情報セキュリティマネジメント
グローバル企業であるルネサスは、サイバーセキュリティを重要な課題として捉え、脆弱性の特定および潜在的な脅威への迅速な対応に努めています。事業継続性を確保するため、潜在的な脅威の監視・報告、従業員教育、最新のサイバーセキュリティ基準および認証への対応など、包括的なガバナンス、方針、プロセスを通じて、サイバー攻撃の防止に継続的に取り組んでいます。
2025年には、以下の主要な取り組みを通じて、情報セキュリティに関する中核的な能力を強化しました。
- セキュリティ対策を業界標準と照らして継続的に改善・ベンチマークし、成熟度の継続的な向上を確保
- サプライチェーンリスク管理を強化し、サイバーレジリエンスの向上および第三者リスクの低減を推進
- Semiconductor Manufacturer Cybersecurity Consortium(SMCC)への積極的な参加を含め、政府機関および業界団体との連携を強化し、脅威インテリジェンスおよび共同防御体制を向上
- 機微データの保護強化およびAIツールの安全な導入を含む、高度な技術的管理策の展開
当社は、ネットワーク、データ、コンピュータシステムへの不正アクセスの試みに対し、継続的な監視、評価、報告および対応を行うための包括的なセキュリティ管理フレームワークを確立しています。この構造化されたアプローチにより、潜在的なセキュリティ脅威を迅速に特定・対応し、デジタル資産の保護と運用の完全性の維持を実現しています。
ルネサスは、ISO 27001規格に準拠するとともに、情報セキュリティの継続的な改善を目的として、同業他社との定期的な成熟度ベンチマークを実施しています。また、ネットワーク、データ、システムへの不正アクセスの試みに対しては、監視・評価・対応を行うための正式な体制を整備しています。
当社の専門ITセキュリティチームは、IT担当Vice Presidentの指導の下、戦術的および戦略的な手段を用いて、24時間体制で潜在的な脅威を監視し、セキュリティ上の問題を事前に検出・解決しています。
インシデントが発生した場合には、ITチームが速やかにセキュリティ評議会(CEO、CFO、General Counsel、人事およびITの責任者)に報告し、必要に応じて人事、法務、品質保証、調達、経理部門と連携して緊急対応計画を発動します。四半期ごとに作成される報告書は、安全保障理事会、経営幹部、取締役会に提出され、サイバーセキュリティに関するリスクと取り組みについて継続的に情報提供を行っています。
さらに、迅速かつ効果的な対応を確保するために、定期的なインシデント対応演習を実施しており、脅威への対応力と部門間の連携を強化しています。これに加えて、業界標準に準拠した最新のセキュリティポリシーへの更新を通じて、全社的なセキュリティ体制の強化を図っています。また、内部の脆弱性を特定し、リスクを軽減するための実用的な洞察を得ることを目的として、年次の侵入テストも実施しています。
研修
ルネサスでは、サイバーセキュリティに対する意識の向上を重要な優先事項と位置づけ、世界中のすべての従業員および請負業者に対して、フィッシング対策およびセキュリティプロトコルに関する年次必須トレーニングを提供しています。このプログラムには、定期的な模擬フィッシング演習に加え、ITイントラネットページを通じたオンデマンド型の追加トレーニング資料へのアクセスも含まれています。
2025年には、計画された従業員向けサイバーセキュリティトレーニングセッションを実施し、年間トレーニングサイクルを完了しました。その結果、従業員の92.5%がトレーニングを修了しています。この取り組みは、単にフィッシング対策にとどまらず、サイバーセキュリティに関する最新の脅威や知識を従業員が継続的に習得できるよう設計されています。
また、すべての新入社員に対しては、セキュリティおよびコンプライアンスに関する詳細な初期トレーニングを実施しており、加えて毎年のリフレッシャートレーニングも行っています。
当社のサイバーセキュリティチームは、コンプライアンス、法務、人事部門と緊密に連携し、最新のセキュリティ脅威に対応するために必要なツールとプロセスの整備を進めています。ルネサスは、堅牢な情報セキュリティ体制がビジネスの推進力となり、信頼されるサプライヤー、顧客、パートナーとしての地位を確立し、持続的な成長を実現する鍵であると確信しています。
認証
ルネサスは、グローバルなセキュリティ基準の遵守に全社を挙げて取り組んでおり、セキュリティ侵害からの保護に向けた体制と能力を継続的に強化しています。
2024年には、現在および将来の買収先がMicrosoftのグローバルスタンダードと整合し、すべてのユーザーに一貫したセキュリティ体験を提供できるよう、認証資格の拡充を目指しました。
現在取得している主な認証には、以下が含まれます:
- ISO/IEC 27001:ギャップ分析を完了し、ISMSの強化および将来的な認証取得に向けた是正対応を実施中。
- TISAX:IATF 16949およびISO/IEC 9001に整合した、自動車業界向け情報セキュリティ基準について、維持・更新活動を継続(2024年更新済み)。
- SOC2 Type 2:Altium 365プラットフォームにおける認証を維持し、セキュリティ管理策が長期にわたり有効かつ一貫して運用されていることを示しています。
AIガバナンス
AIの活用がルネサスの事業運営においてますます重要性を増す中、当社は、安全で責任あるイノベーションを支えるとともに、変化する法規制上の期待に対応するため、AIガバナンス体制の強化を進めています。
また社内では、AI利用に関する方針およびガイドラインを定期的に見直し・更新し、AIガバナンス体制の継続的な強化に取り組んでいます。これらの取り組みは、IT、情報セキュリティ、法務、その他関連部門による部門横断的な連携によって支えられています。
また、機微データおよびAIツールを保護するための技術的管理策を強化するとともに、生成AIおよびエージェント型AIに伴う新たなリスクへの対応を進めています。社内ガイダンスや研修を通じて、AIの適切な利用に関する従業員の意識向上を図っています。
今後も、技術、社内管理体制、社会的要請の変化に応じて、当社のガバナンス方針を継続的に見直し、改善していきます。
データプライバシー
ルネサスは、従業員、顧客、ビジネスパートナーおよびその他のステークホルダーに関する個人データのプライバシーとセキュリティの保護に取り組んでいます。当社のプライバシーに関する取り組みは、主要なデータ保護関連法令に基づくものであり、持続可能かつ責任あるデータガバナンスの推進、およびプライバシーフレームワークの継続的な高度化に向けた当社の取り組みの一環です。これらの取り組みは全社的に実施されており、プライバシーおよびセキュリティ体制の強化を図るとともに、業界のベストプラクティスの進展に対応しています。また、ルネサスは、責任あるデータガバナンスへの継続的なコミットメントの一環として、プライバシーに関する方針、手続きおよび関連文書を定期的に評価し、潜在的な課題や改善余地の特定に努めています。
当社のデータプライバシーフレームワークは、個人データを保護するために導入している基本原則、管理体制およびガバナンスの仕組みを定めたものです。以下の主要な取り組みを通じて、データプライバシーに関する体制および対応力のさらなる強化を進めましています。
- データプライバシーガバナンスの強化
当社は、法務部門内にデータプライバシー専任チームを設置し、データプライバシーおよび個人データ保護への取り組みを強化しています。同チームは、社内の関係部門と連携し、データプライバシーリスクの特定および低減に取り組んでいます。 - プライバシーフレームワークと規制対応の強化
ルネサスは、グローバルなデータ保護関連法令への対応を支えるため、体系的なフレームワークの整備を進めています。これらのフレームワークは、プライバシー業務における一貫した基盤を提供し、当社グループおよび第三者ベンダーにおける説明責任、透明性ならびにリスク低減の強化を目的としています。 - プライバシー・バイ・デザインおよびデフォルトの推進
ルネサスのプライバシーに関する取り組みは、プライバシー・バイ・デザインの考え方に基づいており、製品開発や事業活動の初期段階からプライバシーへの配慮を組み込むことを重視しています。また、個人データの収集、保管および処理を必要かつ適切な範囲に限定することを基本とし、責任あるデータ利用とデータ露出リスクの低減を図っています。 - 部門横断的な連携とリスク分析
当社は、部門横断的な連携を通じて、プライバシーリスクの評価および管理に取り組んでいます。社内レビューやプライバシー影響評価(PIA)を通じて、データ保護に関する組織全体の意識向上と目標達成に向けた連携強化を図っています。 - プライバシー関連リソースの整備
ルネサスは、プライバシー方針、ガイダンス、研修資料およびテンプレート等に円滑にアクセスできる環境を整備し、社内におけるプライバシー実務の推進を支援しています。 - 継続的なモニタリングと改善
当社は、データ保護関連法令および規制当局の期待事項の動向を継続的にモニタリングし、必要に応じて社内文書を更新することで、プライバシーフレームワークの継続的な改善を支えています。 - 透明性のあるコミュニケーション
ルネサスは、個人データの取扱いに関する透明性の確保に努めています。当社は、プライバシーポリシーおよび関連するコミュニケーションを通じて、個人データの収集、利用および保護の方法を説明するとともに、適用される法令に従い、個人の基本的なプライバシー権の尊重を支援しています。
これらの取り組みを通じて、ルネサスは個人データの責任ある取り扱いを確保し、イノベーション、信頼、グローバルコンプライアンスを支えるプライバシー文化を育んでいます。
