当社では、情報セキュリティ統括責任者を委員長とする「情報セキュリティ委員会」が、情報セキュリティと個人情報保護に関する取り組み方針、各種施策を決定しています。決定事項は各部門に伝達し、情報セキュリティ責任者が職場に徹底します。
当社では、情報セキュリティと個人情報保護の取り組みにおいて、特に次の2点を重視しています。
守るべき情報資産を明確にし、ぜい弱性評価とリスク分析に基づいて情報漏えい防止施策を実施しています。事故は「起きるものかもしれない」という考え方から一歩進めて、「必ず起きるものだ」という前提に立って緊急時のマニュアルを作成し、対応しています。
製品・サービスにおける平時・有事のセキュリティ確保をサポートする組織として、業種CSIRT(Computer Security Incident Response Team)」を設置し、有事を想定した机上訓練によって継続的に対応力をブラッシュアップしています。
新入社員向け、管理者向けなど階層別にカリキュラムを用意し、eラーニングによる全員教育を通じて倫理観とセキュリティ意識の向上を図っています。また、監査を通じて問題点の早期発見と改善に取り組んでいます。
情報セキュリティを維持していくためには、一人ひとりが日々の情報を取り扱う際に必要とされる知識を身につけ、高い意識を持つことが重要です。当社では、すべての役員、従業員、派遣社員などを対象に、情報セキュリティおよび個人情報保護について、eラーニングによる教育を毎年実施し、修了率も100%に達しています。そのほかにも、新入社員、情報セキュリティ責任者や情報資産管理者を対象とした座学教育など、対象別・目的別に多様な教育プログラムを用意し、情報セキュリティ教育を実施しています。
また、標的型攻撃メールなどのサイバー攻撃への教育として、実際に攻撃メールを装った模擬メールを従業員に送付し、受信体験を通してセキュリティ感度を高める「標的型攻撃メール模擬訓練」を2012年から実施しています。
当社では情報漏えいを防止するために、「機密情報漏えい防止3原則」を定め、機密情報の取り扱いに細心の注意を払い、事故防止に努めています。万が一、事故が発生した場合は、迅速にお客さまに連絡し、監督官庁に届け出るとともに、事故の発生原因究明と再発防止策に取り組み、被害を最小限にとどめるよう努めています。
また、事故発生の状況は監査・品証部門と情報共有するとともに、事故防止施策の実効性を高めるべく活動をしています。
情報漏えい防止の具体的施策として、暗号化ソフト、セキュアなPC、電子ドキュメントのアクセス制御/失効処理ソフト、認証基盤の構築によるID管理とアクセス制御、メールやWebサイトのフィルタリングシステムなどを日立グループのIT共通施策として実施しています。昨今多発している標的型メールなどのサイバー攻撃に対しては、各種情報共有の取り組みに加え、IT施策においても防御策を多層化(入口、出口、内部)して対策を強化しています。
また、サプライヤーと連携して情報セキュリティを確保するため、機密情報を取り扱う業務を委託する際には、あらかじめ当社が定めた情報セキュリティ要求基準に基づき、調達先の情報セキュリティ対策状況を確認・審査しています。さらにサプライヤーからの情報漏えいを防止するために、サプライヤーに対して、情報機器内の業務情報点検ツールとセキュリティ教材を提供し、個人所有の情報機器に対して業務情報の点検・削除を要請しています。
原則1 機密情報については、原則、社外へ持ち出してはならない。
原則2 業務の必要性により、機密情報を社外へ持ち出す場合は、必ず情報資産管理者の承認を得なければならない。
原則3 業務の必要性により、機密情報を社外へ持ち出す場合は、必要かつ適切な情報漏えい対策を施さなければならない。
当社の情報セキュリティは、日立製作所が定めた情報セキュリティマネジメントシステムのPDCAサイクルにより推進しています。当社では、すべての部門で年に1回情報セキュリティおよび個人情報保護の監査を実施しています。
監査は、社長から任命された監査責任者が独立した立場で実施。監査員は自らが所属する部署を監査してはならないと定め、監査の公平性・独立性を確保するようにしています。
当社は、個人情報保護についてもJIS規格(JIS Q 15001)および「個人情報の保護に関する法律」に準拠した個人情報保護マネジメントシステムを維持するとともに、以下に掲げる個人情報保護方針のもと、役員および従業員に周知し、一般の方が、容易に入手できる措置を講じています。そして、この方針に従い個人情報の適切な保護に努めます。
「個人情報保護方針」は、こちらをご覧ください。
当社は、2001年4月、一般社団法人情報サービス産業協会(JISA)から個人情報の取り扱いを適切に行う事業者に付与されるプライバシーマーク(※)の付与認定を受け、2022年3月に11回目の更新をしました。
当社は、特定個人情報について「行政手続における特定の個人を識別するための番号の利用等に関する法律」、「個人情報の保護に関する法律」および「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を遵守し、当社の「個人情報保護方針」を「特定個人情報の適正な取扱いに関する基本方針」として、特定個人情報の適正な取り扱いを確保しています。
当社では、個人情報保護法およびJIS Q15001に対応したマネジメントシステムを確立するため、個人情報保護管理者および個人情報保護監査責任者を選任しています。 また、マネジメントシステムの運用状況については、個人情報保護監査員による年1回の監査と各部門の管理責任者による年2回の自己チェックを実施しています。さらに、全社員および派遣受入者など非正規雇用者を対象とした教育を展開しています。
個人情報保護体制のもと、当社は個人情報保護の仕組みである「個人情報保護マネジメントシステム」(Personal information protection Management Systems、以下「PMS」)を構築。位置付けとしては「情報セキュリティマネジメントシステム」(Information Security Management System、以下「ISMS」)の一部とし、PMSのPDCAサイクルはISMSとして実施しています。
また、PMSの基本要素を文書として記述した「PMS文書」は、「個人情報保護方針」「個人情報保護管理規程(内部規程)」、監査・教育などの「計画書」、PMS実施の「記録」から成っています。
当社では、お預かりした個人情報については、社内規則である「個人情報保護管理規程」に則り、厳格な管理と適切な取り扱いに努めています。職場ごとに情報資産管理者を置き、当社が取り扱う「すべての個人情報」を特定し、当該個人情報の重要性およびリスクに応じて、台帳を管理し、適切な措置を講じています。
毎年1回以上、eラーニングシステムによる「個人情報保護教育」を実施し、従業員の意識啓発を図っています。本システムにより実施状況をリアルタイムで確認でき、迅速なフォローが可能となります。
当社では、マイナンバー制度に対応した社内規程に則り、厳格な管理と適切な取り扱いに努めています。その一環として、マイナンバーの管理体制を確立するとともに、マイナンバー取り扱い業務のリスクを評価し、適切な措置を講じています。
近年、ITの高度化や社会経済活動の国際化に伴うプライバシーリスクの高まりを受け、世界各国で個人情報保護関連法制度の規定・改定の動きが活発になっています。特に、欧州一般データ保護規則(GDPR)は欧州の法律である一方、個人情報の取り扱い義務や罰則の強化などの影響が欧州以外にも及びます。そこで、当社ではGDPRに対する取り組みとして、日立グループ全体で連携し、GDPRの適用を受ける業務の特定(欧州のお客さまからお預かりした個人情報やグローバル人財データベースに含まれる従業員情報など)とそのリスク評価、リスクに応じた適切な安全管理措置の実行、全従業員を対象とした教育などを実施しています。また、欧州当局のGDPRの施行状況や社内の対応状況を継続してモニタリングし、適切な措置を講じています。
ここ数年、個人情報を含む機密情報漏えい事故が後を絶たず、特に個人情報の取り扱い委託先から漏えい事故が多く発生し、社会問題となっています。当社では、早くから個人情報の委託先管理を強化し、個人情報の取り扱いを委託する際の社内規程を定め、規程に則って、委託先を監督しています。
委託する際には、当社が定めた委託先選定基準によって評価・選定しています。さらに、管理体制の確立、原則再委託禁止など厳格な個人情報管理条項を盛り込んだ契約を締結したうえで、委託しています。また、定期的に委託先再評価や監査を実施するなど、委託元としての責任を自覚し、委託先を監督・教育しています。
