情報セキュリティ方針

住友林業グループは、情報システムの機密性・完全性・可用性を確保するため、運用ルール面と技術面を相互補完させながら、セキュリティレベルの向上を図っています。特にお客様情報の保護については、最重要課題の一つであるとの認識のもと、ルールの周知に向けた社員教育を継続するとともに、周知度の検証を行っています。

セキュリティ運用体制整備

運用ルール面では、国内のグループ会社を対象とする「住友林業グループ情報資産保護ガイドライン」を定めると同時に、このガイドラインに基づくチェックリストを作成。グループ各社の情報システム担当部門の責任者が情報セキュリティレベルの確認を毎年行っています。また、海外のグループ会社に対しても同レベルのガイドラインを展開しました。

社員セキュリティレベル強化

情報セキュリティに関する教育については、イントラネットを通じ派遣社員・アルバイトを含むグループ全従業員が毎年受講することを義務付けています。受講効果を測るテスト合格が修了の条件となっています。さらに、2023年度はガイドラインの現場での遵守状況を把握し、セキュリティ対策の強化につなげるため、内部監査室と連携し、情報セキュリティ監査を実施します。

セキュリティ対策強化

技術面では、社外へ持ち出すパソコンに対する起動時の「暗号化」や、パソコンからのデータの書き出しを制限する仕組みを導入しています。

また、コロナ禍におけるテレワーク推進に伴うセキュリティリスク増大に対応し、強固なセキュリティ対策を施したVPN^※1環境を構築、グループ会社全体へ展開しました。 2023年度は海外グループ会社へのサポート体制を整備し、ガイドラインに沿ったセキュリティ対策強化施策の実行スピードアップを図ります。

さらに、2023年度は海外グループ会社へのサポート体制を整備し、ガイドラインに沿ったセキュリティ対策強化施策の実行スピードアップを図ります。

なお、2022年度において情報漏えいやサイバーアタックなどの問題は発生していません。

※1 Virtual Private Networkの略。インターネットなどに接続している利用者の間に仮想的なトンネルを構築し、プライベートなネットワークを拡張する技術

お客様のプライバシー保護
（個人情報保護）

住友林業は、個人情報保護のために、個人情報保護方針や個人情報保護規程などの社内規程を整備している他、総務担当執行役員を「個人情報保護最高責任者」、各組織の長を「個人情報保護店部責任者」に任命し、各店部に「個人情報管理統轄者」を置くなど、本社から各事業所に至る保護体制を敷いています。

また、個人情報の取り扱いに関する相談窓口として、お客様相談室内に、「個人情報相談窓口」を設置。さらに、各組織の長・総務責任者などに対する集合研修、社員全員に対するeラーニング研修などの社員教育、ならびに業務委託先に対する意識啓発を行い、個人情報漏えい事故の防止に努めています。eラーニング研修については、国内グループ各社社員も必須で受講しています。

情報セキュリティ管理体制

経営レベルでの管理体制

住友林業グループは、ITソリューションに関する統括責任者である担当役員のもと、 ITソリューション部長が、規程類の策定・管理、技術的対策の立案・実施、社員に対する教育・訓練、事故発生時の調査・対策などの情報セキュリティ施策を推進しています。情報セキュリティに関する社会的動向及び住友林業グループの施策の実行状況について、社長、管理部門担当役員及び各事業本部長が参加する「IT戦略委員会」において定期的な報告を行い、施策指示を受けています。

現場での管理体制

各部門の責任者は「情報セキュリティ推進責任者」として自部門の業務遂行を指導・管理しており、各部門に実務責任者である「情報セキュリティ推進担当者」を配置しています。

また、国内グループ会社の情報システム担当部門の責任者が参加する「関係会社IT担当者会議」を定期的に開催し、ガイドラインの周知・遵守徹底やセキュリティシステムの導入を推進しています。

さらに、全執行役員が常任委員であるリスク管理委員会において、重点管理対象項目として「外部からの攻撃等による機密情報流出リスク」を定め、予防や影響軽減に関する評価項目について、四半期ごとに、定期開催する委員会で共有・協議しています。これらの活動内容は、取締役会に報告・答申し、業務執行に反映させる仕組みを整備しています。

加えて、同委員会配下に設置された「BCM小委員会」において、グループの横断的なIT関連の事業中断リスクへの対応について、実効性を高めるための活動を展開しています。

なお、住友林業グループ内外の住宅CAD業務やシステム運用、バックオフィス業務などのBPO受託事業を行うDalian Sumirin Information Technology Service（大連ITS）社において、情報セキュリティマネジメントシステムISO27001を取得しています。

情報セキュリティ強化の取り組み

昨今、多発する個人情報漏えい事故や、標的型メール攻撃など、情報セキュリティに対する脅威が増していることから、住友林業グループでは、2023年度もエンドポイントセキュリティ強化を進めるなど引き続きセキュリティ強化に対する投資を行います。インターネットからアクセス可能なシステム基盤については年1回以上疑似攻撃手法によるセキュリティ診断を実施しています。併せて、国内全従業員に対し、標的型メール攻撃訓練を実施しています。

CSIRT発足

2022年10月にCSIRT^※1を発足し、セキュリティインシデント防止のための監視や、発生時に適切な対応を実施する組織を整備しました。

また、セキュリティインシデント発生時の対応を模擬体験する訓練を実施しました。

※1 Computer Security Incident Response Teamの略。セキュリティ上の問題として捉えられる事象であるインシデントが発生した際に対応する専門チーム

DXの推進

住友林業グループでは、「事業のデジタル化」「組織・働き方のデジタル化」「顧客関係のデジタル化」「社会・経済のデジタル化」の４象限でDX(デジタルトランスフォーメーション)を推進しています。

事業のデジタル化

CADや建て方など住宅建築でのデジタル化による合理化を進めていきます。

組織・働き方のデジタル化

RPA^※1やAI-OCR^※2などの技術を活用して、伝票入力など単純業務の自動化を推進しています。

顧客関係のデジタル化

住友林業グループの各事業でのお客様情報を統合管理することで、お客様へ適切な情報やアプローチを行うなどデジタルマーケティングを推進していきます。

社会・経済のデジタル化

2021年に事業を開始したホームエクスプレス構造設計の構造計算サービスの普及を進めていきます。

※1 Robotic Process Automationの略。PC 操作などをソフトウェアのロボットにより自動化する技術

※2 Artificial Intelligence-Optical Character Recognitionの略。 従来のOCR（光学文字認識）技術とAIとを組み合わせ、学習した内容に基づいてルールを見出して文字などを認識する技術