IT・サイバーセキュリティ

経営戦略に対するIT・デジタルの影響度が高まる中、当社グループでは経営層のリーダーシップのもとITガバナンスを重点視し、ITの利活用を適切にコントロールすることで、ビジネスにもたらす価値の最大化とリスクの最小化を図り、企業価値の向上につなげています。
具体的には、グローバルに展開するグループ経営を安定的に支え、世界各国のお客さまへの持続的な価値提供を実現するために、「グループITガバナンス基本方針」を制定し、COBIT^※をベースとしたITガバナンスの態勢整備を推進しています。また、国内外のグループ会社のITトップとの定期的な会議体を通じて、グループのIT・デジタル戦略の共有とグループ内での協業を加速させることで、企業価値向上に貢献するIT・デジタルを目指しています。
一方、ITシステムの不備によるダウン又は誤作動、あるいはコンピューターが不正使用され、お客さまの信頼や当社の業務運営に影響を及ぼし、当社グループが損失を被るリスクを「システムリスク」として管理することを徹底しています。システムリスクについては、「グループシステムリスク管理規程」にもとづき、グループ各社に対して、方針・運営体制・プロセスの整備および有効性の継続的な評価と改善を行っています。
また、AI利活用におけるリスクに対しては、AIの利用用途や環境に応じたリスクを特定・評価し、適切にコントロールすることで、安全性や信頼性に配慮し、お客さまの利便性や業務効率化の向上につながるAI利活用の取組みを推進しています。

当社グループでは、グループ横断的な情報セキュリティ対策を担う役職としてCISO^※1を設置し、日々高度化するサイバー攻撃から、グループ内の情報資産を保護し、お客さまをはじめとしたステークホルダーへ、安心・安全・安定を持続的にお届けするために、「人・組織」「プロセス」「技術」の各領域での更なる「進化」を目指しています。

また、「グループサイバーセキュリティ基本方針」を制定し、サイバーセキュリティに関する態勢整備を推進するにあたっての具体的な事項をグループ各社で共有しています。システム面においては、不正アクセスやウイルス等の検知・防御の仕組みを複数組み合わせる、多層防御の整備を推し進めるなど、新たな脅威に対する対策を随時行っています。加えて外部機関との連携を深めることにより、セキュリティ情報の共有と活用に努め、海外のグループ生命保険事業会社を含むグループ全体として、サイバーセキュリティ対策の最適化に取り組んでいます。システムの脆弱性の洗い出しや、システムの脆弱性から実際に侵入可能かどうかの検証を目的とした脆弱性診断と、その結果に応じたペネトレーションテストを主要グループ会社にて実施し、その実施状況をモニタリングしています。

さらに「グループサイバーインシデント対応規程」を制定し、サイバーインシデント対応態勢の強化にも取り組んでいます。高度な技術を備えた専任者を中心に構成される「CSIRT」^※2を設置し、役員・従業員を対象に攻撃を想定した対応訓練を行うなど、サイバーインシデント対応態勢の強化活動を行っています。

また、監査ユニットにおいて毎年度行うリスク評価結果に応じてリスクベースで内部監査を実施し、当社および当社グループ会社のサイバーセキュリティ管理態勢の強化に向けた取組状況を検証しています。内部監査を行った結果は経営層に報告し、改善を要する事象を識別した場合には、被監査組織に伝達し、その後の改善状況をフォローアップしています。