デジタル化の進展により、新たな価値が生み出される一方で、日々巧妙化するサイバー攻撃による情報漏えいや操業停止など、事業そのものの継続に支障をきたすリスクが大きくなっています。このリスクを最小化するため、情報セキュリティに関わるリスクマネジメントは、企業の最重要課題の一つとなっています。このような背景のもと、当社は、価値創造とリスクマネジメントの両面からサイバーセキュリティ対策に努めることを重要な経営課題の一つと位置づけ、情報セキュリティに取り組んでいます。
当社では、情報セキュリティと個人情報保護の取り組みにおいて、特に以下の2点を重視しています。
守るべき情報資産を明確にし、ぜい弱性評価とリスク分析に基づいて情報漏えい防止施策を実施しています。事故は「起きるものかもしれない」という考え方から一歩進めて、「必ず起きるものだ」という前提に立って緊急時のマニュアルを作成し、対応しています。
製品・サービスにおける平時・有事のセキュリティ確保をサポートする組織として、業種CSIRT(Computer Security Incident Response Team)」を設置し、有事を想定した机上訓練によって継続的に対応力をブラッシュアップしています。
当社が提供するサービス基盤では、お客さまが安心してサービスを利用できるよう常時セキュリティ運用監視を実施しており、セキュリティ品質の高いサービスを提供しています。また、自社運用基盤のセキュリティ強化・品質向上のため、社内のセキュリティ運用監視の体制や業務プロセスの整備、平時・有事のセキュリティ対策強化および第三者によるリスク評価、インシデント管理基盤の整備、SOCサービスの継続的な改善プロセスの確立などを実施しています。
新入社員向け、管理者向けなど階層別にカリキュラムを用意し、eラーニングによる全員教育を通じて倫理観とセキュリティ意識の向上を図っています。また、監査を通じて問題点の早期発見と改善に取り組んでいます。
デジタル社会において、膨大かつ多様なデータが価値を生み出す一方で、安全・安心への脅威も飛躍的に高まっています。またテレワークの推進など大きく働き方が変わり、今後のセキュリティのあり方も大きな変革が必要となってきています。そして、今まで以上に標的型攻撃は高度化、多様化し、さらにランサムウェアにおける脅迫手法を情報窃取に応用するなど、今まで存在する攻撃手法が複合的に使われてきています。このような状況のもと、現在当社では、「統制」「協創」「自分ゴト化」の3つのアプローチで、サイバーレジリエンス向上のためにさまざまな取り組みを推進しています。
当社では、情報セキュリティ統括責任者を委員長とする「情報セキュリティ委員会」が、情報セキュリティと個人情報保護に関する取り組み方針、各種施策を決定しています。決定事項は各部門およびグループ会社に伝達し、情報セキュリティ責任者が職場に徹底します。
情報セキュリティ推進体制
(グループ会社を含む体制)
情報セキュリティを維持していくためには、一人ひとりが日々の情報を取り扱う際に必要とされる知識を身につけ、高い意識を持つことが重要です。当社では、グループ会社を含むすべての役員、従業員、派遣社員などを対象に、情報セキュリティおよび個人情報保護について、eラーニングによる教育を毎年実施しています。当社では約2万名(グループ会社含む)が受講し、修了率も100%に達しています。そのほかにも、新入社員、情報セキュリティ責任者や情報資産管理者を対象とした座学教育など、対象別・目的別に多様な教育プログラムを用意し、情報セキュリティ教育を実施しています。
また、最近増加している標的型攻撃メールなどのサイバー攻撃への教育として、実際に攻撃メールを装った模擬メールを従業員に送付し、受信体験を通してセキュリティ感度を高める「標的型攻撃メール模擬訓練」を2012年から実施しています。
当社では情報漏えいを防止するために、「機密情報漏えい防止三原則」を定め、機密情報の取り扱いに細心の注意を払い、事故防止に努めています。万が一、事故が発生した場合は、迅速にお客さまに連絡し、監督官庁に届け出るとともに、事故の発生原因究明と再発防止策に取り組み、被害を最小限にとどめるよう努めています。
また、事故発生の状況は監査・品証部門と情報共有するとともに、事故防止施策の実効性を高めるべく活動しています。
情報漏えい防止の具体的施策として、暗号化ソフト、セキュアなPC、電子ドキュメントのアクセス制御/失効処理ソフト、認証基盤の構築によるID管理とアクセス制御、メールやWebサイトのフィルタリングシステムなどを日立グループのIT共通施策として実施しています。昨今多発している標的型メールなどのサイバー攻撃に対しては、各種情報共有の取り組みに加え、IT施策においても防御策を多層化(入口、出口、内部)して対策を強化しています。
また、機密情報を取り扱う業務を委託する際には、あらかじめ当社が定めた情報セキュリティ要求基準に基づき、委託先の情報セキュリティ対策状況を確認・審査しています。さらに委託先からの情報漏えいを防止するために、委託先に対して、情報機器内の業務情報点検ツールとセキュリティ教材を提供し、個人所有の情報機器に対して業務情報の点検・削除を要請しています。
「機密情報漏えい防止三原則」の厳守
海外のグループ会社は、「グローバル情報セキュリティ管理規程」に則って、情報セキュリティ管理の強化に努めています。また、PCのセキュリティ対策など重点施策を定め、各社と連携しながらセキュリティ対策の徹底を図っています。
当社の情報セキュリティは、日立製作所が定めた情報セキュリティマネジメントシステムのPDCAサイクルにより推進しています。当社では、すべての部門およびグループ会社で年に1回情報セキュリティおよび個人情報保護の監査を実施しています。
監査は、社長から任命された監査責任者が独立した立場で実施し、監査員は自らが所属する部署を監査してはならないと定め、監査の公平性・独立性を確保するようにしています。
国内のグループ会社については、当社と同等の監査を実施し、その結果を確認しています。海外のグループ会社については、グローバル共通のセルフチェックを実施し、グループ全体として監査・点検に取り組んでいます。
また、職場での自主点検としてすべての部門が「個人情報保護・情報セキュリティ運用の確認」を1年に2回、実施しています。
当社は、個人情報保護についてもJIS規格(JIS Q 15001)および「個人情報の保護に関する法律」に準拠した個人情報保護マネジメントシステムを維持するとともに、以下に掲げる個人情報保護方針のもと、役員および従業員に周知し、一般の方が、容易に入手できる措置を講じています。そして、この方針に従い個人情報の適切な保護に努めます。
「個人情報保護方針」は、こちらをご覧ください。
当社は、2003年5月、一般財団法人日本情報経済社会推進協会(JIPDEC)から個人情報の取り扱いを適切に行う事業者に付与されるプライバシーマーク(※)の付与認定を受け、2023年5月に10回目の更新を行いました。
当社は、特定個人情報について「行政手続における特定の個人を識別するための番号の利用等に関する法律」、「個人情報の保護に関する法律」および「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を順守し、当社の「個人情報保護方針」を「特定個人情報の適正な取扱いに関する基本方針」として、特定個人情報の適正な取り扱いを確保しています。
当社では、個人情報保護法およびJIS Q 15001に対応したマネジメントシステムを確立するため、個人情報保護管理者および個人情報保護監査責任者を選任するなど個人情報保護の体制を整備し、安全管理措置を推進しています。また、マネジメントシステムの運用状況については、個人情報保護監査員による年1回の監査と各部門の管理責任者による年2回の自己チェックを実施しています。さらに、全社員および派遣受入者など非正規雇用者を対象とした教育を展開しています。
個人情報保護体制
<4つの安全管理措置>
個人情報保護体制のもと、当社は個人情報保護の仕組みである「個人情報保護マネジメントシステム」(Personal information protection Management Systems、以下「PMS」)を構築しています。位置付けとしては「情報セキュリティマネジメントシステム」(Information Security Management System、以下「ISMS」)の一部とし、PMSのPDCAサイクルはISMSとして実施しています。
また、PMSの基本要素を文書として記述した「PMS文書」は、「個人情報保護方針」「個人情報保護管理規程(内部規程)」、教育・監査などの「計画書」、PMS実施の「記録」から成っています。
個人情報保護マネジメントシステムについて
<位置付け>
<文書>
(a)個人情報保護管理システムの導入
当社では、お預かりした個人情報について、社内規則である「個人情報保護管理規程」に則り、厳格な管理と適切な取り扱いに努めています。職場ごとに情報資産管理者を置き、当社が取り扱う「すべての個人情報」を特定し、当該個人情報の重要性およびリスクに応じて、台帳を管理し、適切な措置を講じています。
(b)個人情報保護教育にeラーニングシステム導入
毎年1回以上、eラーニングシステムによる「個人情報保護教育」を実施し、従業員の意識啓発を図っています。本システムにより実施状況をリアルタイムで確認でき、迅速なフォローが可能となります。
当社では、マイナンバー制度に対応した社内規程に則り、厳格な管理と適切な取り扱いに努めています。その一環として、マイナンバーの管理体制を確立するとともに、マイナンバー取り扱い業務のリスクを評価し、適切な措置を講じています。
近年、ITの高度化や社会経済活動の国際化に伴うプライバシーリスクの高まりを受け、世界各国で個人情報保護関連法制度の規定・改定の動きが活発になっています。特に、欧州一般データ保護規則(GDPR)は欧州の法律である一方、個人情報の取り扱い義務や罰則の強化などの影響が欧州以外にも及びます。そこで、当社ではGDPRに対する取り組みとして、欧州の地域統括会社や欧州事務所を含む日立グループ全体で連携し、GDPRの適用を受ける業務の特定(欧州のお客さまからお預かりした個人情報やグローバル人財データベースに含まれる従業員情報など)とそのリスク評価、リスクに応じた適切な安全管理措置の実行、全従業員を対象とした教育などを実施しています。また、欧州当局のGDPRの施行状況や社内の対応状況を継続してモニタリングし、適切な措置を講じています。
ここ数年、個人情報を含む機密情報漏えい事故が後を絶たず、特に個人情報の取り扱い委託先から漏えい事故が多く発生し、社会問題となっています。当社では、早くから個人情報の委託先管理を強化し、個人情報の取り扱いを委託する際の社内規程を定め、規程に則って、委託先を監督しています。
委託する際には、当社が定めた委託先選定基準によって評価・選定しています。さらに、管理体制の確立、原則再委託禁止など厳格な個人情報管理条項を盛り込んだ契約を締結したうえで、委託しています。また、定期的に委託先再評価や監査を実施するなど、委託元としての責任を自覚し、委託先を監督・教育しています。
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。