豊田信用金庫

• 1.　基本的な取組み方針
• 【1】近年、企業が有する個人情報や重要な技術情報等の搾取、システム停止等を狙うサイバー攻撃が急増し、企業経営に重大な影響を与える事案が確認されている。こうした中、当金庫は経営理念に則り、経営の健全性を維持しつつ収益の安定化を図る統合的なリスク管理態勢の一貫として、サイバーセキュリティの確保を経営の重要課題と認識し、サイバーセキュリティの重要性に関する理解を深め、顧客保護及び顧客への安定的且つ適切なサービスの提供を実現するため、自主的且つ積極的に各種取組みを進め、管理態勢を構築する。
• 【2】当金庫はサイバーセキュリティを、サードパーティ等を含め「情報システム及び情報通信ネットワークの安全性及び信頼性確保のために必要な措置が講じられ、適切に維持管理されている状態」と定義し、サイバーセキュリティに関する積極的な取組み自体を、健全な金庫経営のための「投資」と捉え、経営陣によるリーダーシップの下、サイバーセキュリティに対するリスク耐性を高めていく。
• 【3】サイバーセキュリティに関する取組みにおいては、金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」に留意し、リスクベース・アプローチ、自助、共助、公助を組み合わせる他、関連会社や外部機関、システムベンダー等の関係主体等との連携協働を図り、専門的な技術、情報の提供・共有等、適切なコミュニケーションを図る。

• 2.　管理態勢
• 【1】理事会を最高意思決定機関、リスク統括部担当役員をCISO（最高情報セキュリティ責任者）とし、また、システム部門、リスク管理部門等にて構成されるCSIRT（専任チーム）をCISOの下に組織することで、インシデント発生時の緊急時対応等に適切に対処する態勢を整備、構築する。また、平時においては、事務部担当役員を委員長とするサイバーセキュリティ委員会を組織し、組織横断的にサイバーセキュリティリスクの極小化に努める。
  ※CISO:CHIEF INFORMATION SECURITY OFFICER
  ※CSIRT：COMPUTER SECURITY INCIDENT RESPONSE TEAM
• 【2】理事は、サイバーセキュリティを軽視することが経営の健全性維持、収益の安定化に重大な影響を与えることを十分に認識し、責務として、サイバーセキュリティへの取組みに関するリーダーシップを発揮するとともに、適切な経営資源の配分、人材育成に積極的に取組む。
• 【3】理事会は、サイバーセキュリティ取組計画を策定し、その履行をサイバーセキュリティ委員会及びCISOに指示するとともに、定期又は随時のサイバーセキュリティリスク管理に関する各種取組みの進捗状況・調査結果等の報告を受け、態勢整備・リスク分析・評価等の有効性を検証するとともに、必要に応じ方針の見直しや適宜の改善策を講じる。

• 【4】CISOの下にCSIRT（以下の部門）を構成し、平時・緊急時を問わずサイバーセキュリティの確保等のための活動を行う。
• ① システム部門
• ② 経営企画部門
• ③ リスク管理・法務部門
• ④ 営業部門
• ⑤ 広報部門
• ⑥ 監査部門　※独立した内部監査の立場での参画

• 3.　分析・評価および改善活動
• 【1】内部監査、監事監査、及び外部監査・評価の結果及び各種調査結果並びにCSIRTからの報告等全てのサイバーセキュリティに関する情報に基づき、PDCAサイクルを効かせた中でサイバーセキュリティリスクの的確な分析と実効性の高い評価を行った上で、管理態勢上の弱点、問題点等改善すべき点の有無、原因及びその内容を適切に検証し、必要に応じて改善計画を策定するなど、改善に向けた取組みを実施する。
• 【2】脆弱性診断やペネトレーションテストといったテクニカルな取組みの他、インシデント対応演習の定期実施、外部機関主催の演習等への積極的な参加を通して、変化し続けるサイバー攻撃の脅威に不断に対応していく。

以上