Sansan株式会社、「サイバーインデックス企業調査2024」で初めて一つ星を獲得

働き方を変えるDXサービスを提供するSansan株式会社（東証プライム上場：証券コード4443、本社：東京都渋谷区、代表取締役社長／CEO／CPO：寺田 親弘）は、一般社団法人 日本IT団体連盟（以下、日本IT団体連盟）が格付けする「サイバーインデックス企業調査2024」において初めて一つ星を獲得しました。

本調査は、日経500種平均構成銘柄の企業を対象にサイバーセキュリティへの取り組み姿勢を評価するもので、優れた取り組みや情報開示を確認できた企業に表彰されます。当社のセキュリティ管理体制の強化や教育、技術的な取り組みとその積極的な情報発信が評価され、当社として初めて選出されました。

■「サイバーインデックス企業調査2024」について
サイバーインデックス企業調査（※1）とは、日本最大級のIT団体の連合体である日本IT団体連盟に設置されたサイバーセキュリティ委員会の企業評価分科会が、日経500種平均構成銘柄の企業を対象に、各社のサイバーセキュリティへの取り組み姿勢を調査するものです。分科会の趣旨である「サプライチェーン全体において、企業の社会的責任であるセキュリティレベルの向上」に向け、民間企業のサイバーセキュリティ対策の情報開示の促進を目的に、有価証券報告書やコーポレートガバナンス報告書等の開示情報からサイバーセキュリティや個人情報保護に関する記載内容、さらにはアンケートや診断ツール調査の結果を鑑み、優れた取り組み姿勢および情報開示を確認できた企業に対し、星を付与する「格付け」を行い、表彰しています。今年は特に優れた取り組みを継続的に行った13社が二つ星を、優れた取り組みを行った49社が一つ星を付与されました。

■情報セキュリティに関する基本的な考え方

当社の提供するDXサービスは、ユーザーのさまざまなデータの管理や利活用を促進するものであることから、情報の取り扱いや保護については経営の重要課題（マテリアリティ）の一番目に挙げています（※2）。

多くの場合、DXサービスにおけるセキュリティと利便性の高さは相反します。しかし、当社では、この双方のバランスを高度に取りながら、社内データの管理・利活用や提供サービスの設計を行うことが重要だと捉えており、企業理念においても「セキュリティと利便性を両立させる」というプレミスを掲げています。利便性を確保した上で、データプライバシーの保護や情報セキュリティに関するあらゆる対策を講じることで、リスクを最小化し、安全性の高いサービス提供を目指しています。

■情報セキュリティに関する主な取り組み
・24時間365日監視するセキュリティ管理体制
プライバシーリスクやセキュリティリスクに対して迅速かつ全方位的に対処できるよう、取締役がCISO（最⾼情報セキュリティ責任者）、DPO（データ保護責任者）および個人情報保護管理者の役割を担い、経営会議にてセキュリティやリスク状況について定期的に報告、経営レベルで情報セキュリティやサイバーセキュリティに関する重要な意思決定を行っています。
また、情報セキュリティ部はCSIRT（※3）機能を有するほか、SOC（※4）を内製して運用しており、継続的な監視、脅威の分析を行っています。さらに、プロダクトセキュリティチームを設置し、自社プロダクトのセキュリティ強化と脆弱性への対応を行っています。

・個人情報保護士の取得義務をはじめとするセキュリティ教育
当社では、全ての役職員に個人情報保護士の取得を義務付け、入社後一定期間が経過しても未合格の場合には、原則として昇給が保留されるルールを設けています。

その他、入社時と年に一度、情報セキュリティと個人情報保護に関する研修を全役職員に実施、全社会議で月に一度CISOからセキュリティに関するトピックスを発信するなど、さまざまな取り組みを通じて個人情報保護法と安全管理に関する正しい理解を促進し、全社のセキュリティ意識を高めています。

・定期的なペネトレーションテストの実施による脅威への防衛体制
複雑化しているサイバーセキュリティ、情報セキュリティ上の脅威に対し、ユーザーから重要データを預かり、安心安全なサービスの提供を行うため、防御、監視活動並びにそれを支える体制を構築しています。プロダクトセキュリティチームでは、各サービスの開発から一貫したセキュリティ向上に取り組んでおり、CSIRTでは、インシデント発生時には即座に対応できる体制を整えています。

さらに、外部機関のハッカーを登用した定期的な脆弱性診断やペネトレーションテストを実施、役職員に対しては標的型攻撃メールやBCP訓練をしています。意図的にサイバー攻撃を行わせることで、各サービスやシステムのセキュリティレベルをテストし、強化につなげています。

当社の情報セキュリティに関する取り組みについての詳細は、以下よりご確認いただけます。

▼データプライバシーと情報セキュリティ
https://jp.corp-sansan.com/sustainability/society/information-security/

▼統合報告書2024

https://ir.corp-sansan.com/ja/ir/library/report.html

当社はこれからも、サイバーセキュリティ体制を強化するとともに、より安全性の高いサービス提供や持続的な企業価値の向上に努めてまいります。

※1：日本IT団体連盟「サイバーインデックス企業調査2024の公開について」（2025年1月9日発表）

https://itrenmei.jp/topics/2025/3760/

※2：Sansan株式会社「サステナビリティマネジメント 重要課題と目標・実績」

https://jp.corp-sansan.com/sustainability/management/materiality/

※3：Computer Security Incident Response Teamの略称。情報セキュリティを脅かす可能性のある事象やシステムの脆弱性に関する情報、サイバー攻撃予兆等を収集し、対応⽅針や⼿順を策定する。

※4：Security Operation Centerの略称。ネットワークやシステムを24時間365日体制で監視し、
ログ収集と分析、インシデントが発生した際の対応策を提案する。

（以上）

■Sansan株式会社 会社概要

「出会いからイノベーションを生み出す」をミッションとして掲げ、働き方を変えるDXサービスを提供しています。主なサービスとして、営業DXサービス「Sansan」や名刺アプリ「Eight」、インボイス管理サービス「Bill One」、契約データベース「Contract One」を国内外で提供しています。

設立：2007年6月11日

URL：https://jp.corp-sansan.com

所在地：150-6228 東京都渋谷区桜丘町1-1 渋谷サクラステージ 28F

資本金：69億33百万円（2024年8月31日時点）

事業内容：働き方を変えるDXサービスの企画・開発・販売

Sansan　https://jp.sansan.com

Eight　https://8card.net

Bill One　https://bill-one.com

Contract One　https://contract-one.com