信息安全管理

不二制油集团设立了由代表董事社长兼CEO担任委员长的董事会咨询机构：可持续发展委员会^*1。可持续发展委员会针对ESG重要课题^*2，确定“信息安全管理”重点项目，从多方利益相关者的角度审议和监督，并向董事会报告。同时，在高级执行董事、首席财务官(CFO)兼财务会计总经理的管理下，推进与“信息安全管理”相关的具体举措。
同时，在该主管董事之下，设置信息管理统括负责人和CSIRT（Computer Security Incident Response Team计算机安全事件应急响应小组）。CSIRT在各集团公司任命信息管理负责人和信息安全管理人，同时征取外部专家的建议，有计划地提升各集团公司的信息安全水平。

• *1 治理，战略，风险管理，指标与目标>治理

  https://www.fujioil.co.jp/ch/sustainability/sustainability_management/#governance

• *2 治理，战略，风险管理，指标与目标>指标与目标

  https://www.fujioil.co.jp/ch/sustainability/sustainability_management/#index

不二制油集团明确将信息安全风险列为与经营直接相关的风险之一，并加强对该风险的管理。
如果疏忽了应对这些风险，可能会因受网络攻击而导致系统崩溃和机密信息泄露等，直接影响业务的连续性，进而使企业价值受损。通过推进风险对策，赢得利益相关者的信赖，为提高企业价值创造机会。
本公司集团作为集团政策制定了《信息管理章程》和《信息安全章程》，继续推进员工教育，力求贯彻对章程的理解。
此外，为了确保和维护公司内外的信息资产的机密性、完整性和可用性，我们制定了信息系统正确运用流程和规则，同时在技术上采用防御外部非法访问机制和防御计算机病毒机制等多层对策。因此，我们通过妥善管理与业务活动相关的来自客户和交易方等各种利益相关者提供的重要信息，继续提供可靠的产品和服务，从而履行企业的社会责任。
在业务活动中，数字和数据的应用变得越来越重要，在确保信息安全的同时，推进本公司集团的DX化，努力进一步增强业务竞争力。

不二制油集团将ESG重要课题和可持续发展课题领域中的“信息安全”相关的风险和机遇，定位为全公司的重要风险项目加以系统管理。

• 全公司重要风险>信息系统

  https://www.fujioil.co.jp/en/ir/policies_and_systems/risk/（英语）

教育

以本公司集团的从业人员为对象，从2018年度起，实施通过主要以线上学习为主的教育活动，以提高IT安全意识。2024年度集团的线上学习受训率为97.2%^*，今后，我们将以100%为目标，努力充实教育内容，鼓励员工接受该培训。

• * 对象者：拥有公司发放的邮箱地址及日常工作中使用电脑的本集团董事、执行董事及员工。

安全内部监查

有关本公司集团的安全要求的遵守状况，在把握明确的证据的同时，为了构建PDCA循环整改措施，从2020年度开始实施安全内部监查。内部监查频率大约为3年内覆盖整个集团，并且从2024年度起刷新监查评估项目，包括OT^*的安全对策状况检查，业务部门利用的云服务的检查，加强更有效的内部监查和自我检查。
对各内部监查对象公司的监查结果进行审核，对于不符合要求的项目，我们与各公司的信息安全管理人员（主要为IT主管）一起制定改善计划，并完成最终结果报告书。之后，在各公司的信息管理负责人（主要为执行董事）的批准下，切实执行改善措施。

• * OT（Operational Technology）：操控工厂等控制机器并加以运用的系统及技术。

考察

计划从2025年度开始，在集团各公司IT安全措施评估从以前的COBIT^*1基础升级为基于NIST CSF 2.0^*2等框架的本公司标准指标^*3。
以此，计划将IT安全对策方向从“全面加强IT治理”转为“提高实际风险应对能力”。

• *1 COBIT：衡量IT治理成熟度的评估框架，以0-5级为标准（5为最成熟水平）。已确认本集团位于第4级。

• *2 NIST CSF 2.0：在基于强化安全对策而制定的标准框架中，定义了“识别、防御、检测、对应、恢复、治理”6个功能。

• *3 根据对策强度水平，以1～3等级评价得分（3为最高）。

下一步行动

为了向各公司落实并切实遵守《信息安全章程》，在IT和OT两方面继续支持安全对策。