情報セキュリティ方針

住友林業グループは、情報システムの機密性・完全性・可用性を確保するため、運用ルール面と技術面を相互補完させながら、情報セキュリティレベルの向上を図っています。特にお客様情報の保護については、最重要課題の一つであるとの認識のもと、ルールの周知に向けた社員教育を継続するとともに、周知度の検証を行っています。さらに、これらの取り組みに対して継続的な改善を実施し、常に最新の脅威に対応できる体制を維持しています。

セキュリティ運用体制整備

運用ルール面では、国内グループ会社を対象としてガイドライン及びチェックリストを作成。国内グループ各社の情報システム担当部門の責任者が情報セキュリティレベルの確認を毎年行っています。また、海外グループ会社に対しても同レベルのガイドラインを展開しました。

社員情報セキュリティレベル強化

情報セキュリティに関する教育については、イントラネットを通じ派遣社員・アルバイトを含む国内グループ全従業員が毎年受講することを義務付けています。受講効果を測るテスト合格が修了の条件となっています。さらに、2024年度はガイドラインの現場での遵守状況を把握し、情報セキュリティ対策の強化につなげるため、内部監査室による情報セキュリティ監査を住友林業37店部、国内グループ会社10社に対して実施しました。

情報セキュリティ対策強化

技術面では、社外へ持ち出すパソコンに対する起動時の「暗号化」や、パソコンからのデータの書き出しを制限する仕組みを導入しています。

また、コロナ禍におけるテレワーク推進に伴う情報セキュリティリスク増大に対応し、強固な情報セキュリティ対策を施したVPN^※1環境を構築、国内グループ会社全体へ展開しました。2023年度から海外グループ会社へのサポート体制を整備し、ガイドラインに沿った情報セキュリティ対策強化を進めてきました。2024年度も海外グループ会社各社にて情報セキュリティの当社が定める標準レベルへの引き上げに取り組みました。一部の目標未達成の会社についても2025年度中の標準レベルへの引き上げ完了を目指して取り組んでいきます。

※1Virtual Private Networkの略。インターネットなどに接続している利用者の間に仮想的なトンネルを構築し、プライベートなネットワークを拡張する技術

お客様のプライバシー保護
（個人情報保護）

住友林業は、個人情報保護のために、個人情報保護方針や個人情報保護規程などの社内規程を整備している他、総務担当執行役員であるコーポレート本部長を「個人情報保護最高責任者」、各店部の長を「個人情報保護店部責任者」に任命し、各店部に「個人情報管理統轄者」を置くなど、本社から各事業所に至る保護体制を敷いています。

また、個人情報の取り扱いに関する相談窓口として、お客様相談室内に、「個人情報相談窓口」を設置。さらに、各店部の長・総務責任者などに対する集合研修、社員全員に対するeラーニング研修などの社員教育、ならびに業務委託先に対する意識啓発を行い、個人情報漏えい事故の防止に努めています。eラーニング研修については、国内グループ各社社員も必須で受講しています。

情報セキュリティ管理体制

経営レベルでの管理体制

住友林業グループは、ITソリューション／情報セキュリティに関する統括責任者である担当役員のコーポレート本部長のもと、ITソリューション部長が、規程類の策定・管理、技術的対策の立案・実施、社員に対する教育・訓練、事故発生時の調査・対策などの情報セキュリティ施策を推進しています。情報セキュリティに関する社会的動向及び住友林業グループの施策の実行状況について、ITソリューション部長が主催し、社長、各本部長に共有する「IT戦略委員会」において定期的な報告を行い、施策指示を受けています。

現場での管理体制

各部門の責任者は「情報セキュリティ推進責任者」として自部門の業務遂行を指導・管理しており、各部門に実務責任者である「情報セキュリティ推進担当者」を配置しています。

また、住友林業の各店部情報セキュリティ推進担当者が参加する「情報セキュリティ推進担当者会議」や国内グループ会社の情報システム担当部門の責任者が参加する「関係会社IT担当者会議」を定期的に開催し、ガイドラインの周知・遵守徹底や情報セキュリティシステムの導入を推進しています。

さらに、リスク管理委員会において、重点管理対象項目として「外部からの攻撃等による機密情報流出リスク」等を定め、予防や影響軽減に関する評価項目について、四半期ごとに、定期開催する委員会で共有・協議しています。2025年度は、新たに「委託先の情報セキュリティ強化」（サプライチェーン対策）を項目に加えて取り組んでいます。これらの活動内容は、取締役会に報告・答申し、業務執行に反映させる仕組みを整備しています。

加えて、同委員会配下に設置された「BCM小委員会」において、グループの横断的なIT関連の事業中断リスクへの対応について、実効性を高めるための活動を展開しています。

なお、住友林業グループ内外の住宅CAD業務やシステム運用、バックオフィス業務などのBPO受託事業を行うDalian Sumirin Information Technology Service（大連ITS）社において、情報セキュリティマネジメントシステムISO27001を取得しています。

2023年度にアメリカの海外子会社へITガバナンス担当者を本社部門から派遣し、情報セキュリティを含むITガバナンス管理体制の整備を進めています。2024年度には、木材建材事業本部でサービス提供を開始した業界向け見積作成サービス(JUCORE 見積)において、情報セキュリティマネジメントシステムISO27001を取得しました。

情報セキュリティ強化の取り組み

昨今、多発する個人情報漏えい事故や、標的型メール攻撃など、情報セキュリティに対する脅威が増していることから、住友林業グループでは、住友林業をはじめ、国内グループ各社へのEDR^※1（次世代セキュリティソフト）の導入、メールセキュティ基盤の更新に合わせてPPAP^※2対策を強化するなど引き続き情報セキュリティ強化に対する投資を行っています。インターネットからアクセス可能なシステム基盤については年1回以上疑似攻撃手法による情報セキュリティ診断を実施しています。併せて、国内全従業員に対し、標的型メール攻撃訓練を実施しています。

※1Endpoint Detection and Responseの略。ユーザーが利用するパソコンやサーバー（エンドポイント）における不審な挙動を検知し、迅速な対応を支援するセキュリティソリューションのこと

※2メールでパスワード付きのZIPファイルを送信後、パスワードを別メールで送信するファイル共有方法。「Password（P）付きファイルを送ります」「Password（P）を送ります」「暗号化（A）」「Protocol（P）」の頭文字をとった言葉

CSIRT発足

2022年10月にCSIRT^※1を発足し、セキュリティインシデント防止のための監視や、発生時に適切な対応を実施する組織を整備しました。また、2023年11月に一般社団法人日本シーサート協議会に加盟しました。さらに、情報セキュリティインシデント発生時の対応を模擬体験する訓練を毎年実施しています。今後も引き続き、インシデント対応能力の向上、情報セキュリティリスクの軽減、情報共有と連携の促進を図っていきます。

※1Computer Security Incident Response Teamの略。セキュリティ上の問題として捉えられる事象であるインシデントが発生した際に対応する専門チーム

DXの推進

住友林業グループでは、Mission TREEING 2030の事業方針の一つである「変革と新たな価値創造への挑戦」において、デジタル、イノベーションをキーワードとしており、DX推進を長期ビジョン達成に向けた重要な取り組みと位置づけています。

住友林業のITやDXに関する方針、注力分野を対外に発信するとともに、DX推進事例や得られた知見を公開し、お客様やパートナー企業をはじめとするステークホルダーとの対話を促進することで、DXに関する情報共有と相互理解を深めていくために、DX特設サイトを開設しました。

グループ経営管理プラットフォームの導入

国内外のグループ経営管理情報を一元管理し、経営状況の可視化によるデータドリブンな経営判断が可能な環境整備に着手しました。

まずは経営層や管理部門など一部部署の利用にて導入を進め、最終的には権限の範囲で誰でも自らデータを抽出、分析可能なプラットフォームを構築し、事業判断のスピードを飛躍的に向上させることを目指します。

DX人財の育成

DXの更なる推進に向け、業務や事業の変革（X）にデジタル（D）を活用するマインド及びスキルを保有する高度人財の定義を進めてきました。この定義にそった人財育成のための研修体系も整備し、2025年度より運用を開始します。

市民開発の推進

2024年度より、非IT業務に従事する社員自身が業務を自ら自動化・効率化するRPA^※1市民開発を国内関係会社にも順次拡大しています。

IT部門が主催するハンズオン研修に累計140名が参加、社員自身の手による業務改革の風土づくりにつながっています。

2025年度以降も研修参加者を増やし、更なる業務効率化を進めていきます。

※1Robotic Process Automationの略。PC操作などをソフトウェアのロボットにより自動化する技術

生成AIの業務活用

生成AI分野ではAIプラットフォームの運用範囲を国内関係会社へ拡大しました。

外部から独立したクローズドなプラットフォームであり外部のAIサービスには入力できないような社内情報を用いることを可能とし、テキスト入力だけでなく画像やExcelなどのファイル入力による分析など活用の幅を広げ、更なる業務効率化を推進しています。