情報セキュリティ方針

住友林業グループは、情報システムの機密性・完全性・可用性を確保するため、運用ルール面と技術面を相互補完させながら、情報セキュリティレベルの向上を図っています。特にお客様情報の保護については、最重要課題の一つであるとの認識のもと、ルールの周知に向けた社員教育を継続するとともに、周知度の検証を行っています。

セキュリティ運用体制整備

運用ルール面では、国内グループ会社を対象としてガイドライン及びチェックリストを作成。国内グループ各社の情報システム担当部門の責任者が情報セキュリティレベルの確認を毎年行っています。また、海外グループ会社に対しても同レベルのガイドラインを展開しました。

社員情報セキュリティレベル強化

情報セキュリティに関する教育については、イントラネットを通じ派遣社員・アルバイトを含む国内グループ全従業員が毎年受講することを義務付けています。受講効果を測るテスト合格が修了の条件となっています。さらに、2023年度はガイドラインの現場での遵守状況を把握し、情報セキュリティ対策の強化につなげるため、内部監査室による情報セキュリティ監査を住友林業40店部、国内グループ会社12社に対して実施しました。

情報セキュリティ対策強化

技術面では、社外へ持ち出すパソコンに対する起動時の「暗号化」や、パソコンからのデータの書き出しを制限する仕組みを導入しています。

また、コロナ禍におけるテレワーク推進に伴う情報セキュリティリスク増大に対応し、強固な情報セキュリティ対策を施したVPN^※1環境を構築、国内グループ会社全体へ展開しました。 2023年度は海外グループ会社へのサポート体制を整備し、ガイドラインに沿った情報セキュリティ対策強化施策の実行スピードアップを図ります。すでに一部の海外グループ会社で施策を実施し、2024年度中に海外グループ会社全ての情報セキュリティレベルを標準レベルに引き上げることを目指します。

なお、2023年度において情報漏えいやサイバーアタックなどの問題は発生していません。

※1Virtual Private Networkの略。インターネットなどに接続している利用者の間に仮想的なトンネルを構築し、プライベートなネットワークを拡張する技術

お客様のプライバシー保護
（個人情報保護）

住友林業は、個人情報保護のために、個人情報保護方針や個人情報保護規程などの社内規程を整備している他、総務担当執行役員を「個人情報保護最高責任者」、各店部の長を「個人情報保護店部責任者」に任命し、各店部に「個人情報管理統轄者」を置くなど、本社から各事業所に至る保護体制を敷いています。

また、個人情報の取り扱いに関する相談窓口として、お客様相談室内に、「個人情報相談窓口」を設置。さらに、各店部の長・総務責任者などに対する集合研修、社員全員に対するeラーニング研修などの社員教育、ならびに業務委託先に対する意識啓発を行い、個人情報漏えい事故の防止に努めています。eラーニング研修については、国内グループ各社社員も必須で受講しています。

情報セキュリティ管理体制

経営レベルでの管理体制

住友林業グループは、ITソリューション／情報セキュリティに関する統括責任者である担当役員のもと、 ITソリューション部長が、規程類の策定・管理、技術的対策の立案・実施、社員に対する教育・訓練、事故発生時の調査・対策などの情報セキュリティ施策を推進しています。情報セキュリティに関する社会的動向及び住友林業グループの施策の実行状況について、IT担当役員及びITソリューション部長が主催し、社長、管理部門担当役員及び各事業本部長に共有する「IT戦略委員会」において定期的な報告を行い、施策指示を受けています。

現場での管理体制

各部門の責任者は「情報セキュリティ推進責任者」として自部門の業務遂行を指導・管理しており、各部門に実務責任者である「情報セキュリティ推進担当者」を配置しています。

また、住友林業の各店部情報セキュリティ推進担当者が参加する「情報セキュリティ推進担当者会議」や国内グループ会社の情報システム担当部門の責任者が参加する「関係会社IT担当者会議」を定期的に開催し、ガイドラインの周知・遵守徹底や情報セキュリティシステムの導入を推進しています。

さらに、リスク管理委員会において、重点管理対象項目として「外部からの攻撃等による機密情報流出リスク」を定め、予防や影響軽減に関する評価項目について、四半期ごとに、定期開催する委員会で共有・協議しています。これらの活動内容は、取締役会に報告・答申し、業務執行に反映させる仕組みを整備しています。

加えて、同委員会配下に設置された「BCM小委員会」において、グループの横断的なIT関連の事業中断リスクへの対応について、実効性を高めるための活動を展開しています。

なお、住友林業グループ内外の住宅CAD業務やシステム運用、バックオフィス業務などのBPO受託事業を行うDalian Sumirin Information Technology Service（大連ITS）社において、情報セキュリティマネジメントシステムISO27001を取得しています。

2024年度には、木材建材事業本部でサービス提供を開始した業界向け見積作成サービス(Jucore見積)において、ISO27001を取得する予定です。

情報セキュリティ強化の取り組み

昨今、多発する個人情報漏えい事故や、標的型メール攻撃など、情報セキュリティに対する脅威が増していることから、住友林業グループでは、2023年度も住友林業をはじめ、国内グループ各社へのEDR^※1（次世代セキュリティソフト）の導入、メールセキュティ基盤の更新に合わせてPPAP^※2対策を強化するなど引き続き情報セキュリティ強化に対する投資を行っています。インターネットからアクセス可能なシステム基盤については年1回以上疑似攻撃手法による情報セキュリティ診断を実施しています。併せて、国内全従業員に対し、標的型メール攻撃訓練を実施しています。

※1Endpoint Detection and Responseの略。ユーザーが利用するパソコンやサーバー（エンドポイント）における不審な挙動を検知し、迅速な対応を支援するセキュリティソリューションのこと

※2メールでパスワード付きのZIPファイルを送信後、パスワードを別メールで送信するファイル共有方法。「Password（P）付きファイルを送ります」「Password（P）を送ります」「暗号化（A）」「Protocol（P）」の頭文字をとった言葉

CSIRT発足

2022年10月にCSIRT^※1を発足し、セキュリティインシデント防止のための監視や、発生時に適切な対応を実施する組織を整備しました。また、2023年11月に一般社団法人日本シーサート協議会に加盟しました。さらに、情報セキュリティインシデント発生時の対応を模擬体験する訓練を実施しています。今後も引き続き、インシデント対応能力の向上、情報セキュリティリスクの軽減、情報共有と連携の促進を図っていきます。

※1Computer Security Incident Response Teamの略。セキュリティ上の問題として捉えられる事象であるインシデントが発生した際に対応する専門チーム

DXの推進

住友林業グループでは、Mission TREEING 2030の事業方針の一つである「変革と新たな価値創造への挑戦」において、デジタル、イノベーションをキーワードとしており、DX推進を長期ビジョン達成に向けた重要な取り組みと位置づけています。

DX推進にあたり、業務や事業の変革（X）にデジタル（D）を活用するマインド及びスキルを高めるために、IT人財育成を進めています。社内イントラサイトに、社長メッセージとしてDX取り組み方針を発信し、社員のマインド変革を促すとともに、eラーニングなどを活用してIT基礎スキルの向上を図っています。2024年度には、高度なITスキルを保有する人財育成体制も整備します。

また、社員自身が業務を自ら効率化するRPA^※1の市民開発に取り組んでいます。生成AI分野では、住友林業AI対話システムの運用を開始し、文書のドラフト作成に活用するなど、業務効率化へのデジタル技術の活用を積極的に行っています。設計分野では、AI技術を活用した構造設計の自動化を進め、従来5時間を要していたCAD入力業務を10分に短縮するなど、住宅生産プロセスの合理化も進めました。

※1Robotic Process Automationの略。PC 操作などをソフトウェアのロボットにより自動化する技術