情報セキュリティ方針

住友林業グループは、情報、情報資産や情報システムの機密性・完全性・可用性を確保するために、運用ルール面と技術面を相互補完させながら、情報セキュリティレベルの向上を図っています。特にお客様情報の保護については、最重要課題の一つであるとの認識のもと、ルールの周知に向けた社員教育を継続するとともに、周知度の検証を行っています。さらに、これらの取り組みに対して継続的な改善を実施し、常に最新の脅威に対応できる体制を維持しています。

セキュリティ運用体制整備

運用ルール面では、国内グループ会社を対象としてガイドライン及びチェックリストを作成し、国内グループ各社の情報システム担当部門の責任者が情報セキュリティレベルの確認を毎年行っています。また、海外グループ会社に対しても同レベルのガイドラインを展開しました。

社員情報セキュリティレベル強化

情報セキュリティに関する教育については、イントラネットを通じ派遣社員・アルバイトを含む国内グループ全社員が毎年受講することを義務づけています。受講効果を測るテストでの合格が修了の条件となっています。情報セキュリティ上の問題が発生した際に、社員が電話、メール等で相談できる窓口を開設するとともに、全てのパソコンに相談窓口の連絡先電話番号を記載したシールを貼りつけるなど、セキュリティ上の問題発生時に迅速にエスカレーションし、適切な初期対応を行う報告フローの周知啓発に努めています。さらに、2025年度はガイドラインの現場での遵守状況を把握し、情報セキュリティ対策の強化につなげるために、内部監査室による情報セキュリティ監査を住友林業32店部、国内グループ会社16社に対して実施しました。

情報セキュリティ対策強化

技術面では、社外へ持ち出すパソコンに対する起動時の「暗号化」や、パソコンからのデータの書き出しを制限する仕組みを導入しています。

2023年度から海外グループ会社へのサポート体制を整備し、ガイドラインに沿った情報セキュリティ対策の強化を進めてきました。2025年度も海外グループ会社各社にて情報セキュリティの当社が定める標準レベルへの引き上げに取り組みました。一部の目標未達成の会社についても2027年度中の標準レベルへの引き上げ完了を目指して取り組んでいきます。

2025年度においては、海外関係会社でのランサムウェア攻撃や国内関係会社での標的型攻撃など、複数のセキュリティインシデントが発生しましたが、早期検知・対応により事業への重大な影響を回避しました。これらの事案から得られた知見を活かし、検知・防御体制の強化、インシデント対応プロセスの見直し及び社員への継続的なセキュリティ教育を実施しています。

お客様のプライバシー保護
（個人情報保護）

住友林業は、個人情報保護のために、個人情報保護方針や個人情報保護規程などの社内規程を整備しているほか、総務担当執行役員であるコーポレート本部長を「個人情報保護最高責任者」、各店部の長を「個人情報保護店部責任者」に任命し、各店部に「個人情報管理統轄者」を置くなど、本社から各事業所に至る保護体制を敷いています。

また、個人情報の取り扱いに関する相談窓口として、お客様相談室内に、「個人情報相談窓口」を設置しています。さらに、各店部の長・総務責任者などに対する集合研修、社員全員に対するe-ラーニング研修などの社員教育、ならびに業務委託先に対する意識啓発を行い、個人情報漏えい事故の防止に努めています。e-ラーニング研修については、国内グループ各社社員も必須で受講しています。

情報セキュリティ管理体制

経営レベルでの管理体制

住友林業グループは、ITソリューション／情報セキュリティに関する統括責任者である担当役員のコーポレート本部長のもと、ITソリューション部長が、規程類の策定・管理、技術的対策の立案・実施、社員に対する教育・訓練、事故発生時の調査・対策などの情報セキュリティ施策を推進しています。情報セキュリティに関する社会的動向及び住友林業グループの施策の実行状況について、コーポレート本部長が主催し、社長、各本部長に共有する「IT戦略委員会」において定期的な報告を行い、施策指示を受けています。

現場での管理体制

各部門の責任者は「情報セキュリティ推進責任者」として自部門の業務遂行を指導・管理しており、各部門に実務責任者である「情報セキュリティ推進担当者」を配置しています。

また、住友林業の各店部情報セキュリティ推進担当者が参加する「情報セキュリティ推進担当者会議」や国内グループ会社の情報システム担当部門の責任者が参加する「関係会社IT担当者会議」を定期的に開催し、ガイドラインの周知・遵守徹底や情報セキュリティシステムの導入を推進しています。

さらに、リスク管理委員会において、重点管理対象項目として「外部からの攻撃等による機密情報流出リスク」等を定め、予防や影響軽減に関する評価項目について、四半期ごとに、定期開催する委員会で共有・協議しています。2025年度は、新たに「委託先の情報セキュリティ強化」（サプライチェーン対策）を項目に加えて取り組んでいます。これらの活動内容は、取締役会に報告・答申し、業務執行に反映させる仕組みを整備しています。また、2026年度は、外部環境変化の状況により新たに「ランサムウェア感染による事業停止リスク」を定め、サイバー攻撃に際しても事業継続性を確保するように基盤強化に取り組んでいます。

加えて、同委員会配下に設置された「BCM小委員会」において、グループの横断的なIT関連の事業中断リスクへの対応について、実効性を高めるための活動を展開しています。

なお、住友林業グループ内外の住宅CAD業務やシステム運用、バックオフィス業務などのBPO受託事業を行うDalian Sumirin Information Technology Service（大連ITS）社において、ISMS^※1認証（ISO/IEC 27001）を取得しました。

アメリカの海外子会社にはITガバナンス担当者を本社部門から派遣し、情報セキュリティを含むITガバナンス管理体制の整備を進めています。
2024年度には、木材建材事業本部でサービス提供を開始した業界向け見積作成サービス(JUCORE 見積)において、ISMS^※1認証（ISO/IEC 27001）を取得しました。

※1Information Security Management Systemの略。組織における情報資産のセキュリティを管理するための枠組み

情報セキュリティ強化の取り組み

昨今、多発する個人情報漏えい事故や、標的型メール攻撃など、情報セキュリティに対する脅威が増していることから、住友林業グループでは、住友林業をはじめ、国内グループ各社のパソコン端末へのEDR^※1（次世代セキュリティソフト）の導入を行い、業務システム基盤へのEDRの導入を展開するなど、引き続き情報セキュリティ強化に対する投資を行っています。インターネットからアクセス可能なシステム基盤については、年1回以上疑似攻撃手法による情報セキュリティ診断を実施するとともに脆弱性を常時監視するASMサービス^※2を導入し、脆弱性対策を強化しています。併せて、国内全社員に対し、年2回以上標的型メール攻撃訓練を実施しています。

※1Endpoint Detection and Responseの略。ユーザーが利用するパソコンやサーバー（エンドポイント）における不審な挙動を検知し、迅速な対応を支援するセキュリティソリューションのこと

※2Attack Surface Managementの略。組織の外部からインターネット経由でアクセス可能なIT資産を把握し、それらに存在する脆弱性などのリスクを継続的に管理する取り組みのこと

CSIRT発足

2022年10月にCSIRT^※1を発足し、セキュリティインシデント防止のための監視や、発生時に適切な対応を実施する組織を整備しました。また、2023年11月に一般社団法人日本シーサート協議会（NCA）に加盟しました。2025年度はNCA主催の「NCO/NCA連携演習」^※2に参加しました。今後も引き続き、インシデント対応能力の向上、情報セキュリティリスクの軽減、情報共有と連携の促進を図っていきます。

※1Computer Security Incident Response Teamの略。セキュリティ上の問題として捉えられる事象であるインシデントが発生した際に対応する専門チーム

※2「NCO/NCA連携演習」とは、国家サイバー統括室（NCO）が毎年実施している「15の重要インフラ事業者」向けの全分野一斉サイバー机上演習を、NCA会員向けに提供する机上演習のこと。NCOと連携して実施されるこの演習は、重要インフラのサイバーセキュリティ対策強化を目的としている