企業が扱う個人情報や業務関連データには特別な保護対策を講じる必要があります。こうしたデータのセキュリティを確保することで、お客様、ビジネスパートナー、従業員の保護にも配慮することは、TRUMPFが最優先とする事項です。そのため、データ保護、情報およびITセキュリティのため、適切な組織的かつ技術的手段・対策を確立しています。
TRUMPFでのデータセキュリティの取り組み
今日、特に重要視されているのが、個人情報の保護です。その要求に、私たちはデータ保護管理制度を以て対応しています。
私たちは、情報の機密性、インテグリティ、可用性を守るために、包括的な予防措置を講じると、そしてサイバー攻撃から私たち自身と自社製品を保護しています。
データ保護に関する質問または秘密情報の提供を希望される方は、当社までお問い合わせください。個別でも匿名でも構いません。
私たちのデータ保護実施方法
TRUMPFでは、データ保護管理システム(DSMS)を導入しています。これにより、様々な対策、構造、プロセスを通じ、個人情報を保護しています。私たちはこのようにして、個人情報の処理に関する法令違反を回避しています。当社のデータ保護管理制度は、相互に関連する6つのモジュールで構成されています。
当社のデータ保護文化は、TRUMPF行動規範に根ざし、会社のコンプライアンス文化に欠かせない要素です。私たちは、あらゆるデータを細心の注意を払って取り扱うよう、従業員を教育しています。
データ保護プログラムを以て、私たちはTRUMPFのデータ保護を確実に実施・遵守します。このプログラムは、データ保護の法的違反を防止・制限するための原則と基本措置を定めています。その中核を成すのが、TRUMPFのデータ保護ガイドラインです。
当社のデータ保護組織体制は、60名ほどの担当者で構成されています。彼らが社の全従業員にデータ保護管理を周知しています。また、従業員からの相談や一般的な問い合わせにも担当者として対応しています。
データ保護コミュニケーションは、積極的な啓発に加えて、寄せられる声に耳を傾けることで、データ保護リスクを早期に発見し、回避できるようにします。経営陣や従業員向けのeラーニングや対面式トレーニングの提供などが例に挙げられます。
データ保護モニタリングにより、私たちは、データ保護関連のデータを収集し、評価しています。その評価結果から、ディッツィンゲンの中央データ保護チームがデータ保護管理制度の改善対策を導き出します。
事業年度ごとに、中央データ保護チームは、グループデータ保護オフィサーと協議し、データ保護管理制度の有効性を向上させるための目標を設定します。年に一度、中央データ保護チームが目標と評価結果を比較して、新たな目標を導き出します。
当社のデータ保護組織体制
データ保護リスクにどのように対応するべきか?データ保護リスクの発生そのものを防ぐにはどのようにすればよいか?これらは、グループデータ保護オフィサー(GDPO)が、ディッツィンゲンのデータ保護チームや世界中のデータ保護ネットワークと共に取り組んでいる、大きな二つのテーマです。このようにして、データ保護管理制度をすべての事業分野および現地法人に移行することを保証し、各地の責任者と定期的にコミュニケーションをとりながら、共同で解決策を導き出しています。
取締役会は、TRUMPFグループのデータ保護に対する全体責任を負い、データ保護に関する規制が遵守される企業文化を醸成します。
TRUMPFではグループデータ保護オフィサーが、データ保護規制を遵守するために法で定められた業務を遂行します。グループデータ保護オフィサーは、ディッツィンゲンの中央データ保護チームと連携し、データ保護法および当社データ保護ガイドラインが遵守されているか監視しています。また、データ保護に関する苦情の処理や、データ保護監督当局とのやりとりを担当します。かかる連絡やトレーニングなどの対策を実際に行うのもグループデータ保護オフィサーです。さらに、データ保護に関するあらゆる問題について、責任者や部門に対して助言を行う立場でもあります。
ディッツィンゲンの中央データ保護チームは、会社法、インテグリティ・リスクの重要な要素として、データ保護に関するあらゆるケースで現場部隊としてグループデータ保護オフィサーをサポートします。&
データ保護の問題を管理するために、私たちは現地で対応する現地法人や中央部門の現地担当者に頼っています。現地担当者は、データ保護要件の実施で各マネジメントをサポートします。
当社のデータ保護モニタリング
データ保護モニタリングにより、私たちは、TRUMPFのデータ保護活動から測定可能なデータおよびパフォーマンス指標を収集しています。私たちは、万が一個人情報の漏洩が発生した場合の、通報プロセスを確立しています。これにより、データの事故や侵害が発生した場合に素早く対応し、個人情報の保護をできるだけ速く復帰させることが可能です。
さらに、中央データ保護チームが現地法人の監査を行い、現地法人のデータ保護レベルも定期的に確認しています。
TRUMPFの情報・ITセキュリティの確保
IT・情報セキュリティを以て、当社はビジネスパートナーやお客様、従業員に損害を与えないようにしたいと考えています。そのため、適切な組織的かつ技術的手段・対策を確立しています。このようにして、私たちはサイバー攻撃やそれに伴う不具合から、あらゆる情報、技術システム、製品を保護しています。 私たちはすでに、ISO27001に準拠する認証プロセスに着手しています。
私たちは、知っておく必要がある原則(Need-to-know)、最小特権の原則(Least Privilege)、あるいはセキュリティ・バイ・デザイン(Security by Design)といった明確な原則に従って動いています。ガイドラインやプロセスを通じて、私たちはこれらの原則を一貫して実践しています。
当社の情報セキュリティ管理制度(ISMS)は、ISO 27001などの国際規格に準拠しています。また、定期的にルールやプロセスを見直し、最新に保っています。この点で特に私たちが取り組んでいるのは以下のテーマです。
-
安全なソフトウェア開発と製品の安全:当社は、TRUMPFの製品とサービスの使用における安全を最も重要と考えています。そのため、当社のソフトウェア開発には厳しいガイドラインを設けられています。お客様のマシンやシステムを保護するために、セキュリティの脆弱性を特定し、お客様にお知らせし、そして必要となるセキュリティアップデートを提供しています。 最新情報とアップデートは、こちらでご確認いただけます。
-
サプライヤへの明確な要件:TRUMPFのサプライヤは、当社が求めるITおよび情報セキュリティの要件を満たしていなければなりません。 これは、秘密保持契約などで、契約上の要件充足を確保しています。私たちはこのようにして、外部の商品・サービスが自社の安全ガイドラインに適合していることを確認しています。
-
ネットワークセキュリティ、データセキュリティ、リカバリープロセス:私たちはネットワーク全体を監視して、ターゲット層に合わせたアクセス管理を行っています。
-
マルウェア対策:広範囲に有効な対策を講じて、私たちはマルウェアを検知し、そして保護しています。とりわけ、私たちは従業員によるあらゆるデータ記憶媒体の取扱いに制限をかけています。
-
システムへのアクセス:私たちは、高いセキュリティ基準と承認プロセスを通じて、すべての情報システムを不正アクセスから保護しています。 こうしたことから、私たちはパスワードや認証に高い要件を課しています。
-
セキュリティインシデント: 私たちは、(潜在的な)セキュリティインシデントを調査し、セキュリティリスクを回避するために適切な対策を講じます。
当社従業員は、情報・ITシステムを取り扱う際の自分たちの責任を認識しています。そして当社従業員をサポートするために、80名以上で組織される情報セキュリティコーディネーターが規則やガイドラインを提供しています。 また、独立した監査体制により、徹底してコンプライアンスを守っています。
私たちは、安全なソフトウェア開発など、IT・情報セキュリティに関する包括的なトレーニングを定期実施しています。