クレハグループは、経営の持続可能性に影響を及ぼす情報管理に関わる重大インシデント発生回避のために、情報セキュリティ基本方針を定め、当社グループの保有する情報資産の可用性、完全性、機密性を維持するための情報セキュリティ管理システムを運用しています。

クレハグループは、事業活動に関わるすべての情報を対象に、適切に共有・活用するための安全・確実な管理の確立を経営の重要課題のひとつと認識し、以下の項目を情報セキュリティの基本方針とします。

当社は、個人のプライバシーを尊重するとともに、個人情報を適切に取り扱い、適正に保護することが、当社の重要な社会的責務であると認識し、個人情報・特定個人情報の取り扱いを定めています。

当社のコーポレート・ガバナンス体制に則し、取締役会は情報セキュリティの監督および情報セキュリティ基本方針などの重要事項の決定を行っています。 取締役会の諮問機関であるサステナビリティ委員会は原則年2回開催し、情報セキュリティを含む、当社グループが取り組むべきサステナビリティ課題についてモニタリングを行い、取締役会に提言を行っています。サステナビリティ推進委員会は、執行機能として、情報セキュリティを含むサステナビリティ課題について、グループ全体の具体的な計画を策定し、その進捗管理を行っています。
サステナビリティ推進委員会の下部組織として情報セキュリティ部会を設置し、JIS Q 27001:2014に準ずる情報セキュリティ管理システム(ISMS：Information Security Management System)を構築、運用して、情報セキュリティの継続的改善を推進しています。
また、2019年度には、万一の情報セキュリティ事故発生時に備えた対応チーム(CSIRT：Computer Security Incident Response Team)を立ち上げ、情報セキュリティ事故の最小化を図る体制を整えています。CSIRTが即時に機能するよう、重大脅威に対するフローや体制の見直しも図っています。

外部からのサイバー攻撃を検知・遮断するシステムおよび外部からの侵入を検知した場合は被害を最小化するシステムを導入しています。セキュリティベンダーによる24時間365日の監視サービスにより、システムの安定稼働を維持しています。

情報セキュリティリスクアセスメントを計画的に実施し、保有する情報資産の情報セキュリティ上のリスク評価と対策実施によりリスク低減を図っています。

定期的なセキュリティベンダーによる診断を実施するとともに、日々高度化、巧妙化するサイバー攻撃に対応するセキュリティ強化策を講じることで、常に高レベルのセキュリティ体制を維持しています。

全従業員に対して継続的に情報セキュリティ教育を実施しています。また、不審メールを受信した場合の正しい行動を学ぶため、メール利用者を対象に標的型攻撃メール模擬訓練を実施しています。

2022年7月より導入した在宅勤務制度において、在宅で業務を遂行する場合の情報セキュリティの考え方や各種ルール事項を詳細にまとめた「利用ガイド」を制定し、その遵守を在宅勤務適用時の条件のひとつとして定めています。

当社の基幹業務システムおよび社内メールシステムには、災害対策の環境を有するクラウドサービスを導入しています。また、電子ファイルシステムも災害対策を考慮し、堅牢な国内データセンターで稼働しています。