ページの本文へ

Hitachi

株式会社日立システムズ

情報セキュリティの推進

情報セキュリティの徹底

当社では、情報セキュリティ統括責任者を委員長とする「情報セキュリティ委員会」が、情報セキュリティと個人情報保護に関する取り組み方針、各種施策を決定しています。決定事項は各部門およびグループ会社に伝達し、情報セキュリティ責任者が職場に徹底します。

情報セキュリティ推進体制

情報セキュリティ体制
(グループ会社を含む体制)

当社では、情報セキュリティと個人情報保護の取り組みにおいて、特に次の2点を重視しています。

1.予防体制の整備と事故発生の迅速な対応

守るべき情報資産を明確にし、ぜい弱性評価とリスク分析に基づいて情報漏えい防止施策を実施しています。事故は「起きるものかもしれない」という考え方から一歩進めて、「必ず起きるものだ」という前提に立って緊急時のマニュアルを作成し、対応しています。

2.従業員の倫理観とセキュリティ意識の向上

新入社員向け、管理者向けなど階層別にカリキュラムを用意し、eラーニングによる全員教育を通じて倫理観とセキュリティ意識の向上を図っています。また、監査を通じて問題点の早期発見と改善に取り組んでいます。

情報資産保護の基本的な考え方

情報資産保護の基本的な考え方

情報セキュリティ教育の実施

情報セキュリティを維持していくためには、一人ひとりが日々の情報を取り扱う際に必要とされる知識を身につけ、高い意識を持つことが重要です。当社では、グループ会社を含むすべての役員、従業員、派遣社員などを対象に、情報セキュリティおよび個人情報保護について、eラーニングによる教育を毎年実施しています。当社では約2万名(グループ会社含む)が受講し、受講率も100%に達しています。そのほかにも、新入社員、情報セキュリティ責任者や情報資産管理者を対象とした座学教育など、対象別・目的別に多様な教育プログラムを用意し、情報セキュリティ教育を実施しています。

また、最近増加している標的型攻撃メールなどのサイバー攻撃への教育として、実際に攻撃メールを装った模擬メールを従業員に送付し、受信体験を通してセキュリティ感度を高める「標的型攻撃メール模擬訓練」を2012年から実施しています。

情報漏えいの防止

当社では情報漏えいを防止するために、「機密情報漏えい防止3原則」を定め、機密情報の取り扱いに細心の注意を払い、事故防止に努めています。万が一、事故が発生した場合は、迅速にお客さまに連絡し、監督官庁に届け出るとともに、事故の発生原因究明と再発防止策に取り組み、被害を最小限にとどめるよう努めています。

情報漏えい防止の具体的施策として、暗号化ソフト、セキュアなPC、電子ドキュメントのアクセス制御/失効処理ソフト、認証基盤の構築によるID管理とアクセス制御、メールやWebサイトのフィルタリングシステムなどを日立グループのIT共通施策として実施しています。昨今多発している標的型メールなどのサイバー攻撃に対しては、各種情報共有の取り組みに加え、IT施策においても防御策を多層化(入口、出口対策)して対策を強化しています。

また、サプライヤーと連携して情報セキュリティを確保するため、機密情報を取り扱う業務を委託する際には、あらかじめ当社が定めた情報セキュリティ要求基準に基づき、調達先の情報セキュリティ対策状況を確認・審査しています。さらにサプライヤーからの情報漏えいを防止するために、サプライヤーに対して、情報機器内の業務情報点検ツールとセキュリティ教材を提供し、個人所有の情報機器に対して業務情報の点検・削除を要請しています。

「機密情報漏えい防止三原則」の厳守

原則1
機密情報については、原則、社外へ持ち出してはならない。
原則2
業務の必要性により、機密情報を社外へ持ち出す場合は、必ず情報資産管理者の承認を得なければならない。
原則3
業務の必要性により、機密情報を社外へ持ち出す場合は、必要かつ適切な情報漏えい対策を施さなければならない。

情報セキュリティ管理をグローバルに展開

海外のグループ会社は、「グローバル情報セキュリティ管理規程」に則って、情報セキュリティ管理の強化に努めています。また、PCのセキュリティ対策など重点施策を定め、各社と連携しながらセキュリティ対策の徹底を図っています。

情報セキュリティ監査・点検の徹底

当社の情報セキュリティは、日立製作所が定めた情報セキュリティマネジメントシステムのPDCAサイクルにより推進しています。当社では、すべての部門およびグループ会社で年に1回情報セキュリティおよび個人情報保護の監査を実施しています。

監査は、社長から任命された監査責任者が独立した立場で実施。監査員は自らが所属する部署を監査してはならないと定め、監査の公平性・独立性を確保するようにしています。

国内のグループ会社については、当社と同等の監査を実施し、その結果を確認しています。海外のグループ会社については、グローバル共通のセルフチェックを実施し、グループ全体として監査・点検に取り組んでいます。

また、職場での自主点検として全部門が「個人情報保護・情報セキュリティ運用の確認」を1年に2回、実施しています。

個人情報保護方針

個人情報の適正な取り扱いを推進

当社は、個人情報保護についてもJIS規格(JIS Q 15001)および「個人情報の保護に関する法律」に準拠した個人情報保護マネジメントシステムを維持するとともに、以下に掲げる個人情報保護方針のもと、役員および従業員に周知し、一般の方が、容易に入手できる措置を講じています。そして、この方針に従い個人情報の適切な保護に努めます。

当社は、2003年5月、一般財団法人日本情報経済社会推進協会(JIPDEC)から個人情報の取り扱いを適切に行う事業者に付与されるプライバシーマーク(※)の付与認定を受け、2017年5月に7回目の更新をしました。

プライバシーマーク

プライバシーマーク:一般財団法人日本情報経済社会推進協会が企業・団体に対し個人情
報の適正な取り扱いに関して認定

特定個人情報の取り扱いについて

当社は、特定個人情報について「行政手続における特定の個人を識別するための番号の利用等に関する法律」、「個人情報の保護に関する法律」および「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を順守し、当社の「個人情報保護方針」を「特定個人情報の適正な取扱いに関する基本方針」として、特定個人情報の適正な取り扱いを確保しています。

「個人情報保護方針」は、こちらをご覧ください。

個人情報保護体制

当社では、個人情報保護法およびJIS Q15001に対応したマネジメントシステムを確立するため、個人情報保護管理者(情報セキュリティ統括責任者)および個人情報保護監査責任者を選任しています。 また、マネジメントシステムの運用状況については、個人情報保護監査員による年1回の監査と各部門の管理責任者による年2回の自己チェックを実施しています。さらに、全社員および派遣受入者など非正規雇用者を対象とした教育を展開しています。

個人情報保護体制

個人情報保護体制

<4つの安全管理措置>

  • (1)組織的安全管理措置:
    規程、体制の整備・運用および実施状況の確認など
  • (2)人的安全管理措置:
    非開示等契約の締結、教育・訓練など
  • (3)物理的安全管理措置:
    入退館(室)の管理、盗難防止・阻止など
  • (4)技術的安全管理措置:
    情報システムへのアクセス制御、不正ソフトウェア対策など

個人情報保護マネジメントシステムの構築

個人情報保護体制のもと、当社は個人情報保護の仕組みである「個人情報保護マネジメントシステム」(Personal information protection Management Systems、以下「PMS」)を構築。位置付けとしては「情報セキュリティマネジメントシステム」(Information Security Management System、以下「ISMS」)の一部とし、PMSのPDCAサイクルはISMSとして実施しています。

また、PMSの基本要素を文書として記述した「PMS文書」は、「個人情報保護方針」「個人情報保護管理規程(内部規程)」、監査・教育などの「計画書」、PMS実施の「記録」から成っています。

日立システムズ 個人情報保護マネジメントシステムについて

<位置付け>
<位置づけ>

<文書>
<文書>

個人情報保護の取り組み強化

個人情報保護管理システム
個人情報保護管理システム

(a)個人情報保護管理システムの導入
当社では、お預かりした個人情報については、社内規則である「個人情報保護管理規程」にのっとって、厳格な管理と適切な取り扱いに努めています。職場ごとに情報資産管理者を置き、当社が取り扱う「すべての個人情報」を特定し、当該個人情報の重要性およびリスクに応じて、台帳を管理し、適切な措置を講じています。
台帳管理においては「個人情報保護管理システム」を導入し、アクセス権限のある従業員はすべての端末から登録・参照等が可能となっており、台帳管理の迅速な対応を可能としています。また、本システムを利用した日々の点検(運用確認)も容易に行うことができます。

(b)個人情報保護教育にeラーニングシステム導入
毎年1回以上、eラーニングシステムによる「個人情報保護教育」を実施し、従業員の意識啓発を図っています。本システムにより実施状況をリアルタイムで確認でき、迅速なフォローが可能となります。

委託先の管理強化

ここ数年、個人情報を含む機密情報漏えい事故が後を絶たず、特に個人情報の取り扱い委託先から漏えい事故が多く発生し、社会問題となっています。当社では、早くから個人情報の委託先管理を強化し、個人情報の取り扱いを委託する際の社内規程を定め、規程にのっとって、委託先を監督しています。

委託する際には、当社が定めた委託先選定基準によって評価・選定しています。さらに、管理体制の確立、原則再委託禁止など厳格な個人情報管理条項を盛り込んだ契約を締結したうえで、委託しています。また、定期的に委託先再評価や監査を実施するなど、委託元としての責任を自覚し、委託先を監督・教育しています。

日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。