructure face the risk of misuse, theft, exposure, tampering or other intrusions”. 2024年3月31日に終了した3事業年度において、過去のインシデントを含め、サイバーセキュリティ上の脅威によるリスクは、タケダの事業戦略、経営成績または財政状態を含め、タケダに重大な影響を及ぼしたことはなく、また、及ぼす合理的な可能性もない。上記のようなリスクマネジメントの取り組みにもかかわらず、当社はサイバー攻撃の標的となっており、今後もサイバー攻撃は継続すると予想される。武田薬品は、このような攻撃に関連するすべてのリスクを完全に排除することはできず、「項目3.D. リスク要因-事業戦略に関するリスク-情報技術システムへの依存度が高まっており、当社のシステムおよびインフラは、誤用、盗難、エクスポージャー、改ざんまたはその他の侵入のリスクに直面している」に記載のとおり、当社の事業戦略、経営成績または財政状態に重要な悪影響を及ぼす可能性がある。
Governance ガバナンス
Takeda’s Board of Directors (the “Board”) is ultimately responsible for overseeing Takeda’s management of cybersecurity risk and provides strategic direction for Takeda’s information security program and responses to cybersecurity risks and incidents. Takeda’s CISO generally provides an annual update to the Board on the status of Takeda’s information security program, including significant developments, and the Board receives reports of any decisions by any of Takeda’s Business and Sustainability Committee, Portfolio Review Committee or Risk, Ethics and Compliance Committee (see “Item 6. Directors, Senior Management and Employees—C. Board Practices—Takeda Executive Team”) related to cybersecurity. In addition, the Board reviews and approves the Enterprise Risk Assessment, which includes significant cybersecurity risk matters, on an annual basis. On an as-needed basis, the Board is informed of, and provides strategic direction on, significant cybersecurity risks or incidents, if and when identified, by the CISO and CDTO. タケダの取締役会(以下「取締役会」という。)は、タケダのサイバーセキュリティリスクマネジメントを監督する最終的な責任を負っており、タケダの情報セキュリティプログラムおよびサイバーセキュリティリスクやインシデントへの対応について戦略的な方向性を示している。タケダのCISOは、通常、取締役会に対して、重要な進展を含むタケダの情報セキュリティプログラムの状況について、年次報告書を提出し、取締役会は、タケダの事業・持続可能性委員会、ポートフォリオ検討委員会またはリスク・エシックス・コンプライアンス委員会(「項目6.取締役、上級管理職および従業員-C.取締役会の慣行-タケダ・エグゼクティブ・チーム」を参照)。さらに、取締役会は、サイバーセキュリティリスクの重要事項を含むエンタープライズリスク アセスメントを毎年見直し、承認している。取締役会は、必要に応じて、CISOおよびCDTOから、重大なサイバーセキュリティリスクまたはインシデントが特定された場合、その内容について報告を受け、戦略的な指示を行う。
The Risk, Ethics & Compliance Committee (“RECC”) is the governing management committee responsible for overseeing risk management, including cybersecurity risk. The RECC is composed of the Takeda Executive Team, including Takeda’s CDTO and is chaired by Takeda’s Chief Ethics and Compliance Officer. In addition, Takeda’s CISO attends RECC meetings for relevant agenda items and generally provides an update to the RECC on the status of Takeda’s information security program, including significant developments, on at least annual basis. On an as-needed basis, DD&T senior management escalates decisions regarding significant cybersecurity risks to the RECC, which also reviews and approves Takeda’s annual Enterprise Risk Assessment before it is approved by the Board. For a description of the relevant expertise of the CISO and of management’s role and processes in assessing and managing material risks from cybersecurity threats, see “—Risk management and strategy—Cybersecurity Risk Management Framework.” リスク・エシックス・コンプライアンス委員会(RECC)は、サイバーセキュリティ・リスクを含むリスクマネジメントの監督に責任を負うガバナンス・マネジメント委員会である。RECCは、タケダのCDTOを含むタケダ・エグゼクティブ・チームで構成され、タケダの最高倫理・コンプライアンス責任者が委員長を務める。さらに、タケダのCISOは、関連する議題についてRECCの会合に出席し、通常、少なくとも年1回、重要な進展を含むタケダの情報セキュリティプログラムの状況についてRECCに最新情報を提供する。また、DD&Tの上級管理職は、必要に応じて、重要なサイバーセキュリティリスクに関する決定をRECCにエスカレーションし、RECCは、取締役会の承認を得る前に、タケダの年次エンタープライズリスクアセスメントを見直し、承認する。CISOの専門知識、およびサイバーセキュリティの脅威による重大なリスクの評価と管理における経営陣の役割とプロセスについては、「-リスクマネジメントと戦略-サイバーセキュリティ・リスクマネジメント・フレームワーク」を参照のこと。

 

・ソニー

・2024.06.25 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity 項目16K サイバーセキュリティ
Sony recognizes the importance of cybersecurity, both in achieving financial success for the company and in maintaining the trust of its stakeholders, which include shareholders, customers, employees, suppliers, and business partners. ソニーは、会社の経済的成功と、株主、顧客、従業員、サプライヤー、ビジネスパートナーなどのステークホルダーの信頼維持の両面で、サイバーセキュリティの重要性を認識している 。
Risk Management & Strategy リスクマネジメントと戦略
As part of Sony’s risk management framework, Sony maintains and continuously strives to enhance its information security program. This program covers the entire Sony Group and is implemented in accordance with policies and standards, which include cybersecurity risk management and governance frameworks, and guidance, developed by Sony and based on globally recognized industry best practices and standards. The policies define information security responsibilities within Sony and outline certain actions and procedures that officers and employees are required to follow, including with respect to the assessment and management of cybersecurity risks to Sony, including its systems and information. The policies, standards, and guidance are structured to help Sony respond effectively to the dynamically changing environment of cybersecurity threats, cybersecurity risks, technologies, laws, and regulations. Sony modifies its policies, standards, and guidance as needed to adjust to this changing environment. ソニーは、リスクマネジメントの一環として、情報セキュリティプログラムを維持し、継続的に強化している。このプログラムは、サイバーセキュリティリスクマネジメントやガバナンスの枠組み、ガイダンスなど、ソニーが開発し、グローバルに認められた業界のベストプラクティスや標準に基づくポリシーや標準に従って実施されている。これらの方針は、ソニーにおける情報セキュリティ責任を定義し、システムおよび情報を含むソニーのサイバーセキュリティリスクのアセスメントおよびマネジメントを含め、役員および従業員が従うべき一定の行動および手続きの概要を示している。これらの方針、標準、ガイダンスは、ダイナミックに変化するサイバーセキュリティ上の脅威、サイバーセキュリティ上のリスク、技術、法律、規制などの環境にソニーが効果的に対応できるように構成されています。ソニーは、このような環境の変化に適応するため、必要に応じて方針、標準、およびガイダンスを変更します。
If Sony’s cybersecurity risk management controls are overcome by a cyber attacker, Sony follows an incident response plan and escalation process as defined in the information security program. The response process includes an assessment of whether an incident may be material, and this assessment is adjusted as necessary as additional facts become known during the incident response. Any incident that is assessed as potentially material is escalated to Sony’s senior management and is reported to the two outside Directors in charge of information security on Sony Group Corporation’s Board of Directors (the “Board”). ソニーのサイバーセキュリティリスクマネジメントの統制がサイバー攻撃者に克服された場合、ソニーは情報セキュリティプログラムに定められたインシデント対応計画とエスカレーションプロセスに従う。この対応プロセスには、インシデントが重要であるかどうかのアセスメントが含まれ、このアセスメントは、インシデント対応中に追加的な事実が判明した場合、必要に応じて調整される。重要なインシデントである可能性があると評価されたインシデントは、ソニーの経営陣にエスカレーションされ、ソニーグループ株式会社の取締役会(以下「取締役会」)の情報セキュリティ担当社外取締役2名に報告される。
In the fiscal year ended March 31, 2024, Sony was the victim of several cyberattacks. None of these incidents was assessed to be material, nor did they materially affect Sony’s business strategy, the results of its operations, or its financial condition. However, there can be no guarantee that this will be the case with a future incident. For more information about risks Sony faces from cyberattacks, please refer to “Sony’s brand image, reputation and business may be harmed and Sony may be subject to legal claims if there is a breach or other compromise of Sony’s information security or that of its third-party service providers or business partners.” included in “Risk Factors” in “Item 3. Key Information.” 2024年度において、ソニーは複数のサイバー攻撃の被害にあった。これらのインシデントはいずれも重要性がなく、ソニーのビジネス戦略、経営成績、財政状態に重要な影響を及ぼすものではありませんでした。しかし、将来このようなインシデントが発生するという保証はありません。ソニーが直面するサイバー攻撃に関するリスクについては、「3.リスク要因」に記載されている「ソニーの情報セキュリティ、またはサードパーティやビジネス・パートナーの情報セキュリティが侵害された場合、ソニーのブランドイメージ、評判、ビジネスが損なわれ、法的責任を問われる可能性があります。重要な情報」の「リスク要因」に含まれている。
Sony has also established policies and processes to help identify and manage cybersecurity risks associated with third parties, including companies that provide services and products to Sony, and companies that hold Sony information or have electronic access to Sony systems or information. The policies and processes include assessment of the cybersecurity and privacy programs at certain third parties, the use of this risk information when making contracting decisions, and the use of contract language that includes cybersecurity and privacy requirements. また、ソニーは、サードパーティ(ソニーにサービスや製品を提供する会社、ソニーの情報を保有し、またはソニーのシステムや情報に電子的にアクセスできる会社を含みます。)に関連するサイバーセキュリティ・リスクを特定し管理するための方針およびプロセスを確立しています。この方針およびプロセスには、特定のサードパーティにおけるサイバーセキュリティおよびプライバシープログラムのアセスメント、契約上の意思決定を行う際のこのリスク情報の利用、サイバーセキュリティおよびプライバシーの要件を含む契約文言の使用などが含まれる。
Most of the information security program is implemented by Sony employees. Sony also engages the services of external providers to enhance and support its information security program, including leading cyber response specialists as may be needed, and consultants to evaluate and help improve organization, policies, and other aspects of the program. 情報セキュリティプログラムのほとんどは、ソニーの従業員によって実施されている。ソニーはまた、情報セキュリティプログラムを強化・支援するために、必要に応 じてサイバー対応の専門家や、組織・方針・その他の面を評価し改善を支援するコンサルタントを含む外部プロバイダのサービスを利用している。
Structure and Governance of Sony’s Information Security Program ソニーの情報セキュリティプログラムの構造とガバナンス
Sony’s information security program is under the responsibility of a Senior Executive, specifically, the Sony Group Chief Digital Officer (“CDO”), and the Sony Group Chief Information Security Officer (“CISO”), who reports to the CDO. ソ ニ ー の 情 報 セキュリティプ ログ ラム は 、ソ ニ ー グ ル ー プ チ ー フ デ ジ タ ル オ フィサー( 以 下「 CDO」)およびCDOの直轄組織であるソニーグループチーフインフォメー ションセキュリティオフィサー( 以 下「 CISO」)を中心とする経営陣の責任のもとに運営されている。
Under the leadership of the CDO and CISO, and supported by a global information security team that works across the entire Sony Group, Sony implements the cybersecurity risk management and governance frameworks that are described in its policies and standards. Each business segment of Sony has a senior information security leader, called an Executive Information Security Officer (“EISO”), who reports both to the CISO and to the senior management of the particular business unit. EISOs and their associated teams are responsible for ensuring implementation and operation of the information security program in a way that is tailored to each specific business unit, including as it relates to the assessment and management of cybersecurity risks. The CISO coordinates with the EISOs to monitor the proper implementation and compliance with Sony’s cybersecurity policies and standards. CDOとCISOのリーダーシップのもと、ソニーグループ全体で活動するグローバルな情報セキュリティチームの支援を受けながら、ソニーはポリシーと標準に記載されているサイバーセキュリティリスクマネジメントとガバナンスの枠組みを実施している。ソニーの各事業部門には、エグゼクティブ・インフォメーション・セキュリティ・オフィサー(「EISO」)と呼ばれる上級情報セキュリティ・リーダーがおり、CISOと特定の事業部門の経営陣の両方に報告を行う。EISOとその関連チームは、サイバーセキュリティリスクのアセスメントとマネジメントを含め、各事業部門に応じた情報セキュリティプログラムの実施と運用を確保する責任を負っている。CISOは、EISOと連携し、ソニーのサイバーセキュリティ方針および標準の適切な実施および遵守を監視する。
The current CDO has experience within Sony in launching and overseeing the development, technical operation, and business operations of large-scale network products and services, including overseeing implementation and operation of the information security program. The current CISO has more than 40 years of experience in cybersecurity. Before joining Sony, the CISO served as Deputy Chief Information Officer for Cybersecurity of the U.S. Department of Defense (the department’s equivalent of a CISO) and before that, as the Chief Information Assurance Executive at the Defense Information Systems Agency (DISA), an agency of the U.S. Department of Defense. 現職のCDOは、ソニーにおいて、情報セキュリティプログラムの実施および運用の監督を含む、大規模なネットワーク製品およびサービスの開発、技術的運用、および事業運営の立ち上げおよび監督に関する経験を有している。現CISOは、サイバーセキュリティにおいて40年以上の経験を有する。ソニー入社以前は、米国国防総省のサイバーセキュリティ担当副最高情報責任者(同省のCISOに相当)を務め、それ以前は、米国国防総省の一機関である防衛情報システム局(DISA)で最高情報保証責任者を務めていた。
To oversee the information security program, the Sony Group CEO and COO receive regular reports from the CDO, monthly reports from the CISO, additional reports as needed during the response to a cyber incident, and briefings from the CDO and CISO at various times during the year. The head of each Sony business segment also receives the monthly reports from the CDO and the CISO, as well as reports and briefings from the business segment EISO. 情報セキュリティプログラムを監督するため、ソニーグループのCEOとCOOは、CDOから定期的な報告を受け、CISOから月次報告を受け、サイバーインシデント対応時に必要に応じて追加報告を受け、CDOとCISOから年間を通じて様々なタイミングでブリーフィングを受けている。また、ソニーの各事業分野の責任者は、CDOおよびCISOからの月次報告、ならびに各事業分野のEISOからの報告および説明を受けている。
The Board oversees Sony’s information security efforts, including in the following ways: 取締役会は、以下の方法を含め、ソニーの情報セキュリティへの取り組みを監督している:
• Two outside Directors oversee Sony’s information security efforts, via monthly meetings and ad-hoc incident response communications with the CDO and CISO. Those meetings address, among other matters, significant cybersecurity incidents and Sony Group-level policies and key initiatives regarding cybersecurity. ・2名の社外取締役が、月1回の定例会議およびCDOおよびCISOとの臨時のインシデント対応コミュニケーションを通じて、ソニーの情報セキュリティの取り組みを監督している。これらの会議では、特に重要なサイバーセキュリティインシデント、サイバーセキュリティに関するソニーグループレベルの方針および主要な取り組みについて議論している。
- One of these two outside Directors has extensive experience in the development of large-scale information systems, including experience with management of the risks associated with cyberattacks. ・・社外取締役2名のうち1名は,サイバー攻撃に関連するリスクマネジメントの経験を含め,大規模情報システムの開発において豊富な経験を有している。
- The other outside Director serves simultaneously as the Chair of the Audit Committee. ・・もう一人の社外取締役は監査委員会の委員長を兼務している。
• The full Board receives reports from the outside Directors in charge of information security and briefings several times a year from the CDO and the CISO. The full Board also engages in discussion of these matters. ・取締役会全体は,情報セキュリティ担当の社外取締役から報告を受けるほか,CDOおよびCISOから年に数回説明を受ける。また,取締役会全体でもこれらの事項についての討議が行われる。

 

トヨタ

・2024.06.25 20-F (Annual report - foreign issuer)

ITEM 16K.CYBERSECURITY 項目16K.サイバーセキュリティ
Cybersecurity Risk Management and Strategy サイバーセキュリティのリスクマネジメントと戦略
The process at TMC for managing cybersecurity risks is integrated into the TGRS, a company-wide risk management framework based on ISO and COSO. For instance, based on the TGRS, TMC identifies cybersecurity risks, determines their degree of significance, and sets priorities to enable an effective response. For a further discussion of TMC’s company-wide risk management, see “Item 4. Information on TMC — 4.B. Business Overview — Climate Change-related Disclosures — Risk Management” in this annual report. TMCにおけるサイバーセキュリティ・リスクの管理プロセスは、ISOとCOSOに基づく全社的なリスクマネジメントの枠組みであるTGRSに統合されている。例えば、TGRSに基づき、TMCはサイバーセキュリティ・リスクを識別し、その重要度を判断し、効果的な対応を可能にするための優先順位を設定している。TMCの全社的リスクマネジメントの詳細については、「項目4.TMCに関する情報 - 4.B.事業概要 - 気候変動関連の開示 - リスクマネジメント」を参照のこと。
As part of TMC’s cybersecurity risk management process, TMC has a cybersecurity team established within the information systems field that gathers information concerning cybersecurity-related trends and case examples relating to other companies from third parties such as governmental security agencies, cybersecurity companies and software vendors, and monitors cyberattacks from external sources. In addition, by being a member of the Automotive Information Sharing & Analysis Center (Auto-ISAC) in Japan and the U.S., TMC is able to learn promptly about problematic events that occur within the industry and puts the information to use to improve and implement cybersecurity measures. Furthermore, TMC also actively collaborates with outside experts to gain outside knowledge and uses it to improve security. TMC also is a member of the Nippon Computer Security Incident Response Team (CSIRT) Association, which shares information about incidents, vulnerabilities, and signs of attacks, among member companies. TMCのサイバーセキュリティリスクマネジメントの一環として、情報システム分野にサイバーセキュリティチームを設置し、政府系セキュリティ機関、サイバーセキュリティ企業、ソフトウェアベンダーなどのサードパーティからサイバーセキュリティ関連の動向や他社事例に関する情報を収集し、外部からのサイバー攻撃を監視している。また、日米の自動車情報共有分析センター(Auto-ISAC)に加盟することで、業界内で発生した問題事象をいち早く把握し、サイバーセキュリティ対策の改善・実施に役立てている。さらに、外部の専門家とも積極的に連携し、外部の知見を得ることで、セキュリティの改善に役立てている。また、日本コンピュータ・セキュリティ・インシデント対応チーム(CSIRT)協議会にも加盟しており、インシデントや脆弱性、攻撃の兆候などの情報を会員企業間で共有している。
The team also shares information about security threats with Toyota’s overseas regional headquarters, which then share information within their own regions and implement countermeasures as necessary. Similarly, in the area of product security, the groups in charge of automotive security within the specialized team promotes automotive security initiatives throughout the entire automotive lifecycle in collaboration with the automotive development field, including product development with security-by-design and multi-layered protection in mind, in addition to compliance with international regulations and standards such as UNR155*1 and ISO/SAE 21434*2, and the collection and monitoring of threat and vulnerability information. 同チームは、トヨタの海外地域本部ともセキュリティ脅威に関する情報を共有し、海外地域本部は各地域で情報を共有し、必要に応じて対策を実施している。同様に、製品セキュリティの分野では、専門チーム内の自動車セキュリティ担当グループが、UNR155※1やISO/SAE 21434※2などの国際規制・規格への対応や、脅威・脆弱性情報の収集・監視に加え、セキュリティ・バイ・デザインや多層防御を考慮した製品開発など、自動車開発現場と連携しながら、自動車のライフサイクル全体を通じた自動車セキュリティへの取り組みを推進している。
 *1 Regulations concerning cybersecurity, which were adopted at the World Forum for the Harmonization of Vehicle Regulations (WP.29) in June 2020  *1 2020年6月の自動車規制調和世界フォーラム(WP.29)で採択されたサイバーセキュリティに関する規制。
 *2 International standards concerning cyber security of electrical/electronic systems of automobiles  *2 自動車の電気・電子システムのサイバーセキュリティに関する国際標準規格
TMC also provides information security training for all of TMC’s employees, including secondees and dispatched employees, such as through activities to raise awareness during “Information Security Reinforcement Months,” educational or warning information displayed at the startup of individuals’ personal computers, and unannounced training to test responses to targeted-attack-type emails. また、出向者や派遣社員を含む全社員を対象に、「情報セキュリティ強化月間」での意識向上活動や、パソコン起動時の啓発・注意喚起情報の表示、標的型攻撃メールへの対応をテストする抜き打ちトレーニングなど、情報セキュリティ教育を実施している。
In addition, third-party organizations with expertise in cybersecurity and risk management evaluate, based on such standards as those of the U.S National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), NIST’s Special Publications (SP) Series, ISO and International Electrotechnical Commission (IEC), the condition of the management and technical aspects of TMC’s security measures for information technology, operational technology, products and other areas. TMC implements measures to address problems identified through these evaluations as needed, working to raise the level of security. また、米国国立標準技術研究所のサイバーセキュリティフレームワーク(NIST CSF)、NISTの特別刊行物(SP)シリーズ、ISO、国際電気標準会議(IEC)などの標準に基づき、サイバーセキュリティやリスクマネジメントに精通したサードパーティが、情報技術、運用技術、製品などのセキュリティ対策のマネジメントや技術的な状況を評価している。これらの評価を通じて特定された問題点については、必要に応じて対策を実施し、セキュリティレベルの向上に努めている。
TMC has an ongoing process in place to monitor known access routes to its systems, block potential threats, and evaluate incidents as they are identified. This process also applies to the systems of certain subsidiaries as well as certain third-party distributors, suppliers, and service providers. TMCは、システムへの既知のアクセス経路を監視し、潜在的な脅威をブロックし、インシデントが特定された場合に評価する継続的なプロセスを実施している。このプロセスは、特定の子会社のシステム、および特定のサードパーティーの頒布事業者、サプライヤー、サービスプロバイダーにも適用される。
TMC has issued the All Toyota Security Guidelines (“ATSG”), which are guidelines for identifying and mitigating cybersecurity risks, to TMC’s consolidated subsidiaries, as well as third party dealers and rental or leasing agencies in Japan, requesting them to conduct self-inspections covering more than 100 items and enhance cybersecurity measures. In addition, the cybersecurity team carries out on-site audits by visiting the subsidiaries and other entities that the ATSG applies to, to check responses to the ATSG and the status of implementation of physical security measures at each company. TMC has also requested TMC’s key suppliers to enhance their cybersecurity measures based on the guidelines that are equivalent to the ATSG. TMCは、サイバーセキュリティリスクを特定し、低減するためのガイドラインである「オールトヨタセキュリティガイドライン(ATSG)」をTMCの連結子会社、日本国内のサードパーティ販売会社、レンタル・リース会社に発行し、100項目以上に及ぶ自己点検の実施とサイバーセキュリティ対策の強化を要請している。また、サイバーセキュリティチームは、ATSGが適用される子会社等の事業体を訪問し、ATSGへの対応状況や各社の物理的セキュリティ対策の実施状況を確認する実地監査を実施している。また、TMCの主要取引先に対しても、ATSGと同等のガイドラインに基づくサイバーセキュリティ対策の強化を要請している。
No material cybersecurity incident has occurred to Toyota to date. In fiscal 2024, Toyota did not identify cybersecurity risks from cybersecurity threats, including as a result of past cybersecurity incidents, that are reasonably likely to materially affect Toyota, including its business strategy, results of operations, or financial condition. However, despite the capabilities, processes, and other security measures we employ that we believe are designed to assess, identify, and mitigate the risk of cybersecurity incidents, we may not be aware of all vulnerabilities or might not accurately assess the risks of incidents, and such preventative measures cannot provide absolute security and may not be sufficient in all circumstances or mitigate all potential risks. For a further discussion of risks that may materially affect Toyota if a cybersecurity threat materializes and other matters, see “Risk Factors” in this annual report. これまでトヨタにサイバーセキュリティに関する重大インシデントは発生していない。2024年度において、トヨタは、過去のサイバーセキュリティインシデントの結果も含め、トヨタの事業戦略、経営成績または財政状態を含むトヨタに重大な影響を及ぼす可能性が合理的に高いサイバーセキュリティ脅威によるサイバーセキュリティリスクを特定していない。しかしながら、サイバーセキュリティインシデントのリスクをアセスメントし、特定し、軽減するために設計されていると考える、当社が採用している能力、プロセス、およびその他のセキュリティ対策にもかかわらず、当社はすべての脆弱性を把握しているとは限らず、インシデントのリスクを正確に評価できない可能性があり、そのような予防的対策は絶対的なセキュリティを提供することはできず、すべての状況において十分であるとは限らず、すべての潜在的リスクを軽減できるとは限らない。サイバーセキュリティの脅威が顕在化した場合にトヨタ自動車に重大な影響を及ぼす可能性のあるリスク等の詳細については、本年次報告書の「リスク要因」を参照されたい。
Cybersecurity Governance サイバーセキュリティガバナンス
TMC considers cybersecurity risk to be a particularly important risk within its risk management framework and one of the areas of focus for its board of directors, audit & supervisory board, and management. As part of the company-wide risk management process, in addition to developing the TGRS described above, TMC has established a governance and risk subcommittee that includes members of the board of directors and audit & supervisory board, as well as the Chief Information & Security Officer (“CISO”) as a member in charge of cybersecurity. The subcommittee discusses cybersecurity as one of the company-wide risks. トヨタ自動車は、サイバーセキュリティリスクをリスクマネジメントの枠組みの中で特に重要なリスクと位置づけ、取締役会、監査役会、経営陣の注力分野の一つとしている。全社的なリスクマネジメントプロセスの一環として、上記のTGRSの策定に加え、取締役会および監査役会のメンバー、ならびにサイバーセキュリティ担当として最高情報セキュリティ責任者(CISO)を含むガバナンス・リスク小委員会を設置している。同部会では、サイバーセキュリティを全社的なリスクのひとつとして議論している。
TMC’s cybersecurity team is led by the CISO and reports serious cybersecurity risks or incidents to the board of directors and the audit & supervisory board as they arise. TMCのサイバーセキュリティ・チームはCISOが率い、重大なサイバーセキュリティ・リスクやインシデントが発生した場合には、取締役会および監査役会に報告する。
In addition, the members of the Information Security Management Meeting, which is held approximately four times a year, receives reports on and oversees the status of cybersecurity risks and incidents at TMC. This body, chaired by the CISO, is attended by responsible personnel assigned to each security area, such as confidential information management, information systems, and supply chain. Participants report and share information about security risks and the status of incidents. さらに、年4回程度開催される情報セキュリティ・マネジメント会議のメンバーは、TMCのサイバーセキュリティ・リスクやインシデントの状況について報告を受け、監督している。CISOが議長を務めるこの団体には、機密情報管理、情報システム、サプライチェーンなど、各セキュリティ分野の責任者が出席する。参加者は、セキュリティ・リスクやインシデントの状況について報告し、情報を共有する。
Of such information, material matters are reported by the CISO to the board of directors and audit & supervisory board through the CRO, who is responsible for overall risk management. こうした情報のうち、重要なものについては、CISOがリスクマネジメント全般の責任者であるCROを通じて取締役会および監査役会に報告する。
In addition to the meeting mentioned above, the cybersecurity team is in close contact with full-time audit & supervisory board members, providing regular reports and receiving and responding to their inquiries about the state of TMC’s approach to cybersecurity and incident trends in the world. 上記の会議に加えて、サイバーセキュリティ・チームは常勤の監査役と緊密に連絡を取り合っており、定期的に報告を行うほか、サイバーセキュリティに対するTMCの取り組み状況や世界のインシデント動向に関する問い合わせを受け、対応している。
TMC’s process for identifying, tracking and managing cybersecurity risks on a daily basis is primarily carried out by the cybersecurity team led by the CISO. TMCの日常的なサイバーセキュリティ・リスクの識別、追跡、マネジメントのプロセスは、主にCISO率いるサイバーセキュリティ・チームによって行われている。
The cybersecurity team consists of professionals with cybersecurity expertise. Among the members, the CISO has gained experience in the development of in-vehicle software and on-board devices since joining TMC and has insights into information technologies such as software and cloud services. The CISO also gained experience in the field of cybersecurity since 2016, whe n he became an officer of Toyota’s Connected Company, and thus has knowledge of and insights into cybersecurity. サイバーセキュリティ・チームは、サイバーセキュリティの専門知識を持つプロフェッショナルで構成されている。メンバーのうち、CISOはTMC入社以来、車載ソフトウェアや車載機器の開発で経験を積み、ソフトウェアやクラウドサービスなどの情報技術に関する見識を持っている。また、CISOはトヨタのコネクティッドカンパニーの役員に就任した2016年からサイバーセキュリティ分野の経験を積んでおり、サイバーセキュリティに関する知見や見識を持っている。
TMC has a process where cybersecurity incidents at TMC or TMC’s group companies or suppliers is reported to an appropriate cybersecurity team in a timely manner as it occurs and escalated to the CISO according to the severity of the incident. TMCは、TMCまたはTMCのグループ会社やサプライヤーでサイバーセキュリティに関するインシデントが発生した場合、タイムリーに適切なサイバーセキュリティチームに報告され、インシデントの重大性に応じてCISOにエスカレーションされるプロセスを有している。
In addition, TMC has the Toyota Motor Corporation-Security Incident Response Team (TMC-SIRT), a response team including members of management, and has established a system to take appropriate and prompt action to resolve incidents. The TMC-SIRT does not only respond to cybersecurity incidents at TMC, but also provides support for incidents at TMC’s subsidiaries in Japan and overseas and key suppliers in Japan as necessary to bring the situation under control. また、経営層を含む対応チーム「トヨタ自動車・セキュリティ・インシデント対応チーム(TMC-SIRT)」を設置し、インシデントの解決に向けて適切かつ迅速な対応を行う体制を構築している。TMC-SIRTは、TMCにおけるサイバーセキュリティインシデントへの対応だけでなく、TMCの国内外子会社や国内主要取引先におけるインシデントに対しても、必要に応じて事態収束に向けた支援を行っている。
The CISO is responsible for managing the cybersecurity risks and strategic processes described above, as well as overseeing the prevention, mitigation, detection, and remediation of cybersecurity incidents. CISOは、上記のサイバーセキュリティリスクと戦略プロセスのマネジメントに加え、サイバーセキュリティインシデントの予防、低減、検知、是正を監督する責任を負う。

 

ホンダ

・2024.06.20 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity 項目16K サイバーセキュリティ
Risk Management and Strategy リスクマネジメントと戦略
Honda has established a management system and standards for information system security in order to minimize the negative impact on its business and business results from the occurrence of cybersecurity incidents. Based on these standards, we have implemented security measures in both hardware and software aspects to strengthen the security of our information systems. To address security, including product security, we have established a cross-functional system across business and manufacturing systems, software, quality, and other areas. ホンダは、サイバーセキュリティインシデントの発生による事業および業績への悪影響を最小限に抑えるため、情報システムセキュリティに関する管理体制および標準を確立している。これらの標準に基づき、ハードウェアとソフトウェアの両面からセキュリティ対策を実施し、情報システムのセキュリティ強化を図っている。製品セキュリティを含むセキュリティ対策として、業務・製造システム、ソフトウェア、品質など横断的な体制を構築している。
We develop rules and procedures based on laws and regulations, formulate response flows, verify and implement measures for improvement through cybersecurity exercises, and develop human resources, among other things. We also utilize solutions for managing cybersecurity information and monitoring malicious activities to monitor and analyze cybersecurity threats and vulnerabilities, and in the event of a security incident related to a cyberattack with a significant impact on Honda, we establish a Global Emergency Headquarters under the supervision and monitoring of the Risk Management Officer, and the supervisory division in charge of risks from cybersecurity threats plays a central role in quickly ascertaining the actual situation and taking measures to minimize the impacts of cybersecurity incidents from a company-wide perspective. 法令に基づくルールや手順の整備、対応フローの策定、サイバーセキュリティ演習による改善策の検証・実施、人材育成などを行っている。また、サイバーセキュリティ情報管理ソリューションや悪質行為監視ソリューションを活用し、サイバーセキュリティ上の脅威や脆弱性を監視・分析するとともに、ホンダに重大な影響を及ぼすサイバー攻撃に関するセキュリティインシデントが発生した場合には、リスクマネジメント責任者の統括・監視のもと、グローバル緊急対策本部を設置し、サイバーセキュリティ上の脅威によるリスクを担当する統括部門が中心となって、全社的な観点から迅速な実態把握とサイバーセキュリティインシデントによる影響を最小限に抑えるための対策を講じている。
When implementing third-party packaged software and cloud services, we make decisions based on risk assessments following established security standards and conduct annual checks after implementation. In response to cyberattacks on production facilities and suppliers, we verify the status of security measures at both domestic and overseas production facilities and suppliers. Based on the results of these verifications, we take measures to strengthen security, such as supporting the introduction of solutions for managing cybersecurity incident information, and monitoring malicious activities. For such activities to strengthen security, we have concluded outsourcing agreements with security consulting companies and external specialists to receive support. サードパーティ製のパッケージソフトやクラウドサービスの導入に際しては、定められたセキュリティ標準に従ったリスクアセスメントに基づいて判断し、導入後も年1回のチェックを実施している。生産拠点やサプライヤーへのサイバー攻撃に対しては、国内外の生産拠点やサプライヤーのセキュリティ対策状況を検証している。検証結果に基づき、サイバーセキュリティインシデント情報管理ソリューションの導入支援や悪質な行為の監視など、セキュリティ強化策を講じている。こうしたセキュリティ強化のための活動については、セキュリティコンサルティング会社や外部の専門家と業務委託契約を締結し、支援を受けている。
With regard to personal information protection regulations and cybersecurity-related laws and regulations in various countries, in addition to current regulations, we collect and monitor information on regulatory trends that are expected to be enforced in the future. 各国の個人情報保護規制やサイバーセキュリティ関連法規制については、現行の規制に加えて、今後施行が予想される規制動向の情報収集・監視を行っている。
These comprehensive cybersecurity response processes are incorporated into Honda’s comprehensive risk management system and will be discussed in detail in the following “Governance” section. これらの包括的なサイバーセキュリティ対応プロセスは、ホンダの包括的なリスクマネジメントシステムに組み込まれており、詳細は以下の「ガバナンス」の項で説明する。
For a description of information security-related risks, including risks from cybersecurity threats, identified by Honda as of the filing date of this Annual Report, please refer to Item 3. “Key Information—D. Risk Factors—Information Security Risks”. 本アニュアルレポートの提出日現在、ホンダが認識しているサイバーセキュリティの脅威によるリスクを含む情報セキュリティ関連リスクについては、「3.「重要な情報-D.リスク要因-情報セキュリティリスク」を参照のこと。
Honda has been targeted by cyberattacks in the past; however, no risks from cybersecurity threats have been identified that have materially affected or are reasonably likely to materially affect us, including our business strategy, results of operations or financial condition, over the past three fiscal years, including the fiscal year that is the subject of this annual report. ホンダは過去にサイバー攻撃の標的にされたことがあるが、本アニュアルレポートの対象となっている事業年度を含む過去3事業年度において、当社の事業戦略、経営成績または財政状態を含む当社に重大な影響を与えた、または与える可能性が合理的に高いサイバーセキュリティの脅威によるリスクは確認されていない。
Governance ガバナンス
Based on the resolution of the Board of Directors, the Board of Directors has appointed the Director, Executive Vice President and Representative Executive Officer as the Risk Management Officer, who monitors and supervises the response status of significant risks, including risks from cybersecurity threats. 取締役会の決議に基づき、取締役副社長執行役員をリスクマネジメント担当執行役員に任命し、サイバーセキュリティ上の脅威によるリスクを含む重要なリスクへの対応状況を監視・監督している。
The Risk Management Committee, chaired by the Risk Management Officer, has been established to deliberate on important matters related to risk management, including risk from cybersecurity threats. Honda has established the Honda Global Risk Management Policy, which stipulates the Company’s basic policy for risk management, the collection of risk information, and the response system in the event of risk occurrence. サイバーセキュリティの脅威によるリスクを含むリスクマネジメントに関する重要事項を審議するため、リスクマネジメントオフィサーを委員長とするリスクマネジメント委員会を設置している。ホンダは、リスクマネジメントの基本方針、リスク情報の収集、リスク発生時の対応体制などを定めた「ホンダグローバルリスクマネジメント方針」を制定している。
In accordance with the aforementioned Policy, Honda has designated its cybersecurity supervisory divisions to conduct risk assessments and report the status of cybersecurity risk responses to the Risk Management Officer through the Risk Management Committee. The designated cybersecurity supervisory divisions consisted of 64 members as of the filing date of this Annual Report with practical experience in various roles related to information technology, including security, auditing, and systems are established in both the Quality Innovation Operations and Corporate Administration Operations divisions. The Risk Management Officer, who has knowledge and experience in overall risk management, receives technical support from the cybersecurity risk supervisory divisions, and monitors and supervises the responses to risks from cybersecurity threats. 同方針に基づき、サイバーセキュリティ統括部署を定め、リスクアセスメントを実施するとともに、サイバーセキュリティリスクへの対応状況をリスクマネジメント委員会を通じてリスクマネジメントオフィサーに報告している。サイバーセキュリティ統括部署は、本有価証券報告書提出日現在64名で構成され、セキュリティ、監査、システムなど情報技術に関する様々な職務の実務経験を有する者を、品質革新業務部門と経営管理業務部門の双方に設置している。また、リスクマネジメント全般の知識と経験を有するリスクマネジメントオフィサーが、サイバーセキュリティリスク統括部門から技術的な支援を受け、サイバーセキュリティの脅威によるリスクへの対応を監視・監督している。
In the event of a material cybersecurity incident, the cybersecurity risk supervisory divisions are to immediately report it to the Risk Management Officer. Upon receiving the report, the Risk Management Officer is to establish a Global Emergency Headquarters, which coordinate with relevant organizations affected by the incident in order to prevent and contain the crisis. Such response status is reported to the Board of Directors and the Executive Council as necessary based on the judgment of the Risk Management Officer. 重要なサイバーセキュリティインシデントが発生した場合、サイバーセキュリティリスク統括部門は直ちにリスクマネジメントオフィサーに報告する。報告を受けたリスクマネジメントオフィサーは、グローバル緊急対策本部を設置し、インシデントの影響を受ける関連組織と連携して、危機の予防と封じ込めを行う。こうした対応状況は、リスクマネジメント担当役員の判断に基づき、必要に応じて取締役会および経営会議に報告される。

 

今日現在で、MUFGは20-Fを見つけられませんでした...

Canonは昨年、NYSE上場を廃止すると発表していますね...昔は、(12月決算会社だったので)USGAAPで開示している日本企業のトップを切って開示をしていましたので、USGAAPの監査をする際には、キヤノン先生(^^)の開示を確認したりしていましたね...

あと、10年以上前に廃止していますけど、日立製作所の経理部門もレベルが高かったですよね...

Nasdaqといえば、IIJが上場していましたね...ここも廃止しましたけど...

 

今回紹介したところの2024年の20-Fと有価証券報告書...

2024 20-F 有価証券報告書
三井住友ファイナンシャルグループ
ORIX
みずほファイナンシャルグループ
三菱UFJファイナンシャルグループ  
野村ホールディングス
武田薬品工業
ソニーグループ
トヨタ自動車
本田技研工業

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.19 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合

・2024.07.15 SECのルールの改正によるサイバーセキュリティ開示 (20-F) ORIX、野村、タケダ、ソニー、トヨタ、ホンダの場合

・2024.07.14 SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

・2024.06.02 米国 SEC ニューヨーク証券取引所を所有するインターコンチネンタル取引所をサイバー侵入をしていたのに通知しなかったいうことで1000万ドル(約16億円)の罰金を受け入れていますね... (2024.05.22)

・2023.11.08 米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2023.03.17 米国 SEC 米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を市場関係者向けに提案

 

 

| | Comments (0)

2024.07.14

SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

こんにちは、丸山満彦です。

2023.07.26にSECのルールが改正され、Cybersecurityについての開示が強化され、2023.12.15以後に終了する事業年度から、その開示が求められることになりましたが、それから半年以上がすぎ、Form10-Kに記載されている事例もたくさんありますので、ちょっと紹介...

10-KのItem 1C. Cybersecurity

Risk Management and Strategyとして、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、

  • そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
  • そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
  • 第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか

を記載することになります。

また、過去のサイバーセキュリティインシデントの結果を含むサイバーセキュリティの脅威から生じるリスクが、その企業の事業戦略、業績、財務状況を含め、重要な影響を与えたか、重要な影響を与える可能性が合理的に高いかどうか、どのように影響を与えた(または、与える可能性が合理的に高いか)を記載する必要があります。。。

そして、

Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。

取締役会としての監督については、

  • サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
  • そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス

経営者としての役割としては、

  • 経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
    • どの経営委員会又は役職が負うのか、
    • その担当者や委員が有する関連する専門知識
  • その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
  • その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか

● SECURITIES AND EXCHANGE COMMISSION - EDGAR

1_20240714072701

 

開示内容...

 

・ INTERNATIONAL BUSINESS MACHINES CORP (IBM)

・2024.02.26 10-K (Annual report

Item 1C.Cybersecurity: 項目1C.サイバーセキュリティ
Risk Management and Strategy リスクマネジメントと戦略
Cybersecurity is a critical part of risk management at IBM and is integrated with the company’s overall enterprise risk management framework. The Board of Directors and the Audit Committee of the Board are responsible for overseeing management’s execution of cybersecurity risk management and for assessing IBM’s approach to risk management. Senior management is responsible for assessing and managing IBM’s exposure to cybersecurity risks on an ongoing basis. サイバーセキュリティは、IBM のリスクマネジメントの重要な一部であり、IBM のエンタープライズリスク管理フレームワーク全体と統合されている。取締役会および取締役会監査委員会は、経営陣によるサイバーセキュリティ・リスクマネジメントの実行を監督し、リスクマネジメントに対する IBM のアプローチを評価する責任を負う。上級経営陣は、IBM のサイバーセキュリティ・リスクへのエクスポージャーを継続的に評価し、管理する責任を負う。
From an enterprise perspective, we implement a multi-faceted risk management approach based on the National Institute of Standards and Technology Cybersecurity Framework. We have established policies and procedures that provide the foundation upon which IBM’s infrastructure and data are managed. We regularly assess and adjust our technical controls and methods to identify and mitigate emerging cybersecurity risks. We use a layered approach with overlapping controls to defend against cybersecurity attacks and threats on IBM networks, end-user devices, servers, applications, data, and cloud solutions. エンタープライズの観点から、当社は国立標準技術研究所サイバーセキュリティフレームワークに基づく多面的なリスクマネジメントを実施している。当社は、IBM のインフラとデータを管理する基盤となる方針と手順を確立している。私たちは、新たなサイバーセキュリティ・リスクを特定し、軽減するために、技術的なコントロールと方法を定期的にアセスメントし、調整している。当社は、IBM ネットワーク、エンドユーザー・デバイス、サーバー、アプリケーション、データ、およびクラウド・ソリューションに対するサイバーセキュリティ攻撃や脅威を防御するために、重層的な管理手法を使用している。
We draw heavily on our own commercial security solutions and services to manage and mitigate cybersecurity risks. IBM maintains a Security Operations Center (“SOC”) that monitors for threats to IBM’s networks and systems, utilizing threat intelligence provided by a range of sources, including the IBM Security X-Force Exchange platform, which maintains one of the largest compilations of threat intelligence in the world. We also rely on tools licensed from third party security vendors to monitor and manage cybersecurity risks. We periodically engage third parties to supplement and review our cybersecurity practices and provide relevant certifications. サイバーセキュリティ・リスクを管理・軽減するために、IBM は独自の商用セキュリティ・ソリューションとサービスを多用している。IBMは、IBMのネットワークとシステムに対する脅威を監視するセキュリティ・オペレーション・センター(「SOC」)を維持しており、世界最大級の脅威インテリジェンス集を維持するIBM Security X-Force Exchangeプラットフォームなど、さまざまなソースから提供される脅威インテリジェンスを活用している。また、サイバーセキュリティ・リスクを監視・管理するために、サードパーティのセキュリティ・ベンダーからライセンスを受けたツールにも依存している。サードパーティとは、当社のサイバーセキュリティの実践を補足・検証し、関連認証を提供するために定期的に契約している。
We have a global incident response process, managed by IBM’s Computer Security Incident Response Team (“CSIRT”), that relies primarily on internal expertise to respond to cybersecurity threats and attacks. We utilize a combination of online training, educational tools, videos and other awareness initiatives to foster a culture of security awareness and responsibility among our workforce, including responsibility for reporting suspicious activity. 当社は、IBM のコンピュータ・セキュリティ・インシデント対応チーム(「CSIRT」)が管理するグローバル・インシデント対応プロセスを持っており、サイバーセキュリティの脅威や攻撃に対応するために、主に社内の専門知識に依存している。IBM は、オンライン・トレーニング、教育ツール、ビデオ、およびその他の意識向上イニシアチブを組み合わせて活用し、不審な活動を報告する責任を含め、従業員の間でセキュリティに対する意識と責任の文化を醸成している。
IBM has a third party supplier risk management program to oversee and identify risks from cybersecurity threats associated with its use of third party service providers and vendors. Risks are assessed and prioritized based, among other things, on the type of offering/engagement, supplier assessments, threat intelligence, and industry practices. IBM は、サードパーティのサービスプロバイダーやベンダーの使用に関連するサイバーセキュリティの脅威によるリスクを監督し、特定するためのサードパーティサプライヤーリスク管理プログラムを有している。リスクは、提供/契約の種類、サプライヤーのアセスメント、脅威情報、および業界の慣行などに基づいて評価され、優先順位が付けられる。
As discussed in greater detail in Item 1A., "Risk Factors," the company faces numerous and evolving cybersecurity threats, including risks originating from intentional acts of criminal hackers, hacktivists, nation states and competitors; from intentional and unintentional acts or omissions of customers, contractors, business partners, vendors, employees and other third parties; and from errors in processes or technologies, as well as the risks associated with an increase in the number of customers, contractors, business partners, vendors, employees and other third parties working remotely. While the company continues to monitor for, identify, investigate, respond to and remediate cybersecurity risks, including incidents and vulnerabilities, there have not been any that have had a material adverse effect on the company, though there is no assurance that there will not be cybersecurity risks that will have a material adverse effect in the future. 項目1A「リスク要因」で詳述しているように、当社は、犯罪的ハッカー、ハクティビスト、国家、競合他社の意図的行為に起因するリスク、顧客、請負業者、ビジネス・パートナー、ベンダー、従業員、その他の第三者の意図的・非意図的な作為・不作為に起因するリスク、プロセスや技術のエラーに起因するリスク、さらにはリモートで作業する顧客、請負業者、ビジネス・パートナー、ベンダー、従業員、その他の第三者の増加に伴うリスクなど、数多くの進化するサイバーセキュリティの脅威に直面している。当社は、インシデントや脆弱性を含むサイバーセキュリティリスクの監視、特定、調査、対応、是正を継続しているが、当社に重大な悪影響を及ぼしたリスクは発生していない。
Governance ガバナンス
IBM’s Enterprise & Technology Security (“E&TS”) organization has oversight responsibility for the security of both IBM’s internal systems and external offerings and works across all of the organizations within the company to protect IBM, its brand, and its clients against cybersecurity risks. E&TS also addresses cybersecurity risks associated with third party suppliers. For these purposes, E&TS includes a dedicated Chief Information Security Officer (“CISO”) whose team is responsible for leading enterprise-wide information security strategy, policy, standards, architecture, and processes for IBM’s internal systems. The CISO manages the CSIRT. The CISO also manages the Product Security Incident Response Team (“PSIRT”), which focuses on product vulnerabilities potentially affecting the security of offerings sold to customers. IBM also has Business Information Security Officers (“BISO”) who coordinate with the Office of the CISO on security issues specific to particular business segments. IBMのエンタープライズ&テクノロジー・セキュリティ(以下「E&TS」)組織は、IBMの社内システムと社外提供物の両方のセキュリティに対する監督責任を有し、IBM、そのブランド、およびその顧客をサイバーセキュリティリスクから保護するために、社内のすべての組織にまたがって活動している。E&TS は、サードパーティ・サプライヤーに関連するサイバーセキュリティ・リスクにも対処している。これらの目的のために、E&TS には専任の最高情報セキュリティ責任者(「CISO」)が含まれ、そのチームは IBM の社内システムに関するエンタープライズ全体の情報セキュリティ戦略、ポリシー、標準、アーキテクチャ、およびプロセスを統率する責任を負う。CISOはCSIRTを管理する。CISOはまた、製品セキュリティインシデントレスポンスチーム(以下「PSIRT」)を管理し、顧客に販売される製品のセキュリティに影響を及ぼす可能性のある製品の脆弱性に焦点を当てている。IBMはまた、特定の事業セグメントに特有のセキュリティ問題についてCISOオフィスと調整するビジネス情報セキュリティ・オフィサー(「BISO」)も擁している。
The CSIRT team, together with the Office of the Chief Information Officer (“CIO”), Cyber Legal, Corporate Security, and BISOs, engages in on-going reviews of incidents, threat intelligence, detections, and vulnerabilities, including to assess client and regulatory impact. Events of interest are promptly reported to the Senior Vice President (“SVP”) for Legal & Regulatory Affairs and General Counsel (“GC”) and the SVP overseeing cybersecurity (“SVP Sponsor”). CSIRTチームは、最高情報責任者室(「CIO」)、サイバー法務部、コーポレート・セキュリティ部、およびBISOとともに、インシデント、脅威インテリジェンス、検知、および脆弱性の継続的なレビューに従事し、顧客および規制への影響の評価も行っている。関心のある事象は、法務・規制担当上級副社長(「SVP」)および法務顧問(「GC」)、サイバーセキュリティを監督するSVP(「SVPスポンサー」)に速やかに報告される。
Incidents are delegated to an appropriate incident response team for assessment, investigation, and remediation. Depending on the nature of the matter, the incident response team may include individuals from E&TS, the Office of the CISO, the Office of the CIO, Cyber Legal, Business Units, the Chief Privacy Office, Human Resources, Procurement, Finance and Operations, and Corporate Security. The incident response teams advise and consult with the GC and the SVP Sponsor, as appropriate. アセスメントは、適切なインシデント対応チームに委譲され、評価、調査、修復が行われる。問題の性質に応じて、インシデント対応チームには、E&TS、CISO室、CIO室、サイバー法務部、事業部門、チーフプライバシーオフィス、人事部、調達部、財務・業務部、およびコーポレートセキュリティの担当者が含まれる。インシデント対応チームは、適宜、GCおよびSVPスポンサーに助言し、協議を行う。
The Cybersecurity Advisory Committee (“CAC”) meets regularly and is responsible for overseeing management of the Company’s cybersecurity risk. The CAC is composed of, among others, SVPs from the major business units, the SVP Sponsor, and the GC. The CAC is responsible for, among other things, setting the Company’s governance structure for managing cybersecurity risk and reviewing noteworthy cybersecurity incidents and strategies to prevent recurrence. IBM management responsible for managing cybersecurity risk reflects a cross-section of functions from across the organization with significant experience in managing such risk as well as the technologies underlying these risks. They also hold leadership positions outside of IBM in the field of cybersecurity, serving on governing and advisory boards of public and private institutions at the forefront of issues related to cybersecurity, including technology development, cybersecurity policy, and national security. サイバーセキュリティ諮問委員会(CAC)は定期的に会合を開き、当社のサイバーセキュリティリスクマネジメントを監督する責任を負う。CACは、特に主要事業部門のSVP、SVPスポンサー、GCで構成される。CACは特に、サイバーセキュリティリスクを管理するための当社のガバナンス構造を設定し、注目すべきサイバーセキュリティインシデントと再発防止戦略を検討する責任を負う。サイバーセキュリティ・リスクの管理を担当するIBMのマネジメントは、そのようなリスクやリスクの根底にあるテクノロジーの管理について豊富な経験を持つ、組織全体の機能を横断的に反映している。また、IBM の外部でサイバーセキュリティの分野で指導的な立場にあり、技術開発、サイバーセキュリティ政策、国家安全保障など、サイバーセキュリティに関連する問題の最前線にある公的機関や民間機関のガバナンスや諮問委員会の委員を務めている。
The Board of Directors and the Audit Committee oversees the cyber governance process. Leadership from E&TS, including the CISO, make regular presentations to the Audit Committee and the full Board on identification, management, and remediation of cybersecurity risks, both internal and external, as well as threat intelligence, emerging global policies and regulations, cybersecurity technologies, and best practices. In addition, senior management provides briefings as needed to the Audit Committee Chair, the Audit Committee, and, as appropriate, the full Board, on cybersecurity issues and incidents of potential interest. 取締役会と監査委員会がサイバーガバナンス・プロセスを監督している。CISOを含むE&TSのリーダーシップは、監査委員会および取締役会全体に対して、内外のサイバーセキュリティ・リスクの特定、マネジメント、是正、脅威情報、新たなグローバル政策・規制、サイバーセキュリティ・テクノロジー、ベストプラクティスに関するプレゼンテーションを定期的に行っている。さらに、上級管理職は監査委員会委員長、監査委員会、および必要に応じて取締役会全体に対して、サイバーセキュリティの問題や潜在的な関心事に関するブリーフィングを随時行っている。

 

・Intel

・2024.01.26 10-K (Annual report)

Cybersecurity サイバーセキュリティ
We face significant and persistent cybersecurity risks due to: the breadth of geographies, networks, and systems we must defend against cybersecurity attacks; the complexity, technical sophistication, value, and widespread use of our systems, products and processes; the attractiveness of our systems, products and processes to threat actors (including state-sponsored organizations) seeking to inflict harm on us or our customers; the substantial level of harm that could occur to us and our customers were we to suffer impacts of a material cybersecurity incident; and our use of third-party products, services and components. We are committed to maintaining robust governance and oversight of these risks and to implementing mechanisms, controls, technologies, and processes designed to help us assess, identify, and manage these risks. While we have not, as of the date of this Form 10-K, experienced a cybersecurity threat or incident that resulted in a material adverse impact to our business or operations, there can be no guarantee that we will not experience such an incident in the future. Such incidents, whether or not successful, could result in our incurring significant costs related to, for example, rebuilding our internal systems, writing down inventory value, implementing additional threat protection measures, providing modifications or replacements to our products and services, defending against litigation, responding to regulatory inquiries or actions, paying damages, providing customers with incentives to maintain a business relationship with us, or taking other remedial steps with respect to third parties, as well as incurring significant reputational harm. In addition, these threats are constantly evolving, thereby increasing the difficulty of successfully defending against them or implementing adequate preventative measures. We have seen an increase in cyberattack volume, frequency, and sophistication. We seek to detect and investigate unauthorized attempts and attacks against our network, products, and services, and to prevent their occurrence and recurrence where practicable through changes or updates to our internal processes and tools and changes or updates to our products and services; however, we remain potentially vulnerable to known or unknown threats. In some instances, we, our suppliers, our customers, and the users of our products and services can be unaware of a threat or incident or its magnitude and effects. Further, there is increasing regulation regarding responses to cybersecurity incidents, including reporting to regulators, which could subject us to additional liability and reputational harm. See "Risk Factors" for more information on our cybersecurity risks and product vulnerability risks. サイバーセキュリティ攻撃から守らなければならない地域、ネットワーク、システムの広さ、当社のシステム、製品、プロセスの複雑さ、技術的洗練度、価値、広範な使用、当社または当社の顧客に損害を与えようとする脅威行為者(国家支援組織を含む)にとって当社のシステム、製品、プロセスが魅力的であること、当社が重大なサイバーセキュリティインシデントの影響を受けた場合、当社および当社の顧客に発生する可能性のある実質的な損害のレベル、サードパーティ製品、サービス、コンポーネントの使用により、当社は重大かつ持続的なサイバーセキュリティリスクに直面している。当社は、これらのリスクに対する強固なガバナンスと監視を維持し、これらのリスクのアセスメント、識別、管理を支援するために設計されたメカニズム、コントロール、テクノロジー、およびプロセスの導入に取り組んでいる。本フォーム10-Kの日付現在、当社の事業または業務に重大な悪影響をもたらすサイバーセキュリティの脅威またはインシデントを経験したことはないが、当社が将来そのようなインシデントを経験しないという保証はない。このようなインシデントが発生した場合、その成否にかかわらず、例えば、社内システムの再構築、在庫価値の評価減、追加の脅威防御策の導入、当社製品およびサービスの修正または代替品の提供、訴訟に対する防御、規制当局からの照会または措置への対応、損害賠償金の支払い、当社との取引関係を維持するためのインセンティブの顧客への提供、または第三者に関するその他の是正措置などに関連する多額の費用が発生し、また、大きな風評被害を被る可能性がある。加えて、これらの脅威は常に進化しているため、これらに対する防御を成功させたり、適切な予防策を実施したりすることの難易度が増している。サイバー攻撃の量、頻度、巧妙さが増加している。当社は、当社のネットワーク、製品、サービスに対する不正な試みや攻撃を検知・調査し、内部プロセスやツールの変更・更新、製品やサービスの変更・更新を通じて、その発生や再発を可能な限り防止するよう努めているが、既知または未知の脅威に対する脆弱性は依然として残っている。場合によっては、当社、当社のサプライヤー、顧客、当社の製品・サービスの利用者が、脅威やインシデント、あるいはその規模や影響に気づかない可能性もある。さらに、規制当局への報告を含め、サイバーセキュリティインシデントへの対応に関する規制が強化されており、当社が追加責任や風評被害を受ける可能性がある。当社のサイバーセキュリティリスクと製品脆弱性リスクに関する詳細は「リスク要因」を参照されたい。
We aim to incorporate industry best practices throughout our cybersecurity program. Our cybersecurity strategy focuses on implementing effective and efficient controls, technologies, and other processes to assess, identify, and manage material cybersecurity risks. Our cybersecurity program is designed to be aligned with applicable industry standards and is assessed annually by independent third-party auditors. We have processes in place to assess, identify, manage, and address material cybersecurity threats and incidents. These include, among other things: annual and ongoing security awareness training for employees; mechanisms to detect and monitor unusual network activity; and containment and incident response tools. We actively engage with industry groups for benchmarking and awareness of best practices. We monitor issues that are internally discovered or externally reported that may affect our products, and have processes to assess those issues for potential cybersecurity impact or risk. We also have a process in place to manage cybersecurity risks associated with third-party service providers. We impose security requirements upon our suppliers, including: maintaining an effective security management program; abiding by information handling and asset management requirements; and notifying us in the event of any known or suspected cyber incident. 当社はサイバーセキュリティ・プログラム全体に業界のベストプラクティスを取り入れることを目指している。当社のサイバーセキュリティ戦略は、重要なサイバーセキュリティ・リスクをアセスメントし、特定し、マネジメントするために、効果的かつ効率的なコントロール、テクノロジー、その他のプロセスを導入することに重点を置いている。当グループのサイバーセキュリティ・プログラムは、適用される業界標準に沿うように設計されており、毎年独立したサードパーティ監査人によるアセスメントを受けている。当社は、重要なサイバーセキュリティ上の脅威やインシデントを評価、識別、管理、対処するためのプロセスを備えている。これには特に、従業員に対する年次および継続的なセキュリティ意識向上およびトレーニング、異常なネットワーク活動を検知・監視する仕組み、封じ込めおよびインシデント対応ツールが含まれる。ベンチマークやベストプラクティスの認識のために、業界団体と積極的に連携している。当社は、社内で発見された、または社外から報告された、当社製品に影響を及ぼす可能性のある問題を監視し、サイバーセキュリティへの潜在的な影響やリスクについてそれらの問題をアセスメントするプロセスを有している。また、サードパーティのサービス・プロバイダに関連するサイバーセキュリティ・リスクを管理するためのプロセスも整備している。これには、効果的なセキュリティ管理プログラムの維持、情報ハンドリングおよび資産管理要件の遵守、既知または疑いのあるサイバーインシデント発生時の当社への通知などが含まれる。
Our Board of Directors has ultimate oversight of cybersecurity risk, which it manages as part of our enterprise risk management program. That program is utilized in making decisions with respect to company priorities, resource allocations, and oversight structures. The Board of Directors is assisted by the Audit & Finance Committee, which regularly reviews our cybersecurity program with management and reports to the Board of Directors. Cybersecurity reviews by the Audit & Finance Committee or the Board of Directors generally occur at least twice annually, or more frequently as determined to be necessary or advisable. A number of Intel directors have experience in assessing and managing cybersecurity risk. 当社の取締役会は、エンタープライズ・リスク・マネジメント・プログラムの一環として管理するサイバーセキュリティ・リスクを最終的に監督している。このプログラムは、会社の優先事項、リソースの配分、監督体制に関する意思決定に活用されている。取締役会は監査・財務委員会の支援を受けており、同委員会は経営陣とともにサイバーセキュリティ・プログラムを定期的に見直し、取締役会に報告している。監査・財務委員会または取締役会によるサイバーセキュリティの見直しは、通常、少なくとも年2回、または必要または望ましいと判断される場合はそれ以上の頻度で行われる。インテルの取締役の多くは、サイバーセキュリティ・リスクのアセスメントとマネジメントの経験を有している。
Our cybersecurity program is run by our Chief Information Security Officer (CISO), who reports to our Executive Vice President and Chief Technology Officer (CTO). Our CISO is informed about and monitors prevention, detection, mitigation, and remediation efforts through regular communication and reporting from professionals in the information security team, many of whom hold cybersecurity certifications such as a Certified Information Systems Security Professional or Certified Information Security Manager, and through the use of technological tools and software and results from third party audits. Our CISO and CTO have extensive experience assessing and managing cybersecurity programs and cybersecurity risk. Our CISO has served in that position since 2015 and, before Intel, was previously the Chief Security Officer at McAfee and the Chief Information Officer and CISO for the US House of Representatives. Our CTO joined Intel in 2021 and was previously Senior Vice President and CTO at VMware, with responsibility for product security. Our CISO and CTO regularly report directly to the Audit & Finance Committee or the Board of Directors on our cybersecurity program and efforts to prevent, detect, mitigate, and remediate issues. In addition, we have an escalation process in place to inform senior management and the Board of Directors of material issues. インテルのサイバーセキュリティ・プログラムは、最高情報セキュリティ責任者 (CISO) によって運営されており、CISO はインテルの取締役副社長兼最高技術責任者 (CTO) の直属となっている。当社のCISOは、情報セキュリティチームの専門家(その多くは公認情報システム・セキュリティ・プロフェッショナルや公認情報セキュリティ・マネージャーなどのサイバーセキュリティ資格を保有している)からの定期的なコミュニケーションや報告、技術的なツールやソフトウェアの使用、サードパーティによる監査の結果を通じて、予防、検知、軽減、修復の取り組みに関する情報を入手し、監視している。当社のCISOとCTOは、サイバーセキュリティ・プログラムとサイバーセキュリティ・リスクのアセスメントとマネジメントに豊富な経験を有している。当社のCISOは2015年からその職に就いており、インテル以前はマカフィーの最高セキュリティ責任者、米国下院の最高情報責任者兼CISOを務めていた。CTOは2021年にインテルに入社し、それ以前はVMwareの上級副社長兼CTOとして製品のセキュリティを担当していた。当社のCISOとCTOは、当社のサイバーセキュリティ・プログラムと問題の予防、検知、軽減、修復の取り組みについて、定期的に監査・財務委員会または取締役会に直接報告している。さらに、重大な問題を上級管理職および取締役会に報告するためのエスカレーションプロセスも設けている。

 

 

・Boeing

・2024.01.31 10-K (Annual report)

Item 1C.Cybersecurity 項目1C.サイバーセキュリティ
Risk Management and Strategy リスクマネジメント戦略
Our cybersecurity strategy prioritizes detection, analysis and response to known, anticipated or unexpected threats; effective management of security risks; and resiliency against incidents. Our cybersecurity risk management processes include technical security controls, policy enforcement mechanisms, monitoring systems, employee training, contractual arrangements, tools and related services from third-party providers, and management oversight to assess, identify and manage material risks from cybersecurity threats. We implement risk-based controls to protect our information, the information of our customers, suppliers, and other third parties, our information systems, our business operations, and our products and related services. We have adopted security-control principles based on the National Institute of Standards and Technology (NIST) Cybersecurity Framework, other industry-recognized standards, and contractual requirements, as applicable. We also leverage government partnerships, industry and government associations, third-party benchmarking, the results from regular internal and third-party audits, threat intelligence feeds, and other similar resources to inform our cybersecurity processes and allocate resources. 当社のサイバーセキュリティ戦略は、既知・予期・予期せぬ脅威の検知・分析・対応、セキュリティリスクの効果的な管理、インシデントに対するレジリエンスを最優先事項としている。当社のサイバーセキュリティ・リスク・マネジメント・プロセスには、サイバーセキュリティの脅威による重大なリスクをアセスメントし、特定し、管理するための技術的なセキュリティ・コントロール、ポリシー実施メカニズム、モニタリング・システム、従業員トレーニング、契約上の取り決め、サードパーティ・プロバイダーからのツールや関連サービス、およびマネージド・オーバーサイトが含まれる。当社は、当社の情報、当社の顧客、サプライヤー、その他のサードパーティーの情報、当社の情報システム、当社の事業運営、および当社の製品と関連サービスを保護するために、リスクに基づく管理を実施している。当社は、国立標準技術研究所(NIST)のサイバーセキュリティ・フレームワーク、その他の業界標準、および契約上の要件に基づくセキュリティ管理機構を採用している。また、政府とのパートナーシップ、業界団体、政府機関、サードパーティによるベンチマーク、定期的な内部監査およびサードパーティ監査の結果、脅威情報、その他同様のリソースを活用して、サイバーセキュリティプロセスに情報を提供し、リソースを配分している。
We maintain security programs that include physical, administrative and technical safeguards, and we maintain plans and procedures whose objective is to help us prevent and timely and effectively respond to cybersecurity threats or incidents. Through our cybersecurity risk management process, we continuously monitor cybersecurity vulnerabilities and potential attack vectors to company systems as well as our aerospace products and services, and we evaluate the potential operational and financial effects of any threat and of cybersecurity countermeasures made to defend against such threats. We continue to integrate our cyber practice into our Enterprise Risk Management program and our Compliance Risk Management program, both of which are overseen by our Board of Directors and provide central, standardized frameworks for identifying and tracking cyber-related business and compliance risks across the Company. Risks from cybersecurity threats to our products and services are also overseen by our Board of Directors. In addition, we periodically engage third-party consultants to assist us in assessing, enhancing, implementing, and monitoring our cybersecurity risk management programs and responding to any incidents. 当社は、物理的、管理的、技術的なセーフガードを含むセキュリティ・プログラムを維持し、サイバーセキュリティの脅威やインシデントを予防し、タイムリーかつ効果的に対応することを目的とした計画と手順を維持している。サイバーセキュリティ・リスクマネジメント・プロセスを通じて、当社は航空宇宙製品・サービスだけでなく、会社のシステムに対するサイバーセキュリティの脆弱性と潜在的な攻撃ベクトルを継続的に監視し、あらゆる脅威とそのような脅威を防御するために行われるサイバーセキュリティ対策の潜在的な業務上・財務上の影響を評価している。この2つのプログラムは取締役会によって監督されており、全社的なサイバー関連ビジネスリスクおよびコンプライアンスリスクを特定・追跡するための集中的で標準化されたフレームワークを提供している。当社の製品およびサービスに対するサイバーセキュリティの脅威によるリスクも取締役会が監督している。さらに、サイバーセキュリティ・リスクマネジメント・プログラムのアセスメント、強化、実施、モニタリング、およびインシデントへの対応を支援するため、サードパーティ・コンサルタントを定期的に雇用している。
As part of our cybersecurity risk management process, we conduct “tabletop” exercises during which we simulate cybersecurity incidents to ensure that we are prepared to respond to such an incident and to highlight any areas for potential improvement in our cyber incident preparedness. These exercises are conducted at both the technical level and senior management level, which has included participation by a member of our Board of Directors. In addition, all employees are required to pass a mandatory cybersecurity training course on an annual basis and receive monthly phishing simulations to provide “experiential learning” on how to recognize phishing attempts. サイバーセキュリティ・リスクマネジメント・プロセスの一環として、当社は「机上」演習を実施している。この演習では、サイバーセキュリティ・インシデントをシミュレートし、そのようなインシデントへの対応態勢が整っていることを確認するとともに、サイバーインシデントへの対応態勢において改善すべき点を浮き彫りにする。これらの演習は技術レベルと上級管理レベルの両方で実施され、取締役会のメンバーも参加している。さらに、全従業員はサイバーセキュリティ・トレーニングに毎年合格することが義務付けられており、毎月フィッシング・シミュレーションを受けることで、フィッシングを見分ける方法を「体験学習」している。
We have established a cybersecurity supply chain risk management program, which is a cross-functional program that forms part of our Enterprise Risk Management program and is supported by our security, compliance, and supply chain organizations. Through this evolving program, we assess the risks from cybersecurity threats that impact select suppliers and third-party service providers with whom we share personal identifying and confidential information. We continue to evolve our oversight processes to mature how we identify and manage cybersecurity risks associated with the products or services we procure from such suppliers. We generally require our suppliers to adopt security-control principles based on industry-recognized standards. サイバーセキュリティ・サプライチェーン・リスクマネジメント・プログラムは、エンタープライズ・リスク・マネジメント・プログラムの一部を構成する機能横断的なプログラムであり、当社のセキュリティ、コンプライアンス、サプライチェーンの各組織によってサポートされている。この進化するプログラムを通じて、個人を特定できる情報や機密情報を共有する厳選されたサプライヤーやサードパーティ・サービス・プロバイダに影響を及ぼすサイバーセキュリティの脅威によるリスクをアセスメントしている。当社は、こうしたサプライヤーから調達する製品やサービスに関連するサイバーセキュリティ・リスクを特定し、管理する方法を成熟させるため、監視プロセスを進化させ続けている。当社は全般的に、業界標準に基づくセキュリティ管理原則を採用するようサプライヤーに求めている。
We have experienced, and may in the future experience, whether directly or through our supply chain or other channels, cybersecurity incidents. While prior incidents have not materially affected our business strategy, results of operations or financial condition, and although our processes are designed to help prevent, detect, respond to, and mitigate the impact of such incidents, there is no guarantee that a future cyber incident would not materially affect our business strategy, results of operations or financial condition. See “Risks Related to Cybersecurity and Business Disruptions” in “Risk Factors” on page 14 of this Form 10-K. 当社は、直接であれ、サプライチェーンやその他のチャネルを通じてであれ、サイバーセキュリティインシデントを経験しており、今後も経験する可能性がある。過去のインシデントが当社の事業戦略、経営成績、財務状況に重大な影響を及ぼすことはなく、当社のプロセスはそのようなインシデントの防止、検知、対応、影響の軽減を支援するように設計されているが、将来のサイバーインシデントが当社の事業戦略、経営成績、財務状況に重大な影響を及ぼさないという保証はない。本フォーム10-Kの14ページにある「リスク要因」の「サイバーセキュリティと事業中断に関するリスク」を参照のこと。
Governance ガバナンス
Our Board of Directors has overall responsibility for risk oversight, with its committees assisting the Board in performing this function based on their respective areas of expertise. Our Board of Directors has delegated oversight of risks related to cybersecurity to two Board committees, the Audit Committee and the Aerospace Safety Committee, and each committee reports on its activities and findings to the full Board after each meeting. The Audit Committee is charged with reviewing our cybersecurity processes for assessing key strategic, operational, and compliance risks. Our Chief Information Officer and Senior Vice President, Information Technology & Data Analytics (CIO) and our Chief Security Officer (CSO) provide presentations to the Audit Committee on cybersecurity risks at each of its bimonthly meetings. These briefings include assessments of cyber risks, the threat landscape, updates on incidents, and reports on our investments in cybersecurity risk mitigation and governance. In addition, the Audit Committee has designated one of its members with expertise in cyber risk management to meet regularly with management and review our cybersecurity strategy and key initiatives and progress toward our objectives. In the event of a potentially material cybersecurity event, the Chair of the Audit Committee is notified and briefed, and meetings of the Audit Committee and/or full Board of Directors would be held, as appropriate. The Aerospace Safety Committee provides oversight of the risks from cybersecurity threats related to our aerospace products and services. The Aerospace Safety Committee receives regular updates and reports from senior management, including the Chief Engineer, the Chief Aerospace Safety Officer, and the Chief Product Security Engineer, who provide briefings on significant cybersecurity threats or incidents that may pose a risk to the safe operation of our aerospace products. Both committees brief the full Board on cybersecurity matters discussed during committee meetings, and the CIO provides annual briefings to the Board on information technology and data analytics related matters, including cybersecurity. 当社の取締役会はリスク監視の全体的な責任を負っており、各委員会はそれぞれの専門分野に基づいて取締役会のこの機能の遂行を支援している。当社の取締役会は、サイバーセキュリティに関連するリスクの監督を監査委員会と航空宇宙安全委員会の2つの取締役会委員会に委任しており、各委員会は各会合後にその活動と調査結果を取締役会全体に報告している。監査委員会は、主要な戦略リスク、業務リスク、コンプライアンス・リスクを評価するためのサイバーセキュリティ・プロセスを検討する責任を負っている。当社の最高情報責任者兼情報技術・データ分析担当上級副社長(CIO)と最高セキュリティ責任者(CSO)は、監査委員会の隔月開催の会合で、サイバーセキュリティ・リスクに関するプレゼンテーションを行う。これらの説明には、サイバーリスクのアセスメント、脅威の状況、インシデントの最新情報、サイバーセキュリティリスクの軽減とガバナンスへの投資に関する報告などが含まれる。さらに、監査委員会はサイバーリスクマネジメントの専門知識を持つ委員を1名指名し、経営陣と定期的に会合を持ち、当社のサイバーセキュリティ戦略や主要な取り組み、目標に向けた進捗状況をレビューしている。重要なサイバーセキュリティ事象が発生する可能性がある場合は、監査委員長に通知され、説明を受け、必要に応じて監査委員会および/または取締役会全体が開催される。航空宇宙安全委員会は、当社の航空宇宙製品およびサービスに関連するサイバーセキュリティの脅威によるリスクを監督する。航空宇宙安全委員会は、チーフエンジニア、チーフ航空宇宙安全責任者、チーフプロダクトセキュリティエンジニアを含む上級マネジメントから定期的な最新情報と報告を受け、当社の航空宇宙製品の安全な運用にリスクをもたらす可能性のある重大なサイバーセキュリティの脅威やインシデントに関する説明を受ける。両委員会は、委員会会議で議論されたサイバーセキュリティに関する事項を取締役会全体に説明し、CIOはサイバーセキュリティを含む情報技術およびデータ分析関連事項について取締役会に年次報告を行っている。
At the management level, we have established a Global Security Governance Council (the Council) to further strengthen our cybersecurity risk management activities across the Company, including the prevention, detection, mitigation, and remediation of cybersecurity incidents. The Council is responsible for developing and coordinating enterprise cybersecurity policy and strategy, and for providing guidance to key management and oversight bodies. 経営レベルでは、サイバーセキュリティ・インシデントの予防、検知、低減、修復など、全社的なサイバーセキュリティ・リスクマネジメント活動をさらに強化するため、グローバル・セキュリティ・ガバナンス評議会(評議会)を設立した。同評議会は、エンタープライズ・サイバーセキュリティ・ポリシーと戦略を策定・調整し、主要な経営・監督団体にガイダンスを提供する役割を担っている。
Richard Puckett, as our CSO, serves as the chair of the Council. He is responsible for overseeing a unified security program that provides cybersecurity, fire and protection operations, physical security, insider threat, and classified security. Mr. Puckett has nearly 30 years of experience in the cybersecurity industry, including, prior to joining Boeing in 2022, as Chief Information Security Officer of SAP SE and Thomson Reuters Corporation, Vice President, Product and Commercial Security of General Electric, Inc., and Senior Security Architect at Cisco Systems, Inc. He reports directly to the CIO and meets regularly with other members of senior management and the Audit Committee. リチャード・パケットはCSOとして、評議会の議長を務めている。彼は、サイバーセキュリティ、消防・保護業務、物理的セキュリティ、内部脅威、機密セキュリティを提供する統合セキュリティ・プログラムを監督する責任を負っている。2022年にボーイングに入社する以前は、SAP SEおよびトムソン・ロイター・コーポレーションの最高情報セキュリティ責任者、ゼネラル・エレクトリック社の製品・商業セキュリティ担当副社長、シスコシステムズ社のシニア・セキュリティ・アーキテクトなど、サイバーセキュリティ業界で30年近い経験を持つ。CIOに直属し、他の上級管理職や監査委員会のメンバーと定期的に会合を持つ。
The Council also includes, among other senior executives, our Chief Engineer, Chief Information Officer, Chief Aerospace Safety Officer and Chief Product Security Engineer, who each have several decades of business and senior leadership experience managing risks in their respective fields, collectively covering all aspects of cybersecurity, data and analytics, product security engineering, enterprise engineering, safety and the technical integrity of our products and services. 彼らはそれぞれ数十年にわたり各分野のリスクマネジメントに携わっており、サイバーセキュリティ、データとアナリティクス、製品セキュリティ・エンジニアリング、エンタープライズ・エンジニアリング、安全性、当社製品とサービスの技術的完全性など、あらゆる側面を網羅している。
The Council meets monthly and updates key members of the Company’s Executive Council on progress towards specific cybersecurity objectives. A strong partnership exists between Information Technology, Enterprise Security, Corporate Audit, and Legal so that identified issues are addressed in a timely manner and incidents are reported to the appropriate regulatory bodies as required. 同評議会は毎月会合を開き、サイバーセキュリティに関する具体的な目標に向けた進捗状況について、当社経営陣の主要メンバーに報告している。インフォメーション・テクノロジー、エンタープライズ・セキュリティ、コーポレート・オーディット、法務の間には強力なパートナーシップが存在し、特定された問題はタイムリーに対処され、インシデントは必要に応じて適切な規制団体に報告される。

 

 

American Express

・2024.02.09 10-K (Annual report)

ITEM 1C   CYBERSECURITY 項目1C サイバーセキュリティ
We maintain an information security and cybersecurity program and a cybersecurity governance framework that are designed to protect our information systems against operational risks related to cybersecurity./span> 当社は、サイバーセキュリティに関連する業務リスクから情報システムを保護するための情報セキュリティおよびサイバーセキュリティ・プログラムとサイバーセキュリティ・ガバナンス・フレームワークを維持している。
Cybersecurity Risk Management and Strategy サイバーセキュリティリスクマネジメントと戦略
We define information security and cybersecurity risk as the risk that the confidentiality, integrity or availability of our information and information systems are impacted by unauthorized or unintended access, use, disclosure, disruption, modification or destruction. Information security and cybersecurity risk is an operational risk that is measured and managed as part of our operational risk framework. Operational risk is incorporated into our comprehensive Enterprise Risk Management (ERM) program, which we use to identify, aggregate, monitor, report and manage risks. For more information on our ERM program, see “Risk Management” under “MD&A.” 当社は、情報セキュリティおよびサイバーセキュリティ・リスクを、当社の情報および情報システムの機密性、完全性、または可用性が、不正または意図しないアクセス、使用、開示、中断、変更、または破壊によって影響を受けるリスクと定義している。情報セキュリティ・リスクとサイバーセキュリティ・リスクは、オペレーショナル・リスクの枠組みの一部として測定・マネジメントされるオペレーショナル・リスクである。オペレーショナル・リスクは、当グループの包括的なエンタープライズ・リスク・マネジメント(ERM)プログラムに組み込まれており、リスクの識別、集約、監視、報告、管理に利用されている。ERMプログラムの詳細については、「MD&A」の「リスクマネジメント」を参照のこと。
Our Technology Risk and Information Security (TRIS) program, which is our enterprise information security and cybersecurity program incorporated in our ERM program and led by our Chief Information Security Officer (CISO), is designed to (i) ensure the security, confidentiality, integrity and availability of our information and information systems; (ii) protect against any anticipated threats or hazards to the security, confidentiality, integrity or availability of such information and information systems; and (iii) protect against unauthorized access to or use of such information or information systems that could result in substantial harm or inconvenience to us, our colleagues or our customers. The TRIS program is built upon a foundation of advanced security technology, employs a highly trained team of experts and is designed to operate in alignment with global regulatory requirements. The program deploys multiple layers of controls, including embedding security into our technology investments, designed to identify, protect, detect, respond to and recover from information security and cybersecurity incidents. Those controls are measured and monitored by a combination of subject matter experts and a security operations center with integrated cyber detection, response and recovery capabilities. The TRIS program includes our Enterprise Incident Response Program, which manages information security incidents involving compromises of sensitive information, and our Cyber Crisis Response Plan, which provides a documented framework for handling high-severity security incidents and facilitates coordination across multiple parts of the Company to manage response efforts. We also routinely perform simulations and drills at both a technical and management level, and our colleagues receive annual cybersecurity awareness training. 当社のテクノロジーリスク・情報セキュリティ(TRIS)プログラムは、当社のERMプログラムに組み込まれ、当社の最高情報セキュリティ責任者(CISO)が率いるエンタープライズ情報セキュリティおよびサイバーセキュリティプログラムであり、(i)当社の情報と情報システムのセキュリティ、機密性、完全性、可用性を確保する; (ii) そのような情報および情報システムのセキュリティ、機密性、完全性、可用性に対する予想される脅威または危険から保護すること、および (iii) 当社、当社の同僚、または顧客に重大な損害または不都合をもたらす可能性のある、そのような情報または情報システムへの不正アクセスまたは使用から保護すること。TRISプログラムは、高度なセキュリティ技術の基盤の上に構築され、高度な訓練を受けた専門家チームを雇用し、世界的な規制要件に沿って運用されるように設計されている。TRISプログラムは、情報セキュリティおよびサイバーセキュリティのインシデントを特定し、防御し、検知し、対応し、復旧させるために設計された、当社の技術投資へのセキュリティの組み込みを含む、多層的なコントロールを展開している。これらの管理体制は、サイバー検知・対応・復旧機能を統合したセキュリティ・オペレーションセンターと専門家の組み合わせによって測定・監視される。TRISプログラムには、機密情報の漏洩を伴う情報セキュリティ・インシデントを管理するエンタープライズ・インシデント・レスポンス・プログラムと、重大性の高いセキュリティ・インシデントに対応するための文書化されたフレームワークを提供し、対応努力を管理するために社内の複数の部署間の調整を促進するサイバー危機対応計画が含まれている。また、技術レベルと管理レベルの両方でシミュレーションと訓練を定期的に実施し、社員はサイバーセキュリティに関する意識向上およびトレーニングを毎年受けている。
In addition, we incorporate reviews by our Internal Audit Group and external expertise in our TRIS program, including an independent third-party assessment of our cybersecurity measures and controls and a third-party cyber maturity assessment of our TRIS program against the Cyber Risk Institute Profile standards for the financial sector. We also invest in threat intelligence, collaborate with our peers in areas of threat intelligence, vulnerability management, incident response and drills, and are active participants in industry and government forums. さらに、TRIS プログラムには内部アセスメント・グループによるレビューと外部の専門知識を取り入れている。これには、当社のサイバーセキュリティ対策と統制に関する独立した第三者による評価や、金融セクター向けのサイバーリスク・インスティテュート・プロファイル標準に照らした当社の TRIS プログラムのサードパーティによるサイバー成熟度評価などが含まれる。また、脅威情報に投資し、脅威情報、脆弱性管理、インシデント対応、訓練の分野で同業他社と協力し、業界や政府のフォーラムにも積極的に参加している。
Cybersecurity risks related to third parties are managed as part of our Third Party Management Policy, which sets forth the procurement, risk management and contracting framework for managing third-party relationships commensurate with their risk and complexity. Our Third Party Lifecycle Management (TLM) program sets guidelines for identifying, measuring, monitoring, and reporting the risks associated with third parties through the life cycle of the relationships, which includes planning, due diligence and third-party selection, contracting, ongoing monitoring and termination. Our TLM program includes the identification of third parties with risks related to information security. Third parties that access, process, collect, share, create, store, transmit or destroy our information or have access to our systems may have additional security requirements depending on the levels of risk, such as enhanced risk assessments and monitoring, and additional contractual controls. サードパーティに関連するサイバーセキュリティリスクは、当社のサードパーティ管理方針の一環として管理されている。この方針は、サードパーティとの関係をそのリスクと複雑性に応じて管理するための調達、リスクマネジメント、契約の枠組みを定めたものである。当社のサードパーティライフサイクルマネジメント(TLM)プログラムは、計画、デューデリジェンス、サードパーティの選定、契約、継続的モニタリング、解約を含む関係のライフサイクルを通じて、サードパーティに関連するリスクを特定、測定、モニタリング、報告するためのガイドラインを定めている。当社のTLMプログラムには、情報セキュリティに関連するリスクを持つサードパーティーの特定が含まれる。当社の情報にアクセスし、処理し、収集し、共有し、作成し、保存し、送信し、または破棄し、あるいは当社のシステムにアクセスするサードパーティは、リスクアセスメントやモニタリングの強化、契約上の追加管理など、リスクのレベルに応じて追加のセキュリティ要件が課される場合がある。
While we do not believe that our business strategy, results of operations or financial condition have been materially adversely affected by any cybersecurity incidents, cybersecurity threats are pervasive and, similar to other global financial institutions, we, as well as our customers, colleagues, regulators, service providers and other third parties, have experienced a significant increase in information security and cybersecurity risk in recent years and will likely continue to be the target of cyber attacks. We continue to assess the risks and changes in the cyber environment, invest in enhancements to our cybersecurity capabilities, and engage in industry and government forums to promote advancements in our cybersecurity capabilities, as well as the broader financial services cybersecurity ecosystem. For more information on risks to us from cybersecurity threats, see “A major information or cybersecurity incident or an increase in fraudulent activity could lead to reputational damage to our brand and material legal, regulatory and financial exposure, and could reduce the use and acceptance of our products and services.” under “Risk Factors.” 当社の事業戦略、経営成績、財務状況がサイバーセキュリティインシデントによって重大な悪影響を受けたとは考えていないが、サイバーセキュリティ脅威は蔓延しており、他のグローバル金融機関と同様に、当社、当社の顧客、同僚、規制当局、サービスプロバイダー、その他のサードパーティも、近年、情報セキュリティおよびサイバーセキュリティリスクの重要な増加を経験しており、今後もサイバー攻撃の標的になる可能性が高い。当社は引き続き、サイバー環境のリスクと変化をアセスメントし、サイバーセキュリティ能力の強化に投資し、業界や政府のフォーラムに参加して、当社のサイバーセキュリティ能力だけでなく、より広範な金融サービスのサイバーセキュリティ・エコシステムの進歩を促進していく。サイバーセキュリティの脅威による当社へのリスクについては、"リスク要因 "の「重大な情報またはサイバーセキュリティのインシデントや詐欺行為の増加は、当社ブランドの風評被害や重大な法的、規制的、財務的エクスポージャーにつながる可能性があり、当社の製品やサービスの利用や受容を低下させる可能性がある」を参照されたい。
Cybersecurity Governance サイバーセキュリティ・ガバナンス
Under our cybersecurity governance framework, our Board and our Risk Committee are primarily responsible for overseeing and governing the development, implementation and maintenance of our TRIS program, with the Board designating our Risk Committee to provide oversight and governance of technology and cybersecurity risks. Our Board receives an update on cybersecurity at least once a year from our CISO or their designee. Our Risk Committee receives reports on cybersecurity at least twice a year, including in at least one joint meeting with our Audit and Compliance Committee, and our Board and these committees all receive ad hoc updates as needed. In addition, our Risk Committee annually approves our TRIS program. 当社のサイバーセキュリティ・ガバナンス・フレームワークでは、当社の取締役会とリスク委員会がTRISプログラムの開発、実施、保守を監督・ガバナンスする主な責任を負っており、取締役会はリスク委員会にテクノロジーとサイバーセキュリティ・リスクの監督・ガバナンスを行わせることを指定している。取締役会は少なくとも年1回、CISOまたはその被指名者からサイバーセキュリティに関する最新情報を受け取る。当社のリスク委員会は、当社の監査・コンプライアンス委員会との少なくとも1回の合同会議を含め、サイバーセキュリティに関する報告を少なくとも年に2回受け、当社の取締役会とこれらの委員会はすべて、必要に応じて臨時の最新情報を受け取る。さらに、リスク委員会は毎年TRISプログラムを承認している。
We have multiple internal management committees that are responsible for the oversight of cybersecurity risk. Our Operational Risk Management Committee (ORMC), chaired by our Chief Operational Risk Officer, provides oversight and governance for our information security risk management activities, including those related to cybersecurity.This includes efforts to identify, measure, manage, monitor and report information security risks associated with our information and information systems and potential impacts to the American Express brand. The ORMC escalates risks to our Enterprise Risk Management Committee (ERMC), chaired by our Chief Risk Officer, or our Board based on the escalation criteria provided in our enterprise-wide risk appetite framework. Members of management with cybersecurity oversight responsibilities are informed about cybersecurity risks and incidents through a number of channels, including periodic and annual reports, with the annual report also provided to our Risk Committee, the ORMC and ERMC. 当社には、サイバーセキュリティ・リスクの監督を担当する複数の社内マネジメント委員会がある。これには、当社の情報および情報システムに関連する情報セキュリティリスク、ならびにアメリカン・エキスプレス・ブランドへの潜在的な影響を特定、測定、管理、監視、報告する取り組みが含まれる。ORMCは、全社的なリスク選好フレームワークで規定されたエスカレーション基準に基づき、リスクをチーフ・リスク・オフィサーが議長を務めるエンタープライズ・リスクマネジメント委員会(ERMC)または取締役会にエスカレーションする。サイバーセキュリティの監督責任を負うマネジメントのメンバーは、定期報告書や年次報告書を含む多くのチャネルを通じてサイバーセキュリティリスクやインシデントについて知らされており、年次報告書はリスク委員会、ORMC、ERMCにも提供されている。
Our CISO leads the strategy, engineering and operations of cybersecurity across the Company and is responsible for providing annual updates to our Board, the ERMC and the ORMC on our TRIS program, as well as ad hoc updates on information security and cybersecurity matters. Our current CISO has held a series of roles in telecommunications, networking and information security at American Express, including promotion to the CISO role in 2013 and the addition of responsibility for technology risk management in 2023. Prior to joining American Express, our current CISO served in a variety of technology leadership roles at a public pharmaceutical and biotechnology company for 14 years. Our CISO reports to the Chief Information Officer, information about whom is included in “Information About Our Executive Officers” under “Business.” 当社のCISOは、全社的なサイバーセキュリティの戦略、エンジニアリング、運用を指揮し、取締役会、ERMC、ORMCに対し、当社のTRISプログラムに関する年次報告、および情報セキュリティとサイバーセキュリティに関する臨時報告を行う責任を負っている。現在のCISOは、2013年にCISOに昇格し、2023年にはテクノロジー・リスク・マネジメントの責任者となるなど、アメリカン・エキスプレスで電気通信、ネットワーク、情報セキュリティの職務を歴任してきた。アメリカン・エキスプレスに入社する以前は、上場製薬・バイオテクノロジー企業で14年間、さまざまな技術指導的職務に就いていた。CISO はチーフ・インフォメーション・オフィサーの直属であり、チーフ・インフォメーション・オフィ サーに関する情報は、"事業内容 "の "執行役員に関する情報 "に記載されている。
For more information on our risk governance structure, see “Risk Management — Governance” and “Risk Management —Operational Risk Management Process” under “MD&A.” 当社のリスク・ガバナンス体制の詳細については、"MD&A "の "リスクマネジメント-ガバナンス "および "リスクマネジメント-オペレーショナル・リスク管理プロセス "を参照のこと。

 

・Johnson & Johnson

・2024.02.16 10-K (Annual report)

Item 1C.Cybersecurity 項目1C.サイバーセキュリティ
Risk management and strategy リスクマネジメントと戦略
The Company has documented cybersecurity policies and standards, assesses risks from cybersecurity threats, and monitors information systems for potential cybersecurity issues. To protect the Company’s information systems from cybersecurity threats, the Company uses various security tools supporting protection, detection, and response capabilities. The Company maintains a cybersecurity incident response plan to help ensure a timely, consistent response to actual or attempted cybersecurity incidents impacting the Company. 当社は、サイバーセキュリティの方針と標準を文書化し、サイバーセキュリティの脅威によるリスクをアセスメントし、サイバーセキュリティの潜在的問題について情報システムを監視している。サイバーセキュリティの脅威から当社の情報システムを保護するため、当社は保護、検知、対応能力をサポートする様々なセキュリティ・ツールを使用している。当社はサイバーセキュリティ・インシデント対応計画を維持し、当社に影響を及ぼす実際の、または未遂のサイバーセキュリティ・インシデントへのタイムリーで一貫した対応を保証している。
The Company also identifies and assesses third-party risks within the enterprise, and through the Company's use of third-party service providers, across a range of areas including data security and supply chain through a structured third-party risk management program. 当社はまた、構造化されたサードパーティ・リスク・マネジメント・プログラムを通じて、データ・セキュリティやサプライ・チェーンを含むさまざまな分野において、エンタープライズ内およびサードパーティ・サービス・プロバイダの利用を通じて、サードパーティのリスクを特定し、アセスメントしている。
The Company maintains a formal information security training program for all employees that includes training on matters such as phishing and email security best practices. Employees are also required to complete mandatory training on data privacy. 当社は、フィッシングや電子メール・セキュリティのベスト・プラクティスなどのトレーニングを含む、全従業員向けの正式な情報セキュリティ・トレーニング・プログラムを維持している。従業員にはデータ・プライバシーに関する必須研修の受講も義務付けられている。
To evaluate and enhance its cybersecurity program, the Company periodically utilizes third-party experts to undertake maturity assessments of the Company’s information security program. サイバーセキュリティ・プログラムを評価・強化するため、当社はサードパーティーの専門家を定期的に活用し、当社の情報セキュリティ・プログラムの成熟度アセスメントを実施している。
To date, the Company is not aware of any cybersecurity incident that has had or is reasonably likely to have a material impact on the Company’s business or operations; however, because of the frequently changing attack techniques, along with the increased volume and sophistication of the attacks, there is the potential for the Company to be adversely impacted. This impact could result in reputational, competitive, operational or other business harm as well as financial costs and regulatory action. Refer to the risk factor captioned An information security incident, including a cybersecurity breach, could have a negative impact to the Company’s business or reputation in Part I, Item 1A. Risk factors for additional description of cybersecurity risks and potential related impacts on the Company. 現在までのところ、当社の事業または業務に重大な影響を及ぼした、あるいは及ぼす可能性のあるサイバーセキュリティインシデントについて、当社は認識していない。しかし、攻撃手法は頻繁に変化し、攻撃の量も高度化しているため、当社が悪影響を受ける可能性はある。このような影響は、風評、競争、業務、その他の事業上の損害、財務上のコスト、規制上の措置をもたらす可能性がある。サイバーセキュリティ侵害を含む情報セキュリティインシデントが、当社の事業または評判に悪影響を及ぼす可能性がある。サイバーセキュリティリスクおよび関連する当社への潜在的な影響に関する補足説明については、「リスク要因」を参照のこと。
Governance - management’s responsibility ガバナンス-経営陣の責任
The Company takes a risk-based approach to cybersecurity and has implemented cybersecurity controls designed to address cybersecurity threats and risks. The Chief Information Officer (CIO), who is a member of the Company’s Executive Committee, and the Chief Information Security Officer (CISO) are responsible for assessing and managing cybersecurity risks, including the prevention, mitigation, detection, and remediation of cybersecurity incidents. 当社はサイバーセキュリティに対してリスクベースのアプローチをとっており、サイバーセキュリティの脅威とリスクに対処するために設計されたサイバーセキュリティ統制を導入している。当社の経営委員会のメンバーである最高情報責任者(CIO)と最高情報セキュリティ責任者(CISO)は、サイバーセキュリティ・インシデントの予防、低減、検知、修復を含むサイバーセキュリティ・リスクのアセスメントとマネジメントに責任を負っている。
The Company’s CISO, in coordination with the CIO, is responsible for leading the Company’s cybersecurity program and management of cybersecurity risk. The current CISO has over twenty-five years of experience in information security, and his background includes technical experience, strategy and architecture focused roles, cyber and threat experience, and various leadership roles. 当社のCISOはCIOと連携し、当社のサイバーセキュリティ・プログラムとサイバーセキュリティ・リスクのマネジメントを主導する責任を負っている。現在のCISOは情報セキュリティ分野で25年以上の経験を持ち、その経歴には、技術的な経験、戦略とアーキテクチャに重点を置いた役割、サイバーと脅威に関する経験、さまざまな指導的役割などが含まれる。
Governance - board oversight ガバナンス - 取締役会の監督
The Company’s Board of Directors oversees the overall risk management process, including cybersecurity risks, directly and through its committees. The Regulatory Compliance & Sustainability Committee (RCSC) of the board is primarily responsible for oversight of risk from cybersecurity threats and oversees compliance with applicable laws, regulations and Company policies related to, among others, privacy and cybersecurity. 当社の取締役会は、サイバーセキュリティ・リスクを含むリスクマネジメント・プロセス全体を、直接または委員会を通じて監督している。取締役会の規制コンプライアンス&サステナビリティ委員会(RCSC)は、主にサイバーセキュリティの脅威によるリスクの監督を担当し、特にプライバシーとサイバーセキュリティに関連する適用法、規制、会社方針の遵守を監督している。
RCSC meetings include discussions of specific risk areas throughout the year including, among others, those relating to cybersecurity.The CISO provides at least two updates each year to RCSC on cybersecurity matters. These reports include an overview of the cybersecurity threat landscape, key cybersecurity initiatives to improve the Company’s risk posture, changes in the legal and regulatory landscape relative to cybersecurity, and overviews of certain cybersecurity incidents that have occurred within the Company and within the industry. CISOは毎年少なくとも2回、サイバーセキュリティに関する最新情報をRCSCに提供している。これらの報告には、サイバーセキュリティの脅威状況の概要、当社のリスク態勢を改善するための主要なサイバーセキュリティ・イニシアチブ、サイバーセキュリティに関連する法規制状況の変化、当社および業界で発生した特定のサイバーセキュリティ・インシデントの概要などが含まれる。

 

 

・Pfizer

・2024.02.22 10-K (Annual report)

ITEM 1C CYBERSECURITY 項目1C サイバーセキュリティ
Managing cybersecurity risk is a crucial part of our overall strategy for safely operating our business. We incorporate cybersecurity practices into our Enterprise Risk Management (ERM) approach, which is subject to oversight by our BOD. Our cybersecurity policies and practices are aligned with relevant industry standards. サイバーセキュリティ・リスクのマネジメントは、事業を安全に運営するための全体的な戦略の極めて重要な部分である。当社はサイバーセキュリティの実践をエンタープライズ・リスク・マネジメント(ERM)アプローチに組み込んでおり、これは取締役会の監督を受けている。当社のサイバーセキュリティ方針と実践は、関連する業界標準に沿ったものである。
Consistent with our overall ERM program and practices, our cybersecurity program includes: 当社の全体的なERMプログラムおよび慣行と一貫して、当社のサイバーセキュリティ・プログラムには以下が含まれる:
• Vigilance: We maintain a global cybersecurity operation that endeavors to detect, prevent, contain, and respond to cybersecurity threats and incidents in a prompt and effective manner with the goal of minimizing business disruptions. < ・警戒: 警戒:当社は,事業の中断を最小限に抑えることを目標に,サイバーセキュリティの脅威およびインシデントを迅速かつ効果的な方法で検知,予防,封じ込め,対応するよう努めるグローバルなサイバーセキュリティ業務を維持している。
• External Collaboration: We collaborate with public and private entities, including intelligence and law enforcement agencies, industry groups and third-party service providers to identify, assess and mitigate cybersecurity risks. ・外部との連携: 情報機関や法執行機関,業界団体,サードパーティ・サービス・プロバイダを含む官民の事業体と協力し,サイバーセキュリティ・リスクを特定,アセスメント,軽減する。
• Systems Safeguards: We deploy technical safeguards that are designed to protect our information systems, products, operations and sensitive information from cybersecurity threats. These include firewalls, intrusion prevention and detection systems, disaster recovery capabilities, malware and ransomware prevention, access controls and data protection. We continuously conduct vulnerability assessments to identify new risks and periodically test the efficacy of our safeguards through both internal and external penetration tests. ・システム・セーフガード: システムの防御:当社は,当社の情報システム,製品,業務,および機密情報をサイバーセキュリティの脅威から保護するための技術的な防御策を導入している。これには,ファイアウォール,侵入防御・検知システム,災害復旧機能,マルウェアやランサムウェアの防止,アクセス管理,データ保護などが含まれる。また,新たなリスクを特定するために脆弱性アセスメントを継続的に実施し,社内外の侵入テストを通じて定期的に保護措置の有効性を検証している。
• Education: We provide periodic training for all personnel regarding cybersecurity threats, with such training appropriate to the roles, responsibilities and access of the relevant Company personnel. Our policies require all workers to report any real or suspected cybersecurity events. ・教育: 教育:当社は,サイバーセキュリティの脅威に関する定期的なトレーニングを全従業員に提供し,当該従業員の役割,責任,およびアクセスに応じた適切なトレーニングを行う。当社のポリシーでは,すべての従業員に対し,サイバーセキュリティに関する事実またはその疑いがある事象を報告することを義務付けている。
• Supplier Ecosystem Management: We extend our cybersecurity management control expectations to our supply chain ecosystem, as applicable. This includes identifying cybersecurity risks presented by third parties. ・サプライヤーのエコシステム管理: サプライヤーのエコシステム管理:当社は,サイバーセキュリティ管理統制に期待される範囲を,該当す るサプライチェーンのエコシステムにも拡大する。これには,サードパーティがもたらすサイバーセキュリティリスクの識別が含まれる。
• Incident Response Planning: We have established, and maintain and periodically test, incident response plans that direct our response to cybersecurity events and incidents. Such plans include the protocol by which material incidents would be communicated to executive management, our BOD, external regulators and shareholders. ・インシデント対応計画: インシデント対応計画:当社は,サイバーセキュリティのイベントやインシデントへの対応を指示するインシデント対応計画を策定し,維持し,定期的にテストしている。このような計画には,重要なインシデントが経営陣,取締役会,外部の規制当局,株主に伝達される手順が含まれる。
• Enterprise-Wide Coordination: We engage experts from across the Company to identify emerging risks and respond to cybersecurity threats. This cross-functional approach includes personnel from our R&D, manufacturing, commercial, technology, legal, compliance, internal audit and other business functions. ・エンタープライズ全体の調整: 全社的な調整:当社では,新たなリスクを特定し,サイバーセキュリティの脅威に対応するために,全社的な専門家を関与させている。この部門横断的アプローチには,研究開発,製造事業者,商業,技術,法務,コンプライアンス,内部監査,その他の事業機能の担当者が含まれる。
• Governance: Our BOD’s oversight of cybersecurity risk management is led by the Audit Committee, which oversees our ERM program. Cybersecurity threats, risks and mitigation are periodically reviewed by the Audit Committee and such reviews include both internal and independent assessment of risks, controls and effectiveness. ・ガバナンス: ガバナンス:当社の取締役会によるサイバーセキュリティ・リスクマネジメントの監視は,当社のERMプログラムを監督する監査委員会が主導している。サイバーセキュリティの脅威,リスク,低減は監査委員会により定期的にレビューされ,そのレビューにはリスク,統制,有効性に関する内部評価と独立した評価の両方が含まれる。
Our risk assessment efforts have indicated that we are a target for theft of intellectual property, financial resources, personal information, and trade secrets from a wide range of actors including nation states, organized crime, malicious insiders and activists. The impacts of attacks, abuse and misuse of Pfizer’s systems and information include, without limitation, loss of assets, operational disruption and damage to Pfizer’s reputation. 当社のリスクアセスメントによると、当社は国家、組織犯罪、悪意のある内部関係者、活動家など、さまざまな主体から知的財産、財務資源、個人情報、企業秘密を窃取される標的となっている。ファイザーのシステムおよび情報に対する攻撃、悪用、および悪用の影響には、資産の損失、業務の中断、およびファイザーの評判に対する損害が含まれるが、これらに限定されない。
A key element of managing cybersecurity risk is the ongoing assessment and testing of our processes and practices through auditing, assessments, drills and other exercises focused on evaluating the sufficiency and effectiveness of our risk mitigation. We regularly engage third parties to perform assessments of our cybersecurity measures, including information security maturity assessments and independent reviews of our information security control environment and operating effectiveness. Certain results of such assessments and reviews are reported to the Audit Committee and the BOD, as appropriate, and we make adjustments to our cybersecurity processes and practices as necessary based on the information provided by the third-party assessments and reviews. サイバーセキュリティ リスク マネジメントの重要な要素は、監査、リスク アセスメント、訓練、および当社のリスク低減の十分性と有効性を評価することに重点を置いたその他の演習を通じて、当社のプロセスと実践を継続的に評価およびテストすることである。当社は、情報セキュリティ成熟度評価、情報セキュリティ管理環境および運用の有効性に関する独立したレビューなど、当社のサイバーセキュリティ対策のアセスメントを実施するため、定期的にサードパーティを起用している。このような評価およびレビューの一定の結果は、適宜、監査委員会および取締役会に報告され、当社はサードパーティによる評価およびレビューによってプロバイダから提供された情報に基づいて、必要に応じてサイバーセキュリティ・プロセスおよび慣行の調整を行う。
The Audit Committee oversees cybersecurity risk management, including the policies, processes and practices that management implements to prevent, detect and address risks from cybersecurity threats. The Audit Committee receives regular briefings on cybersecurity risks and risk management practices, including, for example, recent developments in the external cybersecurity threat landscape, evolving standards, vulnerability assessments, third-party and independent reviews, technological trends and considerations arising from our supplier ecosystem. The Audit Committee may also promptly receive information regarding any material cybersecurity incident that may occur, including any ongoing updates regarding the same. The Audit Committee periodically discusses our approach to cybersecurity risk management with our Chief Information Security Officer (CISO). 監査委員会は、サイバーセキュリティの脅威によるリスクを防止、検知、対処するためにマネジメントが実施する方針、プロセス、慣行を含むサイバーセキュリティのリスクマネジメントを監督する。監査委員会は、サイバーセキュリティリスクおよびリスクマネジメントの実践に関する定期的なブリーフィングを受ける。これには、例えば、外部のサイバーセキュリティ脅威の状況における最近の動向、進化する標準、脆弱性評価、サードパーティおよび独立機関によるレビュー、技術動向、当社のサプライヤーエコシステムから生じる考慮事項などが含まれる。監査委員会はまた、発生する可能性のある重要なサイバーセキュリティインシデントに関する情報(同インシデントに関する継続的な更新を含む)を速やかに受け取ることができる。監査委員会は、サイバーセキュリティ・リスクマネジメントに対する当社のアプローチについて、当社の最高情報セキュリティ責任者(CISO)と定期的に協議している。
Our CISO is a member of our management team who is principally responsible for overseeing our cybersecurity risk management program, in partnership with other business leaders across the Company. The CISO works in coordination with other members of the management team, including, among others, the Chief Digital Officer, the Chief Financial Officer, the Chief Compliance and Risk Officer and the General Counsel and their designees. We believe our business leaders have the appropriate expertise, background and depth of experience to manage risks arising from cybersecurity threats. 当社のCISOは当社のマネジメント・チームのメンバーであり、当社全体の他のビジネス・リーダーと連携して、当社のサイバーセキュリティ・リスク管理プログラムを監督する主な責任を負っている。CISOは、チーフ・デジタル・オフィサー、チーフ・ファイナンシャル・オフィサー、チーフ・コンプライアンス&リスク・オフィサー、ジェネラル・カウンセルおよびその被指名人など、マネジメント・チームの他のメンバーと連携して業務を遂行する。当社のビジネスリーダーは、サイバーセキュリティの脅威から生じるリスクをマネジメントするための適切な専門知識、経歴、豊富な経験を有していると確信している。
Our CISO, along with leaders from our privacy and corporate compliance functions, collaborate to implement a program designed to manage our exposure to cybersecurity risks and to promptly respond to cybersecurity incidents. Prompt response to incidents is delivered by multi-disciplinary teams in accordance with our incident response plan. Through ongoing communications with these teams during incidents, the CISO monitors the triage, mitigation and remediation of cybersecurity incidents, and reports such incidents to executive management, the Audit Committee and other Pfizer colleagues in accordance with our cybersecurity policies and procedures, as is appropriate. 当社のCISOは、プライバシーおよび企業コンプライアンス機能のリーダーとともに、サイバーセキュリティリスクへのエクスポージャーを管理し、サイバーセキュリティインシデントに迅速に対応するためのプログラムを実施するために協力している。インシデントへの迅速な対応は、当社のインシデント対応計画に基づき、複数の部門からなるチームによって行われる。インシデント発生中のこれらのチームとの継続的なコミュニケーションを通じて、CISO はサイバーセキュリティ・インシデントのトリアージ、低減、および修復を監視し、そのようなインシデントを適切な場合、当社のサイバーセキュリティ方針および手順に従って経営幹部、監査委員会、および他のファイザーの同僚に報告する。
As of the date of this Form 10-K, we are not aware of any cybersecurity incidents that have materially affected or are reasonably likely to materially affect the Company, including our business strategy, results of operations, or financial condition at this time. For further discussion of the risks associated with cybersecurity incidents, see the Item 1A. Risk Factors—Information Technology and Security section in this Form 10-K. 本フォーム 10-K の日付現在、当社の事業戦略、経営成績、財務状況など、当社に重大な影響を及ぼした、または及ぼす可能性のあるサイバーセキュリティインシデントを当社は認識していない。サイバーセキュリティインシデントに関連するリスクの詳細については、項目1A. リスク要因-情報技術およびセキュリティ」を参照のこと。

 

 

Coca-Cola

・2024.02.21 10-K (Annual report)

Item 1C Cybersecurity 項目1C サイバーセキュリティ
Risk Management and Strategy リスクマネジメント戦略
The Company is committed to maintaining robust processes to assess, identify and mitigate material risks from cybersecurity threats and to protect against, detect and respond to cybersecurity incidents. We integrate these processes into the Company’s overall risk management program and, through the Company’s Cybersecurity Incident Response Plan, we document the intended processes and the roles and responsibilities of teammates involved in assessing, identifying and managing material risks from cybersecurity threats. Periodically, the Company engages third parties to assist in the assessment and ongoing development of cybersecurity processes. 当社は、サイバーセキュリティの脅威による重大なリスクを評価、特定、軽減し、サイバーセキュリティインシデントから保護、検知、対応するための強固なプロセスの維持に努めている。当社はこれらのプロセスを当社の全体的なリスク管理プログラムに統合し、当社のサイバーセキュリティ・インシデント対応計画を通じて、サイバーセキュリティの脅威から生じる重大なリスクの評価、特定、マネジメントに関与するチームメンバーの意図するプロセスおよび役割と責任を文書化している。当社は定期的に、サイバーセキュリティ・プロセスのアセスメントと継続的な開発を支援するサードパーティを起用している。
Our cybersecurity processes are grounded in the National Institute of Standards and Technology Cybersecurity Framework and include a number of different preventative measures. The Company performs periodic risk assessments of systems and applications to identify risks, vulnerabilities and threats in systems and software, performs an annual assessment of the effectiveness of the current 当社のサイバーセキュリティ・プロセスは、国立標準技術研究所のサイバーセキュリティ・フレームワークに基づき、さまざまな予防策を含んでいる。当社は、システムおよびソフトウェアのリスク、脆弱性、脅威を特定するために、システムおよびアプリケーションのリスクアセスメントを定期的に実施し、システムおよびソフトウェアに存在するリスク、脆弱性、脅威を特定するために、システムおよびアプリケーションのリスクアセスメントを定期的に実施する。
cybersecurity response process by conducting incident response tabletop exercises that involve participation by members of the management team, and requires all teammates to participate in user awareness training for information technology and cybersecurity./span> 経営陣も参加するインシデント対応机上演習を実施することで、現在のサイバーセキュリティ対応プロセスの有効性を毎年評価し、全社員に情報テクノロジーおよびサイバーセキュリティに関するユーザー意識向上およびトレーニングへの参加を義務付けている。
Our systems are reasonably designed to enable the information technology infrastructure group to capture application, system and network alerts. In the event of a cybersecurity incident, the Cyber Incident Response Team (the “CIRT”), led by a designated Cyber Incident Coordinator (the “CIC”), is responsible for collecting and analyzing relevant data about the incident and its risks. Members of the CIRT, including the CIC, are selected based on their knowledge of either cybersecurity or the specific information systems or business function affected by the incident. 当社のシステムは、情報技術インフラストラクチャグループがアプリケーション、システム、ネットワークのアラートを捕捉できるように合理的に設計されている。サイバーセキュリティインシデントが発生した場合、指定されたサイバーインシデントコーディネーター(「CIC」)が率いるサイバーインシデント対応チーム(「CIRT」)が、インシデントとそのリスクに関する関連データの収集と分析を担当する。CICを含むCIRTのメンバーは、サイバーセキュリティまたはインシデントの影響を受ける特定の情報システムもしくは業務機能のいずれかの知識に基づいて選出される。
As part of planning for any suspected cybersecurity incident, the CIRT has developed certain incident response strategies to help collect and preserve forensic data, to mitigate the threat and to perform other activities to restore systems to normal operation. These strategies include many of the practices recommended by the U.S. Department of Homeland Security’s Industrial Control Systems Computer Emergency Response Team. In addressing and resolving a significant cybersecurity incident, the Company may engage external experts in relevant fields, such as legal or forensic services, as needed. The Company also has a process whereby the Chief Information Officer (the “CIO”) periodically meets with and assesses third-party service providers in order to help ensure the Company is made aware of any potential material cybersecurity threats or incidents in a timely manner. The Company’s largest external service provider is CONA, as further discussed in “Item 1A. Risk Factors” of this report. サイバーセキュリティのインシデントが疑われる場合の対応計画の一環として、CIRTは、フォレンジック・データの収集と保存、脅威の軽減、およびシステムを通常運用に戻すためのその他の活動を支援するために、一定のインシデント対応戦略を策定している。これらの戦略には、米国国土安全保障省の産業制御システム・コンピュータ緊急対応チームが推奨するプラクティスの多くが含まれている。重大なサイバーセキュリティインシデントに対処し解決する際、当社は必要に応じて、法律やフォレンジックサービスなど、関連分野の外部専門家に依頼することがある。当社はまた、最高情報責任者(CIO)がサードパーティーのサービスプロバイダーと定期的に面談し、アセスメントを行うことで、重大なサイバーセキュリティの脅威やインシデントが発生する可能性があることをタイムリーに把握できるようにしている。当社の最大の外部サービスプロバイダーはCONAである。リスク要因」で詳述する。
During 2023, there were no identified cybersecurity risks or threats, including as a result of previous cybersecurity incidents, that had, or were reasonably likely to have, a material effect on our business strategy, results of operations or financial condition. While we maintain cybersecurity insurance, the costs related to cybersecurity incidents or disruptions may not be fully insured. See “Item 1A. Risk Factors” for a discussion of cybersecurity risks. 2023年中、過去のサイバーセキュリティ・インシデントの結果も含め、当社の事業戦略、経営成績または財政状態に重大な影響を及ぼす、または及ぼす可能性が合理的に高い、特定されたサイバーセキュリティ・リスクまたは脅威はなかった。当社はサイバーセキュリティ保険に加入しているが、サイバーセキュリティインシデントや混乱に関連する費用は完全に保険で賄えない可能性がある。項目1A. リスク要因」を参照のこと。
Governance ガバナンス
The Information Security Director, who reports to the CIO, is responsible for establishing basic policies and procedures related to cybersecurity.The Information Security Director is also responsible for selecting the CIRT and the CIC to lead the response to each incident. Established policies and procedures are employed by the CIRT in planning and executing a response to a cybersecurity incident. The CIO and the Information Security Director have over 55 combined years of information technology and program management experience and have served over 31 combined years in the Company’s corporate information security organization. They are familiar with the Company’s cybersecurity landscape, risks and best practices for mitigation of those risks identified. 情報セキュリティ・ディレクターはCIOの直属であり、サイバーセキュリティに関する基本的な方針と手順を確立する責任を負っている。情報セキュリティ・ディレクターはまた、各インシデントへの対応を主導するCIRTとCICを選定する責任も負っている。確立されたポリシーと手順は、CIRT がサイバーセキュリティインシデントへの対応計画を立案し、実行する際に採用される。CIOと情報セキュリティ・ディレクターは、合わせて55年以上の情報技術およびプログラム管理の経験を有し、当社の情報セキュリティ組織で合わせて31年以上勤務している。彼らは当社のサイバーセキュリティの状況、リスク、特定されたリスクを低減するためのベストプラクティスに精通している。
The Company has developed a matrix to assist in determining if a cybersecurity incident is significant. The Information Security Director, with the help of the CIRT, determines whether an incident should be escalated to executive management, including to the Chief Executive Officer, the Chief Financial Officer and the General Counsel, based on its significance. Once escalated, executive management determines the appropriate incident handling strategy, with input from the Information Security Director, including whether the incident warrants immediate notification to the Audit Committee of the Board of Directors. After determining the incident handling approach, the CIC regularly updates executive management on incident response progress to ensure it is aware of the business risks posed by the incident until the incident is resolved. 当社は、サイバーセキュリティインシデントが重大かどうかを判断するためのマトリクスを開発した。情報セキュリティ・ディレクターは、CIRT の助けを借りて、インシデントがその重要性に基づいて、最高経営責任者、最高財務責任者、法律顧問を含む経営幹部にエスカレーションされるべきかどうかを決定する。一旦エスカレーションされると、経営幹部は、インシデントが取締役会の監査委員会に直ちに通知する必要があるかどうかを含め、情報セキュリティ・ディレクターの意見を取り入れながら、適切なインシデント・ハンドリング戦略を決定する。インシデントハンドリングのアプローチを決定した後、CICは定期的にインシデント対応の進捗状況を経営陣に報告し、インシデントが解決されるまで、インシデントがもたらすビジネスリスクを経営陣が認識できるようにする。
The Board of Directors delegates oversight of information technology and cybersecurity to the Audit Committee of the Board of Directors. As part of this oversight, information technology leadership annually provides a detailed cybersecurity update to the Audit Committee. Additionally, on a quarterly basis, the Audit Committee receives a summarized cybersecurity update, including the results of teammate phishing testing programs and the results of the quarterly cybersecurity disclosure questionnaires. In the event of a material cybersecurity incident, the Audit Committee will report such incident to the full Board of Directors. 取締役会は、情報テクノロジーとサイバーセキュリティの監督を取締役会監査委員会に委任している。この監視の一環として、情報技術指導部は毎年、監査委員会にサイバーセキュリティに関する詳細な最新情報を提供している。さらに四半期ごとに、監査委員会はチームメイトのフィッシング・テスト・プログラムの結果や四半期ごとのサイバーセキュリティ開示アンケートの結果など、サイバーセキュリティに関する最新情報の要約を受け取る。重要なサイバーセキュリティインシデントが発生した場合、監査委員会は当該インシデントを取締役会に報告する。

 

 

McDonalds Corp.

・2024.02.22 10-K (Annual report)

CYBERSECURITY サイバーセキュリティ
Governance ガバナンス
Management has primary responsibility for enterprise-wide risk management (“ERM”), including cybersecurity risk, within our Company, as detailed below. Our Board of Directors is responsible for overseeing our ERM framework and exercises this oversight both as a full Board and through its standing committees. Our Board’s Public Policy & Strategy Committee (“PPS Committee”) has oversight responsibility for our strategy and processes relating to cybersecurity risk management. Our PPS Committee receives updates at regular intervals on cybersecurity matters from management, including our Global Chief Information Officer (“CIO”) and Chief Information Security Officer (“CISO”) who, as discussed below, are responsible for assessing and managing material cybersecurity risks. Such updates include a discussion of the status of our cybersecurity landscape and our cybersecurity strategies, including potential risks and mitigation efforts. If a cybersecurity incident meets our established internal escalation threshold, accelerated reporting of the incident is provided to the applicable members of the Board. The PPS Committee also considers potential remedies to any strategic or process gaps that may be identified during the Company’s review of specific cybersecurity incidents. 経営陣は、以下に詳述するとおり、サイバーセキュリティ・リスクを含むエンタープライズ全体のリスクマネジメント(以下「ERM」という。当社の取締役会は、当社のERMフレームワークを監督する責任を負っており、取締役会全体として、また常任委員会を通じてこの監督を行う。当社取締役会の公共政策・戦略委員会(「PPS委員会」)は、サイバーセキュリティ・リスクマネジメントに関する当社の戦略とプロセスに対する監督責任を有する。当社のPPS委員会は、後述するように、重要なサイバーセキュリティリスクのアセスメントとマネジメントに責任を負う当社のグローバル最高情報責任者(CIO)および最高情報セキュリティ責任者(CISO)を含む経営陣から、サイバーセキュリティに関する最新情報を定期的に受け取っている。このような更新には、当社のサイバーセキュリティの状況、および潜在的リスクと低減努力を含む当社のサイバーセキュリティ戦略に関する議論が含まれる。サイバーセキュリティインシデントが社内で確立されたエスカレーション閾値を満たした場合、インシデントの迅速な報告が該当する取締役会メンバーに提供される。PPS委員会はまた、特定のサイバーセキュリティ・インシデントのレビュー中に特定される可能性のある戦略上またはプロセス上のギャップに対する潜在的な改善策を検討する。
Our Board of Directors recognizes the importance to the Company of effectively identifying, assessing and managing risks that could have a significant impact on our business strategy. The ERM framework leverages internal risk committees comprised of cross-functional leadership who meet regularly to evaluate and prioritize risks, including cybersecurity risk, in the context of our strategy, with further escalation to our CEO, Board and/or Committees, as appropriate. Effective management of cybersecurity risks is critical to the successful execution of our business strategy. 当社の取締役会は、当社の事業戦略に重大な影響を及ぼしうるリスクを効果的に特定、アセスメント、マネジメン トすることが当社にとって重要であることを認識している。ERMの枠組みは、サイバーセキュリティ・リスクを含むリスクを当社の戦略に照らして評価し、優先順位を決定するために定期的に開催される、部門横断的なリーダーシップで構成される社内のリスク委員会を活用しており、必要に応じてCEO、取締役会、および/または委員会にさらにエスカレーションされる。サイバーセキュリティ・リスクを効果的にマネジメントすることは、当社の事業戦略を成功裏に遂行するために不可欠である。
Risk Management and Strategy リスクマネジメント戦略と戦略
Our CIO and CISO are responsible for assessing and implementing our cybersecurity risk management programs, which are informed by the National Institute of Standards and Technology (NIST) Cybersecurity Framework. These leaders and their teams have significant relevant experience in various fields, such as incident response, application security, data protection, network security and identity and access management, and have implemented and executed security programs across multiple industries at Fortune 100 companies. Our programs are designed to create a comprehensive, cross-functional approach to identify and mitigate cybersecurity risks as well as to prevent cybersecurity incidents in an effort to support business continuity and achieve operational resiliency. 当社のCIOとCISOは、国立標準技術研究所(NIST)のサイバーセキュリティ・フレームワークに準拠したサイバーセキュリティ・リスクマネジメント・プログラムのアセスメントと実施に責任を負っている。これらのリーダーとそのチームは、インシデント対応、アプリケーション・セキュリティ、データ保護、ネットワーク・セキュリティ、ID・アクセス管理など、さまざまな分野で関連する重要な経験を有しており、フォーチュン100社のさまざまな業界でセキュリティ・プログラムを実施・実行してきた。当社のプログラムは、サイバーセキュリティ・リスクを特定・軽減し、サイバーセキュリティ・インシデントを未然に防ぐための包括的かつ部門横断的なアプローチを構築することで、事業継続を支援し、業務レジリエンスを実現することを目的としている。
We leverage certain third-party providers and local technology support teams to help execute certain aspects of our cybersecurity risk management programs. We also engage third parties in assessments and testing of our policies, processes and standards that are designed to identify and remediate cybersecurity incidents. These efforts include a wide range of activities focused on evaluating the effectiveness of the program, including audits, modeling, tabletop exercises and vulnerability testing. We also periodically engage independent third parties to perform assessments and evaluations of certain aspects of our information security control environment and operation of our program. Further, we have various processes and programs to manage cybersecurity risks associated with our use of third-party vendors and suppliers. 当社は、サイバーセキュリティ・リスク管理プログラムの特定の側面の実行を支援するために、特定のサードパーティ・プロバイダーと現地の技術サポート・チームを活用している。また、サイバーセキュリティ・インシデントの特定と是正を目的とした当社のポリシー、プロセス、標準のアセスメントとテストにサードパーティを関与させている。こうした取り組みには、監査、モデリング、机上演習、脆弱性テストなど、プログラムの有効性評価に焦点を当てた幅広い活動が含まれる。また、独立したサードパーティを定期的に雇い、当社の情報セキュリティ管理環境とプログラムの運用の特定の側面についてアセスメントと評価を行っている。さらに、サードパーティーのベンダーやサプライヤーの利用に関連するサイバーセキュリティ・リスクを管理するためのさまざまなプロセスやプログラムを用意している。
We provide regular, mandatory training for employees regarding cybersecurity threats to bring awareness on how they can help prevent and report potential cybersecurity incidents. In addition, key stakeholders involved with our cybersecurity risk management programs receive additional training and regularly participate in scenario-based training exercises to support the effective administration of our programs. 従業員に対しては、サイバーセキュリティの脅威に関する定期的な必須トレーニングを実施し、潜在的なサイバーセキュリティインシデントの予防と報告について従業員の意識向上を図っている。さらに、当社のサイバーセキュリティ・リスクマネジメント・プログラムに関与する主要な利害関係者は、追加的なトレーニングを受け、当社のプログラムの効果的な運営をサポートするために、シナリオベースのトレーニング演習に定期的に参加している。
We have established and regularly tested incident response processes and controls that identify and risk-rank incidents through a centralized system to promote timely escalation of cybersecurity incidents that exceed a particular level of risk, including escalation of incidents of sufficient magnitude or severity to our CIO and CISO. In evaluating cybersecurity incidents, management considers the potential impact to our results of operations, control framework, and financial condition, as well as the potential impact, if any, to our business strategy or reputation. 当社は、特定のリスクレベルを超えるサイバーセキュリティインシデントのタイムリーなエスカレーション(十分な規模または重大性のあるインシデントのCIOおよびCISOへのエスカレーションを含む)を促進するため、集中システムを通じてインシデントを特定し、リスクランク付けするインシデント対応プロセスおよびコントロールを確立し、定期的にテストしている。サイバーセキュリティインシデントを評価する際、経営陣は当社の経営成績、統制の枠組み、財務状況に与える潜在的な影響、および事業戦略や評判に与える潜在的な影響(もしあれば)を考慮する。
Cybersecurity threats, including as a result of our previous cybersecurity incidents, have not materially affected our results of operations or financial condition, including our business strategy, in 2023. For additional information on risks from cybersecurity threats, please see our Risk Factors beginning on page 28. 当社の過去のサイバーセキュリティ・インシデントの結果を含むサイバーセキュリティの脅威は、2023年において、当社の事業戦略を含む経営成績または財政状態に重大な影響を及ぼしていない。サイバーセキュリティの脅威によるリスクに関する追加情報については、28ページから始まる「リスク要因」を参照されたい。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.19 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合

・2024.07.15 SECのルールの改正によるサイバーセキュリティ開示 (20-F) ORIX、野村、タケダ、ソニー、トヨタ、ホンダの場合

・2024.07.14 SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

・2024.06.02 米国 SEC ニューヨーク証券取引所を所有するインターコンチネンタル取引所をサイバー侵入をしていたのに通知しなかったいうことで1000万ドル(約16億円)の罰金を受け入れていますね... (2024.05.22)

・2023.11.08 米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2023.03.17 米国 SEC 米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を市場関係者向けに提案

 

 

 

| | Comments (0)

2024.06.29

経済産業省 「企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)」を取りまとめ (2024.06.25)

こんにちは、丸山満彦です。

経済産業省で今年の4月に企業情報開示のあり方に関する懇談会が設立され、議論されてきたわけですが、課題と今後の方向性についての中間報告が公表されていますね...

サステナビリティ関連情報の開示等に意識がいっているような感じですね...

法定の有価証券報告書、コーポレート・ガバナンス報告書でもサステナビリティ関連の開示が充実してくるようになったことに加えて、任意の統合報告者やサステナビリティレポートを作成・公表する企業が増えていて、企業開示の全体像が見えにくかったり、記載内容の重複だったり、形式ていな記載だったりで、その利用が適切に行われていないのではないかといった課題があるとは思います。一方、作成コストもバカにならないと...

ということで、企業、投資家、学識経験者が集まって、諸外国企業との比較を通じて、日本企業の情報開示の現状を確認し、目指す方向性についての議論をしたようですね...

野村総合研究所の三井千絵さんも参加されていますね...

 

企業に関する情報というのは、その企業を知ろうとすればするほど、企業固有の事情を説明できるような情報・データが必要となり、他企業との比較可能性が困難になります。一方、他企業との比較可能性を高めようとすればするほど、一般的な形式情報が増え、その企業を深く理解する情報・データが少なくなります。

個人的には、文書を作っていくという報告書的なものから、データを中心にした分析的な報告書(その企業を深く理解するための報告書。企業間比較がしやすいような報告書がデータを中心に作成されていくイメージ。)で、イメージ案2に近い感じですね。。。

紙で読むというよりも、ウェブ等で読むことが前提の報告書のイメージ...モジュール化という話もでたようですが、そんな感じですね...

それと、報告書がデータから自動的に作成されるようになれば、監査の対象もデータについてと、表現についてに分けて考えることもできるかもですね...監査の意義ややり方も変わるかもですね...

 

イメージ案2については、現状と異なるので、その移行が課題になりうるのですが、そういうのはいっときの話なので、できる限り短期間にやってしまうように準備をしてやってしまうのでしょうね...(でないと、移行期間中の重複開示、あるいは、比較可能性の減少が生じて社会的なコストが大きくなるので)

 

ちなみにイメージ案2

2_20240629064201

 

ついでにイメージ案1

1_20240629064201

 

● 経済産業省

・2024.06.25 「企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)」を取りまとめました


近年、企業の情報開示は、その量が増加傾向にあることに加えて、特に我が国においては、任意の報告書なども含めて、様々な媒体(有価証券報告書、事業報告・計算書類、統合報告書等)を通じた進展が見られます。こうした進展の一方で、日本企業の情報開示については、開示体系の複雑性や、開示内容の充実化の必要性、開示量の増加に伴う課題などについて国内外から指摘されています。

投資家等との建設的な対話・エンゲージメントを通じて、持続的な企業価値の向上を目指していくためには、投資家等の特性に応じた開示の検討を含め、企業・投資家等の双方にとって効率的かつ効果的な開示の在り方を検討することが必要と考えられます。

こうした問題意識を踏まえ、本懇談会では、諸外国企業との比較を通じ、日本企業の情報開示の現状を確認した上で、主に、(1)開示体系、(2)サステナビリティ情報を含めた企業価値向上に資する情報開示という二つの観点から、日本企業の情報開示の課題と将来の方向性について議論してきました。今般、これまで3回の議論の結果を中間報告として公表します。


 

・[PDF] 企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)

20240629-60555

目次...

I. はじめに

II. 日本企業の情報開示に関する課題等
1.
企業価値向上に資する情報開示の内容・質に関する課題
 ① 有価証券報告書
 ② コーポレート・ガバナンス報告書
 ③ 統合報告書

2.
企業情報開示の体系に関する課題
 ① 開示書類間の記載内容の重複について
 ② 有価証券報告書と統合報告書の使い分けの実態と課題について
 ③ 各報告書の一本化について

III. 新たな情報開示のあり方に関するアイデア等
1.
グランドデザイン
2.
イメージ案 1:法定開示と任意開示の役割分担
3.
イメージ案 2:二層構造の開示体系
4.
イメージ案 12 に共通するポイント
 ① 事業報告等、有価証券報告書とコーポレート・ガバナンス報告書の一体開示
 ② 定時株主総会前の一体書類の開示
 ③ 英文による情報開示
 ④ XBRL 化

5.
将来の企業情報開示に関する議論
 ① 目指すべき開示体系
 ② イメージ案 2 の課題
 ③ 新たな開示体系への移行(企業規模等に応じた情報開示)
 ④ その他の論点

IV. おわりに

 

そのた関連情報

 


 

まるちゃんの情報セキュリティ気まぐれ日記

ESG, CSR 関係...

ESG/CSR

 

情報開示関係...

・2024.06.09 金融庁 コーポレートガバナンス改革の実践に向けたアクション・プログラム 2024

・2024.06.03 金融庁 スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議(第29回)議事録

・2024.01.18 金融庁 コーポレートガバナンス改革に向けた取組みに関するウェブページを開設 (2024.01.15)

・2023.10.28 SECが2024年度の審査強化項目を公表していますね。。。

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2023.02.16 SECが2023年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2023.02.07)

・2022.12.07 英国 投資家等に対するサイバーセキュリティのリスクに対する開示等の個人的な整理....

・2022.04.05 SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

・2021.09.20 米国 SEC長官の上院での証言(2) 投資家はサイバーセキュリティに関する情報を企業に求めている

・2021.04.27 欧州委員会 非財務情報開示指令の改正案発表 対象企業が大幅に増加

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

 

遡って...

・2011.10.31 SEC サイバーセキュリティリスクとインシデントについての開示 (CF Disclosure Guidance: Topic No. 2 Cybersecurity)

・2011.03.21 今こそ問われる、CSR報告書、企業行動憲章

・2009.09.15 経団連 CSR(企業の社会的責任)に関するアンケート調査結果

・2007.01.22 CSR情報開示 世界格付け S&P Global Reporters 2006

| | Comments (2)

2024.06.22

東芝 「東芝グループ サイバーセキュリティ報告書2024」の発行について (2024.06.18)

こんにちは、丸山満彦です。

東芝グループが、サイバーセキュリティ報告書2024を公表していますね...

サイバーセキュリティのリスクは企業のリスクの中でも大きなリスクの一つに挙げられそうですので、ESG報告書の別冊的な位置付けでESGの一部として重要なサイバーセキュリティ分野の報告書を公表していくというのは、利害関係者とのコミュニケーション手段の一つして良いのではないかと思います。

ガバナンス、個人情報保護、社内ITインフラの保護、製品やサービスのセキュリティ、研究開発まで、網羅的に述べられていてよいですね...

 

NECは「情報セキュリティ報告書」をほぼ毎年公表していますね。。。

経済産業省が、情報セキュリティガバナンスや情報セキュリティ報告書についての政策に力をいれていたこともあって、2009年−2015年ころは少なからずの企業が公表していた時期があったんですけどね...

いまでも、情報セキュリティ報告書のモデル [PDF] ガイドラインが公表されていますが、NECや東芝のものを見ると、少し歴史を感じさせる内容となっていますね...

 

 

東芝

プレス...

・2024.06.18 「東芝グループ サイバーセキュリティ報告書2024」の発行について

報告書...

サイバーセキュリティ報告書

・[PDF]  A3 閲覧用 A4 印刷用

20240622-100528 

 

サイバーセキュリティ報告書

目次...

最高情報セキュリティ責任者(CISO)メッセージ
東芝グループサイバーセキュリティマニフェスト
東芝グループ理念体系

ビジョン・戦略
東芝グループのセキュリティビジョン
ガバナンス
セキュリティオペレーション
人材育成
プライバシーガバナンスの取り組み
個人情報保護
海外法令対応

セキュリティ確保への取り組み
社内ITインフラへの対策
 監視・検知の強化…
 EDRツールによるエンドポイント対策の強化・・インターネット接続点のセキュリティ対策
 インシデント対応への取り組み・ハッカー視点の高度な攻撃・侵入テスト
 自主監査・アセスメント..
 脅威インテリジェンスの活用
 アタックサーフェスの管理と脆弱性対応
製品・システム・サービスへの対策
 製品セキュリティを確保するための取り組み
 迅速かつ確実な脆弱性への対応
 サプライチェーンセキュリティリスクへの対応
セキュアな製品・システム・サービスの提供
研究開発
社外活動
第三者評価・認証
持続可能な開発目標(SDGS)達成に向けて

 

 

 


 

| | Comments (0)

2024.06.17

米国 White House ファクトシート:2024年 イタリアのプーリアでのG7サミット

こんにちは、丸山満彦です。

イタリアで行われているG7も終了しましたが、会合の米国としてのまとめ?が6月14日のホワイトハウスのウェブページに掲載されていますね...

ポイントは次のような感じ...

ヨーロッパの目先の脅威、課題であるウクライナ問題で始まり、平和(安全保障)、経済的安全保障(Economic Security)、途上国の巻き込み、気候変動、病気・食糧、女性、移民、人工知能という感じですね...

 

Supporting Ukraine’s Fight for Freedom ウクライナの自由への戦いを支援する
Unlocking $50 billion for Ukraine: ウクライナに500億ドルを提供する:
Driving Up Costs for the Russian War Machine: ロシアの戦争コストを押し上げる:
Supporting Ukraine Now and in the Future: 現在と将来のウクライナを支援する:
Advancing International Peace, Security, and Prosperity 国際平和、安全保障、繁栄の促進
Calling for a Comprehensive Deal in Gaza:  ガザにおける包括的合意を求める:
Standing with Allies and Partners in the Indo-Pacific:  インド太平洋における同盟国およびパートナーとの協力:
Deepening Cooperation with Partners in Africa:   アフリカのパートナーとの協力を深める:
Promoting Economic Resilience and Economic Security 経済的強靭性と経済的安全保障の促進
Working Together to Level the Playing Field and Protect Economic Security:   競争条件を公平にし、経済的安全を守るために協力する:
Building Partnerships to Promote Resilient Supply Chains and Reduce Critical Dependencies:   強靭なサプライチェーンを促進し、重要な依存を削減するためのパートナーシップを構築する: 
Protecting Critical and Sensitive Technologies:   重要かつ機密性の高い技術を保護する: 
Partnering with Developing Countries to Invest in their Future 発展途上国の未来に投資するために協力する
Breaking the Global Debt Impasse:   世界的な債務の行き詰まりを打破する:
Boosting the Financial Power of the International Financial Institutions:  国際金融機関の資金力を高める: 
Delivering on the Partnership for Global Infrastructure and Investment (PGI):   世界インフラ投資パートナーシップ(PGI)の実現: 
Accelerating the Clean Energy Transition to Address Climate Change 気候変動に対処するためのクリーン・エネルギー転換を加速する
Phasing Out Unabated Coal Power and Increasing Energy Storage:   止まらない石炭発電の廃止とエネルギー貯蔵の増加: 
Building Clean and Resilient Supply Chains:  クリーンで強靭なサプライチェーンを構築する:
Promoting International Collaboration on Nuclear and Fusion Energy:   原子力および核融合エネルギーに関する国際協力の促進:
Promoting Health and Food Security 健康と食料安全保障の促進
Launching the Apulia Food Security Initiative:  プーリア食料安全保障イニシアティブの立ち上げ:
Transforming Global Health Security Financing:  世界的な医療安全保障のための資金調達を変革する:
Expanding Immunization Coverage:  予防接種範囲の拡大:  
Addressing antimicrobial resistance (AMR): 抗菌薬耐性(AMR)への対応:
Investing in Childcare to Support Women’s Economic Participation 女性の経済参加を支援するための育児への投資
Enhancing Our Partnership on Migration 移民に関するパートナーシップの強化
Deepening Cooperation on Artificial Intelligence 人工知能に関する協力の深化
Bridging Technology Divides and Addressing AI’s Impact on Workers: 技術の隔たりを埋め、AIが労働者に与える影響に対処する:  
Increasing Coordination to Promote AI Safety: AIの安全性を促進するための協調を強化する:
Promoting Resilient Technology Supply Chains: 強靭な技術サプライチェーンの促進:

 

U.S. The White House

・2024.06.14 FACT SHEET: The 2024 G7 Summit in Apulia, Italy

 

FACT SHEET: The 2024 G7 Summit in Apulia, Italy ファクトシート:イタリアのプーリアでの2024年G7サミット
President Biden and G7 leaders stood united at the G7 Summit in Apulia, Italy, taking bold action to meet the tests of our time:  supporting Ukraine’s fight for freedom and driving up the costs of Russia’s war, pushing back on unfair economic practices, tackling the climate crisis and food and health insecurity, harnessing critical technologies for the benefit of all, and working with partners around the world to support developing countries investing in their futures. バイデン大統領とG7首脳は、イタリアのプーリア州で開催されたG7サミットで結束し、ウクライナの自由への戦いを支援し、ロシアの戦争コストを引き上げ、不公正な経済慣行を押し返し、気候危機と食糧・健康不安に取り組み、すべての人々の利益のために重要な技術を活用し、世界中のパートナーと協力して途上国の未来への投資を支援するという、現代の試練に立ち向かうための大胆な行動をとった。
Supporting Ukraine’s Fight for Freedom ウクライナの自由への戦いを支援する
Joined by Ukrainian President Zelenskyy, G7 leaders reaffirmed their unwavering support for Ukraine for as long as it takes – sending an unmistakable signal to Putin that he will not outlast our resolve.  G7首脳は、ウクライナのゼレンスキー大統領とともに、ウクライナへの揺るぎない支援を必要な限り続けることを再確認した。
Unlocking $50 billion for Ukraine:  G7 leaders announced a plan to provide Ukraine with $50 billion in new financing by bringing forward the interest earned on immobilized Russian sovereign assets held in the European Union and other jurisdictions.  Leaders reaffirmed their commitment that Russia’s sovereign assets within G7 jurisdictions will remain immobilized until Russia ends its aggression and pays for the damage it has caused to Ukraine.  This new financing will provide critically needed support for Ukraine’s military, budget, and reconstruction needs.  The United States will work with Ukraine and G7 partners in the coming months to finalize the details of the financing arrangement and issue the loan by the end of the year. ウクライナに500億ドルを提供する:  G7首脳は、欧州連合(EU)やその他の管轄区域に保有されるロシアの固定化されたソブリン資産から得られる利息を前倒しすることにより、ウクライナに500億ドルの新たな資金を提供する計画を発表した。 首脳は、ロシアが侵略をやめ、ウクライナに与えた損害の代償を支払うまで、G7の管轄区域内にあるロシアのソブリン資産は固定化されたままであるとのコミットメントを再確認した。 この新たな資金調達は、ウクライナの軍事、予算、復興のニーズに対して、決定的に必要な支援を提供する。 米国は今後数ヶ月間、ウクライナおよびG7のパートナーと協力し、融資の詳細を決定し、年内に融資を実行する予定である。
Driving Up Costs for the Russian War Machine: The Biden Administration this week issued a sweeping set of new sanctions and export control measures, guided by G7 commitments to intensify the pressure on Russia for its war against Ukraine.  Foreign banks now face increased sanctions risk when they deal with Russia’s war economy.  New sanctions on more than 300 individuals and entities in Russia, the People’s Republic of China (PRC), and globally target Russia’s financial infrastructure; over a dozen international evasion and procurement networks; Russia’s future energy, metals, and mining revenues; and Russian elites involved in the deportation or so-called re-education of Ukrainian children.  The Administration also announced steps to restrict access to certain U.S. software and information technology services, to crack down on diversion of goods through shell companies, and to more extensively restrict exports to entities that supply Russia with U.S.-branded items produced overseas. ロシアの戦争コストを押し上げる:バイデン政権は今週、対ウクライナ戦争に対するロシアへの圧力を強化するため、G7の公約に導かれる形で、新たな制裁措置と輸出規制措置を大々的に発表した。 外国の銀行がロシアの戦争経済と取引する際には、制裁リスクが高まることになる。 ロシア、中華人民共和国(PRC)、そして全世界の300以上の個人と団体に対する新たな制裁は、ロシアの金融インフラ、10以上の国際的な脱税・調達ネットワーク、ロシアの将来のエネルギー、金属、鉱業収入、ウクライナの子どもたちの国外追放やいわゆる再教育に関与するロシアのエリートたちを標的としている。 また同政権は、特定の米国製ソフトウェアや情報技術サービスへのアクセスを制限し、ペーパーカンパニーを通じた商品の横流しを取り締まり、海外で生産された米国ブランドの商品をロシアに供給する企業への輸出をより広範囲に制限する措置も発表した。
Supporting Ukraine Now and in the Future.  In Puglia, President Biden and President Zelensky signed the U.S.-Ukraine Bilateral Security Agreement as a demonstration of enduring U.S. support for Ukraine, including through binding commitments to deepen our security and defense cooperation and to consult in the event of a future armed attack . 現在と将来のウクライナを支援する:プーリアにおいて、バイデン大統領とゼレンスキー大統領は、米国とウクライナの二国間安全保障協定に署名した。これは、安全保障・防衛協力の深化や、将来の武力攻撃時の協議を含む、ウクライナに対する米国の永続的な支援を示すものである。
Advancing International Peace, Security, and Prosperity 国際平和、安全保障、繁栄の促進
The G7’s work is grounded in a shared commitment to respect the UN Charter, promote international peace and security, and uphold the free and open rules-based international order. G7の活動は、国連憲章を尊重し、国際の平和と安全を促進し、自由で開かれたルールに基づく国際秩序を維持するという共通のコミットメントに基づいている。
Calling for a Comprehensive Deal in Gaza: The G7 was united in supporting the comprehensive deal outlined by President Biden that would lead to an immediate ceasefire in Gaza, the release of all hostages, a significant and sustained increase in the flow of humanitarian assistance throughout Gaza, and an enduring end to the crisis, with Israel’s security interests and safety for Palestinian civilians in Gaza assured. ガザにおける包括的合意を求める: G7は、イスラエルの安全保障上の利益とガザのパレスチナ市民の安全を確保した上で、ガザにおける即時停戦、全人質の解放、ガザ全域における人道支援の大幅かつ持続的な増加、危機の永続的な終結につながるバイデン大統領が概説した包括的な取り決めを支持することで一致した。
Standing with Allies and Partners in the Indo-Pacific:  President Biden discussed robust U.S. engagement in the Indo-Pacific to strengthen our alliances and partnerships, and welcomed the increasing connectivity between European and Indo-Pacific partners.  He joined with other leaders in stressing the importance of peace and stability across the Taiwan Strait, and in raising concerns regarding the PRC’s dangerous actions in the South China Sea. インド太平洋における同盟国およびパートナーとの協力:  バイデン大統領は、同盟とパートナーシップを強化するため、インド太平洋地域における米国の強固な関与について述べ、欧州とインド太平洋地域のパートナー間の結びつきが強まっていることを歓迎した。 また、他の首脳とともに、台湾海峡の平和と安定の重要性を強調し、南シナ海における中国の危険な行動について懸念を表明した。
Deepening Cooperation with Partners in Africa:  The G7 is working together with African partners to contribute to global stability and prosperity, and have endorsed African countries’ call for greater voice in international bodies. アフリカのパートナーとの協力を深める: G7は、世界の安定と繁栄に貢献するため、アフリカのパートナーと協力しており、アフリカ諸国が国際機関においてより大きな発言力を求めていることを支持した。
Promoting Economic Resilience and Economic Security 経済的強靭性と経済的安全保障の促進
President Biden rallied the G7 to take further steps to protect our workers, industries, and the investments we are making from begin undermined by the PRC’s unfair practices.  The PRC’s policies are creating global spillovers, including harmful overcapacity, that undercut market firms and lead to supply chain dependencies in sectors such as solar, wind, electric vehicles, lithium-ion batteries, medical devices, mature-node semiconductors, steel, aluminum, and others.  バイデン大統領は、中国の不公正な慣行によって損なわれることのないよう、我々の労働者、産業、投資を保護するための更なる措置を講じるよう、G7に呼びかけた。 中国の政策は、太陽光、風力、電気自動車、リチウムイオン電池、医療機器、成熟ノード半導体、鉄鋼、アルミニウムなどの分野において、市場企業を弱体化させ、サプライチェーン依存につながる有害な過剰生産能力を含む、グローバルな波及効果を生み出している。
Working Together to Level the Playing Field and Protect Economic Security:  The G7 pledged to work together to confront non-market policies and practices and efforts to dominate strategic sectors.  The G7 will undertake new monitoring and information-sharing efforts, update our respective toolkits to counter harmful practices, and coordinate efforts to deter and respond to economic coercion.  競争条件を公平にし、経済的安全を守るために協力する:  G7は、非市場的な政策や慣行、戦略的セクターを支配しようとする努力に立ち向かうために協力することを約束した。 G7は、新たな監視と情報共有の努力を行い、有害な慣行に対抗するためのそれぞれのツールキットを更新し、経済的強制を抑止し、これに対応するための努力を調整する。
Building Partnerships to Promote Resilient Supply Chains and Reduce Critical Dependencies:  The G7 will work with partners in developing countries and emerging markets to increase their participation in global supply chains while promoting high standards. 強靭なサプライチェーンを促進し、重要な依存を削減するためのパートナーシップを構築する:  G7 は、開発途上国や新興市場のパートナーと協力し、高い基準を推進しつつ、グローバル・ サプライ・チェーンへの参加を拡大する。
Protecting Critical and Sensitive Technologies:  We are updating our respective tools to protect certain critical and sensitive technologies from being used to undermine international peace and security, while avoiding broader restrictions on international trade and investment.  The G7 is also strengthening cooperation on research security, data security, and investment screening efforts, and coordinating to streamline the implementation of export controls. 重要かつ機密性の高い技術を保護する:  我々は、国際貿易及び投資に対する広範な制限を回避しつつ、特定の重要かつ機微な技術が国際的な平和と安全を損なうために使用されることを防止するため、それぞれの手段を更新している。 G7はまた、研究セキュリティ、データ・セキュリティ、投資スクリーニングの取り組みに関する協力を強化し、輸出規制の実施を合理化するための調整を行っている。
Partnering with Developing Countries to Invest in their Future 発展途上国の未来に投資するために協力する
The G7 is taking ambitious steps to scale up support to developing countries and accelerate progress toward the Sustainable Development Goals. G7は、途上国への支援を拡大し、持続可能な開発目標に向けた進捗を加速させるため、野心的な措置を講じている。
Breaking the Global Debt Impasse:  Recognizing that mounting debt burdens are putting developing countries’ ability to make such critical investments out of reach, President Biden – alongside Kenyan President Ruto – championed and garnered G7 support for the Nairobi-Washington Vision that calls on the international community to step up support for developing countries to make critical investments and reforms.  The G7 committed to work with the IMF, World Bank, and other stakeholders to bring this plan forward, with a view to realizing it for pilot countries this year. 世界的な債務の行き詰まりを打破する:バイデン大統領は、ケニアのルト大統領とともに、債務負担の増大が途上国の重要な投資を手の届かないものにしていることを認識し、重要な投資と改革を行う途上国への支援を強化するよう国際社会に求めるナイロビ・ワシントン・ビジョンを提唱し、G7の支持を集めた。 G7は、IMF、世界銀行、その他の利害関係者と協力し、今年中にパイロット国向けにこの計画を実現することを視野に入れ、この計画を前進させることを約束した。
Boosting the Financial Power of the International Financial Institutions: President Biden further championed efforts to deliver better, bigger, more effective multilateral development banks (MDBs).  The G7 rallied together to announce planned contributions which, once approved domestically, would make it possible for the World Bank to boost lending by $70 billion over the next decade.  This is on top of efforts from the United States and other MDB shareholders to unlock over $250 billion in new lending capacity at these institutions.  国際金融機関の資金力を高める: バイデン大統領はさらに、より良く、より大きく、より効果的な多国間開発銀行(MDBs)を実現するための努力を支持した。 G7が結集して拠出計画を発表し、それが国内で承認されれば、世界銀行は今後10年間で700億ドルの融資増額が可能になる。 これは、米国と他のMDB株主による、MDBにおける2500億ドル以上の新規融資能力を引き出すための努力に加えてのことである。
Delivering on the Partnership for Global Infrastructure and Investment (PGI):  President Biden and Italian Prime Minister Meloni co-hosted a PGI side event that included participation by BlackRock Chairman and CEO Larry Fink and Microsoft Chairman and CEO Satya Nadella.  G7 leaders and private sector executives reaffirmed their commitment to unlocking public and private capital for investments in partner countries, demonstrated by BlackRock’s announcement that a group of investors plan to invest at least $4 billion in alignment with PGI priorities and Microsoft’s announcement of $5 billion in recent digital infrastructure investments in emerging markets.  President Biden announced new projects and highlighted progress on PGI economic corridors, including the Lobito Corridor in Sub-Saharan Africa and the Luzon Corridor in the Philippines.  The United States has mobilized more than $60 billion to date towards PGI. 世界インフラ投資パートナーシップ(PGI)の実現: バイデン大統領とメローニ伊首相は、ブラックロックのラリー・フィンク会長兼CEOとマイクロソフトのサティア・ナデラ会長兼CEOが参加するPGIサイドイベントを共催した。 G7首脳と民間企業幹部は、パートナー国への投資のために公的・民間資本を開放することへのコミットメントを再確認した。これは、ブラックロック社がPGIの優先事項に沿って少なくとも40億ドルの投資を計画していると発表したことや、マイクロソフト社が新興国市場における最近のデジタル・インフラ投資で50億ドルを拠出すると発表したことで実証された。 バイデン大統領は新たなプロジェクトを発表し、サハラ以南のアフリカのロビト回廊やフィリピンのルソン回廊など、PGI経済回廊の進展を強調した。 米国はこれまでに600億ドル以上をPGIに動員している。
Accelerating the Clean Energy Transition to Address Climate Change 気候変動に対処するためのクリーン・エネルギー転換を加速する
The G7 is accelerating its work to address the challenges of climate change, pollution, and biodiversity loss.  G7 members reaffirmed ambitious COP28 commitments to triple renewable energy capacity, double global energy efficiency by 2030, and strengthen energy security. G7は、気候変動、汚染、生物多様性の損失という課題に対処するための活動を加速させている。 G7メンバーは、2030年までに再生可能エネルギー容量を3倍にし、世界のエネルギー効率を2倍にし、エネルギー安全保障を強化するという野心的なCOP28の約束を再確認した。
Phasing Out Unabated Coal Power and Increasing Energy Storage:  The G7 has committed for the first time to phase out unabated coal power generation in energy systems during the first half of the 2030s.  The G7 has also further set a target to deploy 1,500 GW of long-duration energy storage by 2030, building on top of the COP28 pledge to triple globally installed renewable energy by 2030. 止まらない石炭発電の廃止とエネルギー貯蔵の増加: G7は、2030年代前半のエネルギーシステムにおいて、停止していない石炭発電を段階的に廃止することを初めて約束した。 G7はさらに、2030年までに再生可能エネルギーの導入量を世界全体で3倍にするというCOP28の公約に基づき、2030年までに150万kWの長期エネルギー貯蔵を導入するという目標を設定した。
Building Clean and Resilient Supply Chains:  Working with Congress, President Biden announced that the United States intends to contribute $5 million to the Partnership for Resilient and Inclusive Supply-Chain Enhancement (RISE), launched by the G7 last year.  RISE supports low- and middle-income countries to invest in their economies and strengthen their engagement throughout critical minerals supply chains, helping to drive the clean energy transition and promote resilient supply chains. クリーンで強靭なサプライチェーンを構築する:  バイデン大統領は議会と協力し、昨年G7が立ち上げた「レジリエントで包括的なサプライチェーン強化のためのパートナーシップ(RISE)」に米国が500万ドルを拠出する意向であることを発表した。 RISEは、低・中所得国が自国の経済に投資し、重要な鉱物のサプライチェーン全体への関与を強化することを支援し、クリーンエネルギーへの移行を促進し、弾力的なサプライチェーンを促進する。
Promoting International Collaboration on Nuclear and Fusion Energy:  The G7 recognized nuclear energy as a clean/zero emissions energy source that can reduce dependence on fossil fuels to address the climate crisis and improve global energy security, and pledged to support multilateral efforts to strengthen the resilience of nuclear supply chains.  Recognizing the potential for fusion energy to serve as a breakthrough energy solution, the G7 is establishing a Working Group on Fusion Energy to share best practices and promote cooperation on research and development. 原子力および核融合エネルギーに関する国際協力の促進:  G7は、原子力を、気候危機に対処し、世界のエネルギー安全保障を向上させるために化石燃料への依存を減らすことができるクリーン/ゼロエミッションのエネルギー源として認識し、原子力サプライチェーンの強靭性を強化するための多国間努力を支援することを約束した。 核融合エネルギーが画期的なエネルギー解決策となる可能性を認識し、G7は、ベストプラクティスを共有し、研究開発に関する協力を促進するため、核融合エネルギーに関する作業部会を設置する。
Promoting Health and Food Security 健康と食料安全保障の促進
The G7 continues to lead global efforts to address the food security crisis and support strong, resilient and responsive health systems around the world. G7は、食料安全保障の危機に対処し、世界中の強く、弾力的で、対応力のある保健システムを支援するための世界的な取り組みを引き続き主導する。
Launching the Apulia Food Security Initiative:  G7 leaders joined Italy in launching the Apulia Food Security Initiative to address structural barriers to food security and nutrition and build more resilient, sustainable, and productive agriculture and food systems.  Aligned with the United States’ signature food security initiative, The Feed the Future Initiative, as well as the Vision for Adapted Crops and Soils, the G7 recommitted to investing in sustainable and resilient food systems and in healthy, fertile soil management and climate-adapted crop varieties. プーリア食料安全保障イニシアティブの立ち上げ: G7 の指導者たちは、食料安全保障と栄養に対する構造的な障壁に取り組み、より強靭で持続可能、かつ生産的な農業と食料システムを構築するため、イタリアとともにプーリア食料安全保障イニシアティブを立ち上げた。 米国の代表的な食料安全保障イニシアチブである「フィード・ザ・フューチャー・イニシアチブ」や「適応作物と土壌のためのビジョン」と連携し、G7は、持続可能で強靭な食料システム、健康的で肥沃な土壌管理と気候に適応した作物品種への投資を約束した。
Transforming Global Health Security Financing:  President Biden and G7 leaders called for at least $2 billion in new pledges for the Pandemic Fund, and pledges equal to or greater than that for catalytic financing, which helps developing countries build pandemic prevention, preparedness, and response capacities.  They additionally committed to achieve concrete progress to boost surge financing for medical countermeasure (MCM) to enable countries to quickly procure, produce, and deliver MCMs during future pandemics. 世界的な医療安全保障のための資金調達を変革する:  バイデン大統領とG7首脳は、パンデミック基金への少なくとも20億ドルの新規拠出と、開発途上国のパンデミック予防、準備、対応能力の構築を支援する触媒的資金への同額以上の拠出を求めた。 さらに、将来のパンデミック時に各国が迅速にMCMを調達、生産、提供できるよう、医療対策(MCM)のためのサージ資金を強化するための具体的な進展を約束した。
Expanding Immunization Coverage:  President Biden and G7 leaders expressed support for a sustainable replenishment of Gavi, the Vaccine Alliance, this year, with the goal of significantly expanding immunization coverage globally.  President Biden committed to making a robust and multi-year pledge to Gavi, the Vaccine Alliance, in support of this year’s replenishment and urged other G7 leaders to step up with ambitious pledges of their own. 予防接種範囲の拡大:  バイデン大統領とG7首脳は、予防接種の普及率を世界的に大幅に拡大することを目標に、ワクチン同盟であるGaviの持続可能な補充を今年行うことへの支持を表明した。 バイデン大統領は、今年の補充を支援するため、ワクチンアライアンスであるGaviに対し、強固で複数年にわたる誓約を行うことを約束し、他のG7首脳に対し、野心的な誓約を自ら行うよう促した。
Addressing antimicrobial resistance (AMR):  G7 Leaders committed to take action to address the emergence, spread, and impact of AMR, including through ensuring a successful High-Level Meeting on AMR in September 2024 that galvanizes action on this critical health, economic, and security threat. 抗菌薬耐性(AMR)への対応:  G7首脳は、2024年9月に開催されるAMRに関するハイレベル会合を成功させ、この重大な保健、経済、安全保障上の脅威に対する行動を喚起することを含め、AMRの出現、拡散、影響に対処するための行動をとることを約束した。
Investing in Childcare to Support Women’s Economic Participation 女性の経済参加を支援するための育児への投資
The G7 is tackling the unequal gender distribution of care work, which contributes to gender inequality.  The G7 committed to support, by 2035, at least 200 million more women to join the workforce by investing in efforts to close the global gap in the availability of childcare – including through the World Bank Invest in Childcare Initiative announced by First Lady Dr. Jill Biden in 2022 to help promote women’s economic opportunity.  G7 partners have contributed more than $100 million to the World Bank to support more high-quality investments in childcare globally. G7は、ジェンダー不平等の一因となっている介護労働の不平等な男女分配に取り組んでいる。 G7は、2022年にジル・バイデン大統領夫人が発表した、女性の経済的機会を促進するための世界銀行による保育への投資イニシアティブを含め、保育の利用可能性における世界的格差を解消する取り組みに投資することにより、2035年までに少なくとも2億人以上の女性の労働参加を支援することを約束した。 G7のパートナーは、世界の保育へのより質の高い投資を支援するため、世界銀行に1億ドル以上を拠出している。
Enhancing Our Partnership on Migration 移民に関するパートナーシップの強化
Drawn from the principles of the Los Angeles Declaration on Migration and Protection that President Biden launched at the Summit of the Americas in 2022, the G7 affirmed a collective commitment to addressing migration in ways that reflect both the challenges and opportunities it presents.  Leaders endorsed a three-pronged approach focused on addressing root causes of irregular migration, strengthening safe and regular migration pathways, and enhancing border management and enforcement and curbing transnational organized crime. 2022年の米州サミットでバイデン大統領が発表した「移住と保護に関するロサンゼルス宣言」の原則に基づき、G7は、移住がもたらす課題と機会の双方を反映する形で移住に取り組むという集団的なコミットメントを確認した。 首脳は、非正規移民の根本原因への取り組み、安全で正規の移民経路の強化、国境管理と執行の強化、国際組織犯罪の抑制に焦点を当てた3つの側面からのアプローチを支持した。
Deepening Cooperation on Artificial Intelligence 人工知能に関する協力の深化
In line with the Biden Administration’s vision laid out in the October 2023 Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, the G7 is building partnerships around the world to ensure the benefits of artificial intelligence and other technologies are widely shared while mitigating risks. バイデン政権が2023年10月に発表した「人工知能の安全、安心かつ信頼できる開発と利用に関する大統領令」に示されたビジョンに沿って、G7は人工知能やその他の技術の恩恵を広く共有する一方で、リスクを軽減するためのパートナーシップを世界中で構築している。
Bridging Technology Divides and Addressing AI’s Impact on Workers:  G7 leaders affirmed the importance of international partnerships to bridge the digital divide and ensure people everywhere access the benefits of AI and other technologies in order to make scientific advancements, promote sustainable development, improve public health, accelerate the clean energy transition, and more. G7 labor ministers will develop an action plan to leverage AI’s potential to increase quality jobs and empower workers while addressing its potential challenges and risks to workers and labor markets. 技術の隔たりを埋め、AIが労働者に与える影響に対処する:  G7首脳は、科学の進歩、持続可能な開発の促進、公衆衛生の向上、クリーン・エネルギーへの転換の加速などを実現するため、デジタル・デバイドを解消し、あらゆる人々がAIやその他の技術の恩恵にアクセスできるようにするための国際的パートナーシップの重要性を確認した。G7労働大臣は、労働者と労働市場に対する潜在的な課題とリスクに対処しつつ、質の高い雇用を増やし、労働者に力を与えるAIの潜在力を活用するための行動計画を策定する。
Increasing Coordination to Promote AI Safety:  G7 leaders committed to step up efforts to enhance interoperability between our respective approaches to AI governance and risk management.  This includes deepening cooperation between the U.S. AI Safety Institute and similar bodies in other G7 countries to advance international standards for AI development and deployment. AIの安全性を促進するための協調を強化する:  G7首脳は、AIガバナンスとリスク管理に対するそれぞれのアプローチ間の相互運用性を高める努力を強化することを約束した。 これには、米国のAI安全性研究所と他のG7諸国の同様の組織との協力を深め、AIの開発と展開に関する国際基準を推進することが含まれる。
Promoting Resilient Technology Supply Chains: The G7 welcomed the establishment of a Semiconductors G7 Point of Contact Group to bolster our coordination on issues impacting this critical sector underpinning the AI ecosystem. 強靭な技術サプライチェーンの促進: G7は、AIのエコシステムを支えるこの重要なセクターに影響を与える問題についての協調を強化するため、半導体G7コンタクト・ポイント・グループの設立を歓迎した。

 

Fig1_20210802074601

 

 


 

ちなみに、日本の外務省のウェブページ

外務省 

2024 G7サミット

 

 


 

| | Comments (0)

2024.06.13

世界経済フォーラム (WEF) グローバル・ジェンダーギャップ報告書 2024 (昨年よりも7つも順位を上げる!)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)がグローバル・ジェンダーギャップ報告書の2024年版を公表していますね。。。

日本は総合で、118位(146カ国中)という状況ですが、昨年は。。。125位(146カ国中)ということだったので、7つも順位を上げています。

上昇に貢献したのが、政治。113位(146カ国中)は昨年の138位(146カ国中)から大きく順位を上げています!

 

Fig1_20240613010101

 

Fig2_20240613010101

 

指数をみると日本はほぼ同じ。。。でも、順位は下がっている。。。

日本が停滞しているのは、世界がかわっていっているのに、日本が変わっていっていないからかもしれませんね。。。取り残される日本...

 

 

World Economic Forum - Whitepaper

・2023.06.11 Global Gender Gap Report 2024

 

Global Gender Gap Report 2024 グローバル・ジェンダーギャップ報告書 2024
The Global Gender Gap Index annually benchmarks the current state and evolution of gender parity across four key dimensions (Economic Participation and Opportunity, Educational Attainment, Health and Survival, and Political Empowerment). It is the longest-standing index tracking the progress of numerous countries’ efforts towards closing these gaps over time since its inception in 2006. グローバル・ジェンダー・ギャップ指数は毎年、4つの主要な次元(経済参加と機会、教育達成、健康と生存、政治的エンパワーメント)におけるジェンダー平等の現状と進展をベンチマークしている。この指標は、2006年の開始以来、長期にわたってこれらの格差の解消に向けた多くの国々の努力の進捗状況を追跡している、最も長い歴史を持つ指標である。

 

・[PDF] Global Gender Gap Report 2024

20240612-235059

 

日本についてはP219, P220に詳細なものがありますね。。。

 

これは私がまとめた日本の推移...

経済参画 教育 健康 政治参画 経済参画 教育 健康 政治参画 総合 国数
2006年 0.545 0.986 0.980 0.067 0.645 83 60 1 83 80 115
2007年 0.549 0.986 0.979 0.067 0.645 97 69 37 94 91 128
2008年 0.544 0.985 0.979 0.065 0.643 102 82 38 107 98 130
2009年 0.550 0.985 0.979 0.065 0.645 108 84 41 110 101 134
2010年 0.572 0.986 0.980 0.072 0.652 101 82 1 101 94 134
2011年 0.567 0.986 0.980 0.072 0.651 100 80 1 101 98 135
2012年 0.576 0.987 0.979 0.070 0.653 102 81 34 110 101 135
2013年 0.584 0.976 0.979 0.060 0.650 104 91 34 118 105 136
2014年 0.618 0.978 0.979 0.058 0.658 102 93 37 129 104 142
2015年 0.611 0.988 0.979 0.103 0.670 106 84 42 104 101 145
2016年 0.569 0.990 0.979 0.103 0.660 118 76 40 103 111 144
2017年 0.580 0.991 0.98 0.078 0.657 114 74 1 123 114 144
2018年 0.595 0.994 0.979 0.081 0.662 117 65 41 125 110 149
2020年 0.598 0.983 0.979 0.049 0.652 115 91 40 144 121 153
2021年 0.604 0.983 0.973 0.061 0.656 117 92 65 147 120 156
2022年 0.564 1.000 0.973 0.061 0.650 121 1 63 139 116 146
2023年 0.561 0.997 0.973 0.057 0.647 123 47 59 138 125 146
2024年 0.568 0.993 0.973 0.118 0.663 120 72 58 113 118 146

 

Key Findings

Full Report

User Guide

Economy Profiles

Shareables

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.23 世界経済フォーラム (WEF) グローバル・ジェンダーギャップ報告書 2023 (政治参画は146カ国中138位)

・2023.06.15 経団連 「男性の家事・育児」に関するアンケ―ト調査結果 (2023.06.05)

・2023.04.03 米国 米サイバー軍 科学・技術・サイバースペースの未来に図らずも挑戦した女性たち

・2023.03.14 CISA より多くの若い女性をサイバーセキュリティに導くためにガールスカウトUSAと連携を強化

・2023.03.14 CISAとWomen in CyberSecurityがパートナーシップを強化し、サイバーと技術におけるジェンダーギャップを解消へ

 

| | Comments (0)

2024.06.09

金融庁 コーポレートガバナンス改革の実践に向けたアクション・プログラム 2024

こんにちは、丸山満彦です。

金融庁の「スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議」が、コーポレートガバナンス改革の実践に向けたアクション・プログラム2024(「スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議」意見書(7))を公表していますね...

日本企業あるあるの形式的にやったことにしている、、、みたいなことはダメだよという感じですね。

企業がレジリエンスを意識することが重要という観点で、サイバーセキュリティリスクについても言及がありますね...

 

金融庁

・2024.06.07 コーポレートガバナンス改革の実践に向けたアクション・プログラム2024(「スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議」意見書(7))の公表について

 


本意見書においては、企業の持続的な成長と中長期的な企業価値向上という目的に立ち返り、具体的な取組みの検証や共有を通じた、企業と投資家の自律的な意識改革に基づくコーポレートガバナンス改革の「実践」に向け、フォローアップ会議としての提言が示されています。


 

・[PDF] コーポレートガバナンス改革の実践に向けたアクション・プログラム2024(「スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議」意見書(7))

20240608-43647

ちょっときになった点...

株主総会前に有価証券報告書を開示する...


情報開示については、タイムリーかつ効果的・効率的に提供されることが必要であり、有価証券報告書の開示が株主総会前のタイミングになるよう、環境整備について検討すべきである。


 

レジリエンスについての記載...


企業経営が、パンデミックやサイバーセキュリティリスク、地政学リスクなどの様々なリスクに、サプライチェーン全体を通じてさらされる中、有事における「復元力」の発揮など、「レジリエンス」を意識することが重要である。


 

そして、サステナビリティ関係の保証...


国際的な比較可能性を確保したサステナビリティ情報の開示・保証のあり方を検討するとともに、サステナビリティを意識した経営に関する具体的な事例を関係者間において共有すべきである。


 

 

・[PDF] (別添)アクション・プログラム2024概要

20240608-51817

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.03 金融庁 スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議(第29回)議事録

 

 

| | Comments (0)

2024.06.04

書籍紹介 経営に新たな視点をもたらす「統合知」の時代

こんにちは、丸山満彦です。

そういえば、PwC Intelligenceから「経営に新たな視点をもたらす「統合知」の時代」がダイヤモンド社から4月末に出版されたのですが、

20240603-182353

 

サイバーセキュリティーの部分を書いています...

サイバーセキュリティというか、インターネットが前提の社会でどのように社会の安全を確保するかということを意識して書いています...

技術の進歩が経済発展を支え、その結果が国力に反映され、価値観の競争に反映され、その競争の舞台がサイバーにも及ぶという感じですかね...なんですが、そこまで混みっては書いていません(^^)

 

全体としては、こんな感じ...


第1章 変化する世界、日本の立ち位置

世界のメガトレンド
今後、日本はどう行動すべきか
本書の構成
コラム:インテリジェンスを考えるにあたり重要な2つのポイント

第2章 変化する国際環境における日本と日本企業のあり姿

多極化する世界における日本のあり姿
「世界と組む日本」の実現に向けた方策
アジア新興国とのビジネス関係のあり方
コラム:DXで生き残りを図るパパママショップ

第3章 超高齢化社会の望ましい未来

過去とすでに起こった未来
人口減少・高齢化と経済成長
成長の3要素:労働・資本・生産性
無形資産の現状と課題
労働者と企業がアニマル・スピリッツを発揮した時の経済の姿

第4章 人間社会に溶け込むテクノロジーとのつきあい方

変わりゆく人間とテクノロジーの関係
日本ならではのテクノロジーの受容と活用のあり方
人生100年時代のテクノロジー活用
コラム:社会実装の横展開における日本の強み

第5章 サイバー空間の安全をいかに確保するか

サイバー空間の現状
サイバー空間の安全性と信頼性の現状
民主主義国家としてのサイバーセキュリティとの向き合い方
コラム:ランサムウェア被害

第6章 ビジネスで実現するネイチャーポジティブ

地球環境問題を、イノベーションで解く
環境問題とビジネスにおける課題とニーズを紐解く
ネイチャーポジティブ経済:暮らしを再考する新産業が生まれる
コラム:ネイチャーポジティブで期待される蝶の羽ばたき

第7章 問い直されるウェルビーイングのあり方

ウェルビーイングの歴史・経緯
ウェルビーイングの将来像
ウェルビーイングの追求:国家および企業に求められる方向性
コラム:人間とテクノロジーの共存の先に見える日本のあり方

第8章 【対談】悲観的なナラティブを排し、「ポジ出し」で日本の勝ち筋を見出す

対談者
・三治 信一朗  上席執行役員、パートナー
・片岡 剛士  執行役員、チーフエコノミスト


 

軽いビジネス書なので、頭を休める感じで眺めてもらえると良いかもです...

 

経営に新たな視点をもたらす「統合知」の時代

ダイヤモンド社

・・Amazon

・・丸善

 

 

 

 

 

| | Comments (0)

2024.05.15

米国 MITRE 連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設 (2024.05.07)

こんにちは、丸山満彦です。

MITREが連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設したようですね...

NVIDIA DGX SuperPOD™だそうです...

 

MITRE

・2024.05.07 MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies

MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies MITRE、米国政府機関向けに新たなAI実験およびプロトタイピング能力を確立する
MITRE Federal AI Sandbox to be Powered by NVIDIA DGX SuperPOD  MITRE Federal AI SandboxはNVIDIA DGX SuperPODを搭載する 
McLean, Va., May 7, 2024 – MITRE is building a new capability intended to give its artificial intelligence (AI) researchers and developers access to a massive increase in computing power. The new capability, MITRE Federal AI Sandbox, will provide better experimentation of next generation AI-enabled applications for the federal government. The Federal AI Sandbox is expected to be operational by year’s end and will be powered by an NVIDIA DGX SuperPOD™ that enables accelerated infrastructure scale and performance for AI enterprise work and machine learning. ヴァージニア州マクリーン、2024年5月7日 - MITREは、人工知能(AI)の研究者と開発者が膨大なコンピューティング・パワーを利用できるようにすることを目的とした新機能を構築している。この新機能「MITRE Federal AI Sandbox」は、連邦政府向けの次世代AI対応アプリケーションの実験を改善する。連邦AIサンドボックスは年内に運用を開始する予定で、AIエンタープライズ業務と機械学習のためのインフラ規模の拡大と性能の加速を可能にするNVIDIA DGX SuperPOD™を搭載する。
As U.S. government agencies seek to apply AI across their operations, few have adequate access to supercomputers and the deep expertise required to operate the technology and test potential applications on secure infrastructure.  米国政府機関が業務全体にAIを適用しようとしている中、スーパーコンピュータへの十分なアクセスや、安全なインフラ上で技術を運用し、潜在的なアプリケーションをテストするのに必要な深い専門知識を持っているところはほとんどない。
"The recent executive order on AI encourages federal agencies to reduce barriers for AI adoptions, but agencies often lack the computing environment necessary for experimentation and prototyping," says Charles Clancy, MITRE, senior vice president and chief technology officer. "Our new Federal AI Sandbox will help level the playing field, making the high-quality compute power needed to train and test custom AI solutions available to any agency ."  MITREのチャールズ・クランシー上級副社長兼最高技術責任者(CTO)は次のように述べている。「AIに関する最近の大統領令は、連邦政府機関に対してAI導入の障壁を減らすよう促しているが、政府機関には実験やプロトタイピングに必要なコンピューティング環境がないことが多い。我々の新しいFederal AI Sandboxは、カスタムAIソリューションの訓練とテストに必要な高品質の計算能力をどのような機関でも利用できるようにし、競争の場を平準化するのに役立つだろう。」
MITRE will apply the Federal AI Sandbox to its work for federal agencies in areas including national security, healthcare, transportation, and climate. Agencies can gain access to the benefits of the Federal AI Sandbox through existing contracts with any of the six federally funded research and development centers MITRE operates. MITREは連邦AIサンドボックスを、国家安全保障、ヘルスケア、交通、気候などの分野で連邦政府機関向けの業務に適用する。各省庁は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、Federal AI Sandboxの恩恵にアクセスすることができる。
Sandbox capabilities offer computing power to train cutting edge AI applications for government use including large language models (LLMs) and other generative AI tools. It can also be used to train multimodal perception systems that can understand and process information from multiple types of data at once such as images, audio, text, radar, and environmental or medical sensors, and reinforcement learning decision aids that learn by trial and error to help humans make better decisions. サンドボックスの機能は、大規模言語モデル(LLM)やその他の生成的AIツールを含む、政府用の最先端AIアプリケーションを訓練するためのコンピューティングパワーを提供する。また、画像、音声、テキスト、レーダー、環境・医療センサーなど、複数の種類のデータからの情報を一度に理解・処理できるマルチモーダル知覚システムや、人間がより良い意思決定を行えるよう試行錯誤しながら学習する強化学習意思決定支援システムの訓練にも利用できる。
"MITRE’s purchase of a DGX SuperPOD to assist the federal government in its development of AI initiatives will turbocharge the U.S. federal government’s efforts to leverage the power of AI," says Anthony Robbins, vice president of public sector, NVIDIA. "AI has enormous potential to improve government services for citizens and solve big challenges, like transportation and cyber security."  NVIDIAの公共部門担当副社長であるアンソニー・ロビンズ氏は、次のように述べている。「MITREがDGX SuperPODを購入し、連邦政府のAIイニシアチブの開発を支援することで、AIのパワーを活用するための米国連邦政府の取り組みが加速するでしょう。AIは、市民のための政府サービスを改善し、交通やサイバーセキュリティのような大きな課題を解決する大きな可能性を秘めている。」
The NVIDIA DGX SuperPOD powering the sandbox is capable of an exaFLOP of performance to train and deploy custom LLMs and other AI solutions at scale. サンドボックスを駆動するNVIDIA DGX SuperPODは、カスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、エクサFLOPの性能を発揮する。

 

・2024.05.07 Federal AI Sandbox

Federal AI Sandbox 連邦AIサンドボックス
To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI model 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を備えたセキュアなサンドボックス環境が必要である。
AI has the potential to drive transformational advances in fields including healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets. AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、このインパクトを活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。
MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITREの新しいフラッグシップAIスーパーコンピューターは、最新のAIを推進するハイエンド・コンピューティングへの政府アクセスを合理化し、拡大する。この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。

 

 

・[PDF

20240515-04359

 

 

MITRE is investing in a massive AI supercomputer to power a new federal AI sandbox.  MITREは、連邦政府の新しいAIサンドボックスを動かすために、巨大なAIスーパーコンピューターに投資している。
AI has the potential to drive transformational advances in fields like healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets.  AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、この影響力を活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。
Today, few federal agencies have adequate access to large-scale computing infrastructure. This situation inhibits public sector innovation by limiting the creation and evaluation of customized AI tools like large language models (LLMs) similar to ChatGPT. MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. The NVIDIA DGX SuperPOD system powering the sandbox is capable of an exaFLOP of 8-bit AI compute, meaning it performs a quintillion math operations each second to train and deploy custom LLMs and other AI solutions at scale.  今日、大規模なコンピューティング・インフラに十分アクセスできる連邦機関はほとんどない。この状況は、ChatGPTのような大規模言語モデル(LLM)のようなカスタマイズされたAIツールの作成と評価を制限することで、公共部門のイノベーションを阻害している。MITREの新しいフラッグシップAIスーパーコンピュータは、最新のAIを駆動するハイエンドコンピューティングへの政府アクセスを合理化し、拡大する。サンドボックスを駆動するNVIDIA DGX SuperPODシステムは、8ビットAIコンピュートのエクサFLOPが可能であり、これはカスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、毎秒5億回の数学演算を実行することを意味する。
Federal agencies can gain access to the benefits of MITRE’s AI sandbox through existing contracts with any of the six federally funded research and development centers that MITRE operates. The sandbox, which launches in late 2024, will substantially augment MITRE’s AI Platform—increasing compute power by two orders of magnitude.  連邦政府機関は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、MITREのAIサンドボックスのメリットを利用できる。2024年後半に開始されるサンドボックスは、MITREのAIプラットフォームを大幅に増強し、計算能力を2桁増加させる。
An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITRE continues to invest in innovation and resources that enable our experts, often in collaboration with government, industry, and academia, to solve complex problems in the public interest. この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。MITREは、我々の専門家が政府、産業界、学界としばしば協力し、公共の利益のために複雑な問題を解決することを可能にするイノベーションとリソースへの投資を続けている。
To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI models. 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を持つ安全なサンドボックス環境が必要である。

 

 

| | Comments (0)

より以前の記事一覧