TOTOグループは、情報資産をはじめとして保有するすべての経営資産の保護と適切な安全管理が極めて重要な社会的責務だと認識しています。すべての社員にこの方針を理解させ、安心してご利用いただける商品とサービスのご提供およびセキュリティの継続的な改善に努めます。私たちは、これらの取り組みを通じてお客様に信頼される企業を目指します。
サプライヤー様に対しては、「サプライヤー様行動規範」を適用し、その中で情報漏洩防止を含む明確な情報セキュリティ要件を確立しています。
TOTOグループでは、情報セキュリティを経営の重要課題と位置づけ、取締役会による監督のもと、全社的なリスクマネジメント体制と連携したガバナンス構造を構築しています。サイバーセキュリティリスクを含む情報セキュリティに関わるリスクについては、代表取締役からの権限委譲に基づき、全社リスクを網羅的に管理・監視する「リスク管理委員会」のモニタリング対象となっており、年1回取締役会へ報告(マネジメントレビュー)することで、経営層による実効性のある監督体制を運用しています。(全社的なリスクマネジメント体制の詳細は、リスクマネジメントのページをご参照ください。)
・ IT戦略推進委員会(年2回開催)
代表取締役からの権限委譲により、情報企画担当役員を委員長とし、情報セキュリティを含むIT戦略全体を具体的に審議・推進する専門委員会です。社長を含む関連役員および関連部門長が委員として参画し、中長期的な視点での全体方針の策定から、実行計画の進捗モニタリングまでを一貫して管理・執行しています。
情報セキュリティ推進体制図
※委員長:情報企画担当役員 副委員長:情報企画本部長 委員:社長を含む関連役員および関連部門長
TOTOグループでは、「TOTOグループセキュリティ方針」に基づき、情報セキュリティマネジメントシステムに関する基本的な事項を定め、業務を行っています。情報セキュリティマネジメントシステムは、情報セキュリティ統括部門担当役員を統括責任者とし、担当部門が中心となって、情報セキュリティに関するリスクアセスメント実施、情報セキュリティ目標設定、推進計画策定などを行い、内部監査部門と連携して運用しています。情報セキュリティ統括責任者のもと、PDCAサイクルを回し、リスク管理委員会による定期レビューで実効性の高い管理体制を構築しています。

情報セキュリティマネジメントシステムにおいては、情報セキュリティのバックグラウンドを持つ田口智之取締役が最高情報セキュリティ責任者として統括責任者を務め、運用しています。同氏は専門知識として「IT・デジタル」「法務・リスク管理」を有し、2018年4月より情報企画本部およびリスク管理統括本部を担当するなど、情報セキュリティ分野において十分な経験を積んでいます。
実効性を高める取り組み
・自己点検とリスクベース監査の実施
日本・海外の全グループ会社に対し、定期的な自主点検を義務付け、その結果に基づき、改善が必要な拠点へ重点的な内部監査を行う「リスクベースアプローチ」を採用しています。
情報セキュリティ等の国際的基準(NIST等)に準拠し、客観的かつ技術的な検証を継続しています 。
• ASM(アタックサーフェスマネジメント)の導入
2025年度より外部専門業者の協力のもと導入し、システムの脆弱性を常時分析・優先順位付けして対策。
• 定期的な診断・テスト
外部公開サーバー全台への「脆弱性診断(年1回)」に加え、個人情報を扱う重要サーバーには専門家による「ペネトレーションテスト(侵入テスト・2年に1回)」を実施 。
• サイバー攻撃対策
ウイルス対策ソフトおよびEDRの導入、データの暗号化、各種セキュリティデバイス(ファイアウォール、振る舞い検知型マルウェア対策、等)の導入等、システムによる防御を実施。
TOTOグループは、サイバー攻撃や情報漏洩などのIT関連リスク顕在化時の早期解決と被害最小化のため、専門組織「TOTO-CSIRT」および「危機緊急連絡窓口」を設置しています。 平時は外部専門企業(SOC)と連携して脅威を24時間体制で監視し、有事の際は確立された「リスク対応レベル判定基準」に基づき、経営層が迅速に指揮を執る体制を整備しています。これにより、事業への影響を最小化し、ステークホルダーの皆様への責任を果たす強靭なレジリエンス(回復力)を追求しています。
• 24時間365日の監視・対応
外部専門企業(SOC)による常時監視と、社内専門組織「TOTO-CSIRT」が連携し、脅威の早期検知と防御を実施。
• リスクに応じたエスカレーション
インシデントの影響度を3段階(レベルA〜C)で定義 。重大事案(レベルA)発生時は、社長を本部長とする対策本部が陣頭指揮を執るフローを確立。
• 全グループ社員の通報義務
有事の際の初動遅れを防ぐため、「危機緊急連絡窓口」への速やかな通報・報告を全グループ社員に義務付けています。(>コンプライアンス「通報窓口の設置」)
TOTOグループは、インシデント防止には社員一人ひとりの意識向上が不可欠であると考え、「TOTOグループセキュリティ方針」に基づき、日本・海外の全グループ会社の役員・社員(派遣社員等を含む)を対象とした継続的な教育を実施し、情報資産の適切な利用に関する個々の責任を明確に確立しています。
体系的な教育プログラムと実績
・全グループ社員対象eラーニング(年1回)
教材には最新のサイバー攻撃事例に加え、生成AI利用におけるセキュリティリスクや倫理的使用(バイアスへの配慮等)に関する教育項目を盛り込み、毎年見直しを実施。多言語に翻訳し、日本・海外の全グループ会社で実施しています。徹底した受講管理により、毎年受講率100%を維持。
・実践的な訓練と継続的な情報発信
標的型攻撃メール模擬訓練(年1回)や、最新の手口・注意喚起を共有するセキュリティニュースの発信(年4回)を継続実施。
TOTOグループはお客様の情報をはじめとして保有するすべての個人情報の保護と適切な安全管理が極めて重要な社会的責務だと認識しています。私たちはすべての社員にこの方針を理解させ、「個人情報保護」を推進する取り組みを通して世界の人々から信頼される企業を目指します。
個人情報保護法やマイナンバー法に対応し、適宜個人情報保護ガイドラインを見直しながら、eラーニング等で全グループ社員への周知徹底を図っています。
部門やグループ会社毎に管理体制を構築し、定期的に管理台帳の見直しなどの自主点検を実施することで、個人情報の保護・管理の徹底と注意喚起に努めています。合わせて、委託先管理の徹底を図るため、必要に応じて委託先にて自主点検を実施しています。
また、EU域内の個人情報保護法である「GDPR」についても、ガイドラインを策定し、海外を含むTOTOグループの全拠点に対し周知するとともに、EU域内の拠点を中心に必要な措置を実施しました。その他の国や地域の個人情報保護関連法についても、適宜対応を進めています。
お気に入りに保存しました