情報セキュリティ

EIZOグループは、事業活動を通して収集した情報及び関連資産（両者を合わせて、以下、情報資産という）を様々な情報セキュリティ上の脅威から保護し、適切に管理することを社会的責務と認識します。以下の内容を遵守し、情報セキュリティを確保することで、当社事業に関わるすべてのステークホルダーの信頼に応えます。

1. 情報セキュリティを維持するための管理体制を確立し、情報資産の適切な管理を行う。また、情報セキュリティ目標を設定、実行、評価し、管理体制の継続的な改善を行う。
2. 本基本方針に基づく社内規程を整備し、それらに従い情報セキュリティ対策を実行する。また、情報セキュリティ対策の有効性を継続的に評価し、改善を行う。
3. 情報資産に応じた組織的、技術的、人的、物理的対策を講じ、情報資産の漏えい、改ざん、紛失・盗難、破壊などの情報セキュリティ事故の発生を未然に防止する。万一、事故が発生した場合には、迅速かつ的確に対応するとともに、発生原因を調査分析し、再発防止のための措置を講じる。
4. 情報セキュリティに関わる法令、規制、規範、指針、契約上の義務を遵守する。
5. 役員及び従業員に対し定期的・継続的に情報セキュリティに関する教育を実施し、情報セキュリティの重要性、適切な情報管理について周知・徹底を図る。

2022年5月19日（制定）
2025年7月25日（改定）
EIZOグループ担当役員
上席執行役員　比良　浄敬

情報セキュリティ基本方針に従い、EIZOグループでは、以下の取組を実施しています。

• 各国・地域の法規制やガイドラインの動向把握及び社内システムの改定による適合性確保
• 役員及び従業員への啓発、教育・研修
• リスクアセスメント（年1回、随時）
• 脆弱性診断（年1回）
• 内部監査（年1回）
• 事業継続計画の策定
• インシデント発生時の対応と改善策の実施
• 情報セキュリティ委員会（定期開催）による情報セキュリティ活動の進捗状況の確認

情報セキュリティ意識の向上を図り、さまざまな外部脅威に対する対応力を身につけるため以下の教育を定期的に行っています。

• 役員を含む全従業員を対象にした情報セキュリティ教育
• サイバーセキュリティに関する訓練（標的型攻撃メール訓練）
• 情報セキュリティリスクアセスメント教育
• インシデント発生時対応方法教育

EIZOグループは、欧州一般データ保護規則（General Data Protection Regulation：GDPR）に対応した個人情報保護方針及び個人情報管理規程を定め、個人情報保護体制を構築するとともに、保有する個人情報を適切に管理しています。
また、各種研修や教育により方針及び規程を周知しています。
さらに、方針に従って法令、規則などが遵守されていることを確認するため、情報セキュリティマネジメントの国際規格であるISO/IEC 27001審査項目に沿って、第三者からの監査を受けています。
万一、EIZOグループの保有する個人情報を含む情報の漏洩が確認された、あるいは漏洩のおそれがある場合は、情報セキュリティマネジメントシステム体制のもと、個人情報保護統括責任者に報告がなされるとともに、直ちにその事実と影響度を確認し、個人情報保護委員会などに報告する体制を整えています。
2021年度には、第三者が当社社員のメールアカウントを不正利用し、標的型攻撃メールを送信する事案が発生しました。しかし、従業員からの報告を受けたCSIRTが迅速に対応することで被害の拡大を防ぎました。また当事案に対するリスク評価を行い再発防止策を実施しました。

日々高度化するサイバーセキュリティへの脅威・攻撃に対応するため経済産業省の「サイバーセキュリティ経営ガイドライン」に加え、米国国立標準技術研究所（National Institute of Standards and Technology：NIST）によるサイバーセキュリティ対策のフレームワーク(Cyber Security Framework：CSF)を参考に、 サイバーセキュリティ対策に関する方針を定めた中期計画を策定し、対策の強化を行っています。
その一環として、インターネットへの通信内容を24時間365日監視し、サイバー攻撃あるいは不審な挙動があれば検知し対処するためSecurity Operation Center（SOC）を導入するなど、サイバー攻撃をできるだけ早く検知し、被害を最小限に抑えられるよう、継続的な改善・強化に取組んでいます。
また、実際の事案を基にしたインシデント対応訓練を実施し、対応手順の見直しを行っています。

ISMS（情報セキュリティマネジメントシステム）認証　（2025年10月現在）