コンプライアンス

東芝テックグループは、「東芝テックグループ行動基準」の浸透・徹底や、リスク・コンプライアンス施策を推進するため、各社社長をCRO^※に任命し、トップが率先して各種施策の立案・推進、緊急事態への対応などを行っています。

CROを委員長とするリスク・コンプライアンス委員会により、東芝テックグループ全体の体制整備、リスク・コンプライアンス対応の高度化に係る施策の立案・推進を行っています。

• CRO（Chief Risk Compliance Management Officer ： リスク・コンプライアンス統括責任者）

東芝テックグループは、違法・不正・反倫理的行為や社内規程違反などの相談・報告窓口として、役員・従業員がCROや社外の弁護士に情報提供できる内部通報制度を導入しています。

通報者保護のための匿名性の確保や情報管理の徹底、通報者が通報を行ったことにより、解雇を含むいかなる不利益も受けることがないよう最大限の配慮を行うなど通報者の保護に努めています。通報があった場合は受付窓口（法務部門）から速やかにＣＲＯへ連絡・進捗・結果の報告を行います。

また、取引先がウェブサイトを通じ情報提供できる「東芝テック・パートナー・ホットライン」（お取引先様通報制度）を導入・運用しています。

• 東芝テック・パートナー・ホットライン

従業員一人ひとりの高い倫理観と遵法意識の醸成を図るため、グループ行動基準の周知徹底、さまざまなテーマのコンプライアンス教育やCSR職場ミーティングなどを実施しています。

東芝テックグループでは「東芝テックグループ行動基準」を13言語で作成するとともに、国内外のグループ全従業員を対象に、eラーニング教育の実施や冊子の配布を行い、周知・徹底を行っています。

全役員・従業員を対象としたeラーニングをはじめ、特定従業員向けに「事業部門向け法務教育」「海外赴任者向け教育」などの集合教育を実施しています。

企業が保有する顧客情報や重要な技術情報などを狙うサイバー攻撃が増加している中、ITおよびセキュリティに対する適時適切な投資判断、および経営に影響を及ぼす重大なセキュリティインシデントが発生した際の迅速な対応が、 企業戦略として必要不可欠になっています。東芝テックでは、グループ全体のセキュリティ体制の構築やセキュリティ人材育成を通じて、東芝テックおよび東芝テックグループにおけるセキュリティガバナンスを強化しています。

東芝テックでは、CSIRT/PSIRTの社内連携体制に基づき、インシデント対応を行うとともに、CISOを中心とした情報連携体制を構築しています。 情報システム及び製品・サービスにおけるサイバーセキュリティリスクに対しては、迅速かつ一貫したセキュリティ対策を推進しており、 CISOの指揮の下で、サイバーセキュリティに対するガバナンスの強化に取り組んでいます。

東芝テックは、営業情報、技術情報など、業務遂行過程で取り扱う全ての情報を重要な財産と認識し、不適正な開示、漏洩、不当利用の防止及び保護に努めることを基本方針としています。
この方針を、東芝テックグループ行動基準の「情報セキュリティ」の項に規定し、全役員・従業員に周知しています。

情報セキュリティインシデントに対応するため、規程を整備し、全社、部門、関係会社のCSIRT体制を整備し、社会環境の変化に対応して見直しを行っています。

主要な製品開発拠点である静岡事業所（三島・大仁）においては、それぞれ2007年度、2012年度に拠点全体でISO/IEC27001：2005を取得し、2024年度にはISO/IEC27001：2022へ移行しました。また、2022年度にはe-BRIDGE Sky Suiteシステムに対して、クラウドサービスのセキュリティマネジメント規格であるISO/IEC27017：2015に基づく認証を取得しています。

技術対策では、年々高度化するサイバー攻撃などによる外部からの不正アクセスや情報の漏洩を予防するため、社外に公開するサーバの保護対策を強化するとともに、社内にコンピュータウイルスなどが侵入した場合でも迅速な対応ができる体制を整理しています。

各部門では、社内ルールの遵守状況を自主監査するなど継続的な改善活動を行っています。
情報を取り扱う上での事故防止とセキュリティ対策の周知を目的に、役員・従業員および協力会社の派遣者を対象とした教育を継続的に実施しています。

お客様の安全と安心を最優先に考え、セキュリティを考慮した製品やサービスの提供に努めています。企画、開発、運用・保守、廃棄のライフサイクル全体でサイバー攻撃に対するセキュリティ対策を講じています。情報資産に対して脅威分析やリスク評価を行い、費用対効果を考慮した対策を実施しています。また、サプライチェーン全体のリスクを評価し、お取引様と協力して対策を実施し、継続的に改善を行うことで安全性を確保しています。

製品やサービスのセキュリティを確保するため、脆弱性に関する情報を広く収集し、発見された脆弱性には迅速に対応しています。出荷前には徹底したセキュリティ評価を実施し、重大な脆弱性が無いことを確認しています。また、脆弱性対応の調整業務を担っている日本の調整機関「JPCERT/CC（Japan Computer Emergency Response Team Coordination Center）」に製品開発者として登録し、米国のCERT/CCなど各国の調整機関と連携しながら、国際的な脆弱性対応を行っています。さらに、OSS（Open Source Software）など日々発信される脆弱性情報に迅速に対応するために、東芝PSIRT支援システムを導入し、体制強化を図っています。

万一、製品やサービスでサイバー攻撃によるセキュリティインシデントが発生した場合には、迅速に対応体制を整え、社内外への報告、情報の開示、原因究明と再発防止に努めています。具体的には、東芝テックPSIRT体制を活用して対応します。また、定期的に製品セキュリティリスク対応訓練を国内外の東芝テックグループ各社と共に実施し、セキュリティインシデント報告と対応を迅速に行えるよう改善を進めています。

脆弱性対応やセキュリティインシデント対応におけるお客様への情報提供は、必要に応じ政府関係機関等と連携しながら対応しています。情報公開については、適切なタイミングで脆弱性情報および対処方法を東芝テックのウェブサイトやJVN（Japan Vulnerability Notes）などを通じて国内外に向けて公表しています。特定のお客様に影響がおよぶ可能性がある場合は営業窓口等を通じ、個別にご連絡します。

東芝テックは、情報セキュリティ及び製品セキュリティの向上を目的に、セキュリティ人材の育成に注力しています。全社員を対象に、ｅラーニングを活用した「情報の適切な管理」や「製品セキュリティ」に関する教育を実施しています。また、技術者には、セキュリティ資格の取得を推奨し、最新のセキュリティ知識を習得できる教育プログラムを提供しています。さらに、社員のセキュリティスキルを体系的に向上させるために、東芝グループのセキュリティ資格・認定制度を活用しています。これらにより、専門知識と実践力を持つ人材を育成し製品セキュリティの強化を図ります。

東芝テックは、東芝グループの一員として、東芝グループのサイバーセキュリティ管理体制の下、東芝サイバーセキュリティセンター（CSEC）と緊密に連携しています。この連携の下、サイバーセキュリティ体制の構築を推進するとともに、情報セキュリティおよび製品セキュリティに関するマネジメント体制の整備・強化を図り、脆弱性情報やセキュリティインシデントへの迅速かつ的確な対応に取り組んでいます。

東芝テックグループでは、「東芝テックグループAIガバナンスステートメント」を定め、社会に対する責任を自覚しつつAIの活用を積極的に推進していきます。

東芝テックグループは、「ともにつくる、つぎをつくる。～いつでもどこでもお客様とともに～」という経営理念のもと、お客様の課題だけではなく、その根底にある社会課題の解決を目標として積極的にAIを活用し、新しい「かいもの」をつくり、世界の「はたらく」をかえていきます。
そのために、東芝テックグループでは「東芝テックグループAIガバナンスステートメント」を定め、社会に対する責任を自覚しつつAIの活用を推進し、「グローバルトップのソリューションパートナー」として新たな価値を持続的に創造することで、社会に感動をあたえ、人々のくらしに笑顔を届け、まだ見ぬワクワクする未来を描き続けます。

1. 人間尊重
   東芝テックグループは、日々の活動において、人間とAIが真に共生する人間中心の社会の実現を目指し、人間の尊厳を尊重したAIの研究開発、提供および運用に取り組みます。
2. 安全・セキュリティの確保
   東芝テックグループは、プライバシーとセキュリティに配慮したAIの研究開発、提供および運用に努めます。また、お客様の立場に立ってAIの品質の維持・向上に継続的に取り組み、安全・安心な社会の実現を目指します。
3. コンプライアンスの徹底
   東芝テックグループは、法令、社会規範、倫理の遵守を最優先として、AIの研究開発、提供および運用を行います。
4. AIの発展と人財の育成
   東芝テックグループは、創業時から培ってきた発想力と技術力を結集し、世界をよりよく変えていく熱い情熱を持ち、AIを進化させ続けます。また、AIの長所・短所をよく理解した上で、豊かな未来の実現に向けて社会課題の解決に役立つAIを研究開発・利活用できる人財の育成に取り組みます。
5. 持続可能な社会の実現
   東芝テックグループは、社会に与える価値や意義を考え、次の、さらにその先の世代の未来を思い描き、AIの研究開発、提供および運用を通じて、地球規模の環境問題や気候変動などにも対応が可能な持続性のある社会、多様な背景を持つ人々が多様な幸せを追求できる社会の実現に貢献します。
6. 公平性の重視
   東芝テックグループは、人権を尊重し、不当な差別が生じないよう、公平性に配慮したAIの研究開発、提供および運用に努めます。また、ステークホルダーの皆様と、これを用いた多様性豊かな価値創造にともに取り組んでいきます。
7. 透明性と説明責任の重視
   東芝テックグループは、 ステークホルダーの皆様に対して、 製品・サービスに利用されたAIによる判断の仕組みを説明できるよう、透明性の確保を目指します。また、AIを社会で利活用する際に想定される様々な効果や影響に関して、ステークホルダーの皆様との対話を重ねて説明責任を果たすよう努めます。

東芝テックグループは、本ステートメントの継続的な見直し・改善を行っていきます。

制定日2024年9月5日
代表取締役社長
錦織弘信

• 東芝テックグループ AIガバナンスステートメント

輸出管理とは、大量破壊兵器などが安全保障上懸念される国・地域またはテロ組織に渡ることを防止するため、大量破壊兵器や通常兵器の開発・製造などに転用されるおそれがある貨物・技術の輸出を規制しようとするものです。

東芝テックグループにおける輸出管理の基本方針は、「事業活動を行う国や地域の輸出管理に関する法令（日本の場合は外為法）、および米国原産貨物・技術の取り引きを行う場合は米国の輸出管理に関する法令を遵守すること」及び「国際的な平和と安全の維持を阻害するおそれのある取り引きに関与しないこと」です。

昨今、輸出管理を巡る世界の動向は不安定な状況にありますが、当社ではこの基本方針に基づき「輸出管理プログラム」を策定するとともに輸出管理体制を構築し、輸出許可の要否を判断するための貨物・技術の該非判定と厳格な取引審査、定期的な輸出管理監査、輸出管理教育、グループ会社に対する指導・支援などを実施しています。

東芝テックグループでは「知的財産権に関する法令を遵守すること」「会社の知的活動の成果を知的財産権によって保護し、積極的に活用すること」「第三者の知的財産権を尊重すること」を知的財産保護の基本方針として、「東芝テックグループ行動基準」で定めています。

また、研究開発を含むバリューチェーンの上流段階からアイデアの保護を強化し、お客様への価値提供につなげる取り 組みを進めております。その一環で東芝テックグループ全体 の横断的な活動、そして社員の発明・創作意識を高めるため の取り組みとして、国内外グループ全体からアイデアを集める イベント（Invention Challenge）を2014年から開催しています。 2024年度は「2030年に向けて具現化したい社会課題を解決 するアイデア」を募集、1,600件を超える投稿が集まり、優秀 なアイデアの表彰や出願を行いました。このように、知的財 産の強化に取り組むとともに、新たなビジネスモデルを生み 出す機会の創出にも取り組んでいます。

当社は、グループ全体の内部統制とガバナンス強化を目的に、子会社を含む各組織に対して実態に即した内部統制施策を展開 しています。2018年度から導入した「自主モニタリングプログラム」により、各部門・子会社が自律的に内部統制の整備・運用 状況を自己評価し、必要に応じて改善を実施しています。この プログラムでは、リスク管理、法令遵守、財務・会計処理の適正性、業務効率性の観点から内部統制を点検し、継続的な改 善を促進しています。また、社内の関係部門が連携し、コンプ ライアンス事案の事例共有や横展開を通じて遵法意識の向上を 図るとともに、コンプライアンス教育を実施しています。これらの取り組みにより、内部統制の実効性を高め、持続可能な企業 価値の創出に貢献するガバナンス体制の強化を推進しています。