情報セキュリティマネジメント
グローバル企業として、ルネサスはサイバーセキュリティを極めて重要な課題と捉え、脆弱性の特定および潜在的な脅威への迅速な対応に努めています。事業継続性の確保を目的に、潜在的なリスクの監視と報告、従業員への継続的なトレーニング、ならびに最新のサイバーセキュリティ基準および認証の把握を通じて、コーポレートガバナンスの枠組みの中でサイバー攻撃の未然防止に取り組んでいます。
2024年には、以下の主要な取り組みを通じて、情報セキュリティにおけるコアコンピタンスのさらなる強化を図りました。
- 潜在的な脆弱性への対応力強化と運用の回復力向上を目的とした、サプライチェーン全体のセキュリティ強化
- 同業他社、サプライヤー、政府機関、顧客など主要ステークホルダーとの連携強化による、セキュリティ体制の堅牢化とインテリジェンスの高度化
- 半導体製造業者サイバーセキュリティコンソーシアム(SMCC)への積極的な参画を通じた、業界課題と解決策に関する最新情報の把握
当社は、ネットワーク、データ、コンピュータシステムへの不正アクセスの試みに対し、継続的な監視、評価、報告および対応を行うための包括的なセキュリティ管理フレームワークを確立しています。この構造化されたアプローチにより、潜在的なセキュリティ脅威を迅速に特定・対応し、デジタル資産の保護と運用の完全性の維持を実現しています。
ルネサスは、ISO 27001規格に準拠するとともに、情報セキュリティの継続的な改善を目的として、同業他社との定期的な成熟度ベンチマークを実施しています。また、ネットワーク、データ、システムへの不正アクセスの試みに対しては、監視・評価・対応を行うための正式な体制を整備しています。
当社の専門ITセキュリティチームは、IT担当Vice Presidentの指導の下、戦術的および戦略的な手段を用いて、24時間体制で潜在的な脅威を監視し、セキュリティ上の問題を事前に検出・解決しています。
インシデントが発生した場合には、ITチームが速やかにセキュリティ評議会(CEO、CFO、General Counsel、人事およびITの責任者)に報告し、必要に応じて人事、法務、品質保証、調達、経理部門と連携して緊急対応計画を発動します。四半期ごとに作成される報告書は、安全保障理事会、経営幹部、取締役会に提出され、サイバーセキュリティに関するリスクと取り組みについて継続的に情報提供を行っています。
さらに、迅速かつ効果的な対応を確保するために、定期的なインシデント対応演習を実施しており、脅威への対応力と部門間の連携を強化しています。これに加えて、業界標準に準拠した最新のセキュリティポリシーへの更新を通じて、全社的なセキュリティ体制の強化を図っています。また、内部の脆弱性を特定し、リスクを軽減するための実用的な洞察を得ることを目的として、年次の侵入テストも実施しています。
研修
ルネサスでは、サイバーセキュリティに対する意識の向上を重要な優先事項と位置づけ、世界中のすべての従業員および請負業者に対して、フィッシング対策およびセキュリティプロトコルに関する年次必須トレーニングを提供しています。このプログラムには、定期的な模擬フィッシング演習に加え、ITイントラネットページを通じたオンデマンド型の追加トレーニング資料へのアクセスも含まれています。
2024年には、計画された従業員向けサイバーセキュリティトレーニングセッションを実施し、年間トレーニングサイクルを完了しました。その結果、従業員の83%がトレーニングを修了しています。この取り組みは、単にフィッシング対策にとどまらず、サイバーセキュリティに関する最新の脅威や知識を従業員が継続的に習得できるよう設計されています。
また、すべての新入社員に対しては、セキュリティおよびコンプライアンスに関する詳細な初期トレーニングを実施しており、加えて毎年のリフレッシャートレーニングも行っています。
当社のサイバーセキュリティチームは、コンプライアンス、法務、人事部門と緊密に連携し、最新のセキュリティ脅威に対応するために必要なツールとプロセスの整備を進めています。ルネサスは、堅牢な情報セキュリティ体制がビジネスの推進力となり、信頼されるサプライヤー、顧客、パートナーとしての地位を確立し、持続的な成長を実現する鍵であると確信しています。
認証
ルネサスは、グローバルなセキュリティ基準の遵守に全社を挙げて取り組んでおり、セキュリティ侵害からの保護に向けた体制と能力を継続的に強化しています。
2024年には、現在および将来の買収先がMicrosoftのグローバルスタンダードと整合し、すべてのユーザーに一貫したセキュリティ体験を提供できるよう、認証資格の拡充を目指しました。
現在取得している主な認証には、以下が含まれます:
- ISO/IEC 27001:グローバルな情報セキュリティマネジメントシステム(ISMS)規格に基づく認証プロセスの開始と、第1フェーズ(設計管理の有効性検証)の完了
- TISAX(Trusted Information Security Assessment Exchange):IATF16949およびISO 9001と並行して機能する自動車業界向け情報セキュリティ評価基準の取得(2023年完了)
- SOC 2 Type 2:Altium 365プラットフォームにおける、指定期間にわたるセキュリティ統制の有効性と長期的な運用一貫性の評価
AIガバナンス
ジェネレーティブAIは、ルネサスの業務において不可欠な存在となっており、安全かつ責任ある導入と活用を確保するため、AIガバナンスを極めて重要な要素と位置づけています。
当社は、AI、セキュリティ、コンプライアンス、法務の各部門から構成される横断的なワーキンググループ「AIツールタスクフォース」を結成し、組織全体でグローバルにジェネレーティブAIツールを活用するための、安全かつコンプライアンスに準拠した環境の整備に取り組んでいます。その一環として、ジェネレーティブAIツールの使用に関するガイドラインを策定・公開しました。
さらに2024年には、職場におけるAIチャットボットの使用方法、リスク、制限事項に関する理解を深めることを目的として、従業員向けのオンライントレーニングを実施しました。
データプライバシー
ルネサスは、チーム、クライアント、パートナー、そしてすべてのステークホルダーのプライバシーとセキュリティを保護することに全力で取り組んでいます。当社の情報セキュリティポリシーは、GDPR、APPI、CCPA、BDSGなどの主要なデータプライバシー関連法規制を完全に遵守することを目的としており、それに基づく厳格な管理措置を明確に定めています。これらの取り組みは、業界のベストプラクティスとの整合性を確保しながら、セキュリティ体制の強化を図るために、組織全体で実施されています。
さらに、ルネサスはプライバシーコンプライアンスの専門機関であるTrustArcと提携し、毎年、当社のプライバシー慣行に関する包括的な評価を実施しています。この評価では、当社のプライバシーポリシー、手順、運用実態を徹底的に精査し、潜在的なギャップを特定・是正することで、プライバシープログラムの継続的な強化を実現しています。
当社のデータプライバシーフレームワークは、個人データをそのライフサイクル全体にわたって保護するために導入された原則、管理策、およびガバナンスメカニズムを明確に定義しています。
2025年も、以下の主要な取り組みを通じて、当社のデータプライバシー機能をさらに進化させました。
- データプライバシーガバナンスの強化
法務部門内にデータプライバシーチームを設立し、社内ステークホルダーとの連携によるリスクの特定と軽減 - プライバシーフレームワークの強化と規制コンプライアンス
グローバルなデータ保護法の遵守を支援するための、構造化されたフレームワークの実装。プライバシー運用の一貫した基盤の提供と、組織全体における説明責任の明確化、透明性の確保、リスク低減の促進 - プライバシー・バイ・デザインとデフォルト
プライバシー・バイ・デザインの原則に基づく、製品開発およびビジネスイニシアチブへの初期段階からのプライバシー配慮の組み込み。必要最小限の個人データのみを収集・保持・処理することを前提とした設計による、データエクスポージャーの削減と責任あるデータ利用の推進 - 部門横断的なエンゲージメントとリスク分析
社内レビューおよびプライバシー影響評価(PIA)を通じた、組織全体での認識と整合性の強化 - 一元化されたプライバシーリソース
ポリシー、ガイドライン、トレーニング資料、テンプレートへの合理的なアクセスを可能にするイントラネットページの立ち上げ - 継続的な監視と継続的な改善
法令改正に関する最新情報の把握と、ポリシーおよびテンプレートの定期的な更新 - 透明性の高いコミュニケーション
個人データの収集・利用・保護に関する明確な説明と、プライバシーポリシーを通じた個人の権利の尊重
これらの取り組みを通じて、ルネサスは個人データの責任ある取り扱いを確保し、イノベーション、信頼、グローバルコンプライアンスを支えるプライバシー文化を育んでいます。