当社は、世の中のIT基盤とさまざまな社会インフラを支える企業として、お客さまに関わる情報を守るために、日立グループのセキュリティポリシーにのっとり、情報セキュリティ対策に真摯に取り組んでいます。
総合的な情報セキュリティ基本方針を定め、情報セキュリティの要素である「機密性」「完全性」「可用性」を守るために、情報セキュリティマネジメントシステムを構築しており、全従業員が情報漏洩防止、および情報システムの保全のための強い意識をもって業務を行っています。
機密情報取り扱いのための各種ルールや、情報システムの技術的な対策、サイバー攻撃によるセキュリティインシデント対応体制を整備し、企業としての社会的責任のひとつとして、また、経営におけるリスクマネジメントの一環として、情報セキュリティ対策を推進しています。
また、個人情報保護方針に基づいて構築した個人情報保護マネジメントシステムを運用し、プライバシーマークを取得、全社一丸となって個人情報の保護とその適切な取り扱いに努めています。
全社的な情報セキュリティ統括責任者、および各部署ごとに情報セキュリティの管理者を定め、セキュリティ対策推進の専任部署を設置し、社内の情報セキュリティマネジメントを運用しています。これによるPDCAサイクルで社内の情報管理について常に見直し、継続的な改善を図っています。
また当社製品のセキュリティ品質向上についても、専任部署にて推進しています。
情報セキュリティ基本方針の下、当社従業員が守るべき情報セキュリティルールを制定しており、機密情報の取り扱い、PC、携帯電話、スマートデバイスなどのIT機器やネットワーク、クラウドシステムの利用方法を規定し、従業員が業務において守るべき行動基準としています。
情報システムやネットワークの管理についても、不正なアクセスによる情報漏洩の防止や、システム保全のための規則を制定しています。
また、立ち入り制限区域や入退室の管理、物品の搬出搬入など、物理セキュリティについての規則を定めています。
情報セキュリティ対策の状況について、全部署を対象に年1回、社内監査を実施しています。
情報セキュリティルールの遵守状況、情報セキュリティマネジメントシステムの運用状況を確認することで、社内の情報管理を健全に保ち、情報セキュリティリスクの顕在化に対しては素早く対策を行っています。
情報セキュリティの実現には従業員が高い意識をもって取り組むことが重要です。このため全従業員を対象とした情報セキュリティ教育を年1回以上実施し、情報セキュリティ意識の向上と、ルールの徹底を行っています。
また、業務上の注意事項についても随時社内で情報共有し、ヒューマンエラーを抑止するための施策を講じています。
社内および在宅勤務での業務のためのネットワーク環境を整備しています。社内ネットワークはインターネットから分離し、社外からの攻撃や不正なアクセスを遮断しています。インターネットを利用するためのルールやフィルタリングその他の技術的な制限を設定し、情報漏洩につながるリスクを排除しています。
社内で利用している情報システムでは利用者認証、アクセス制御を実施し、アクセス権の定期的な見直しにより、適切な情報管理を徹底しています。また重要な情報システムはデータセンタで管理し、さらにログ管理、バックアップ管理などを行うことにより事業継続性を担保、お客さまへのサービスが滞らないことを最優先課題として取り組んでいます。
また、在宅勤務の環境からのアクセスでは、VPN接続と2要素認証にて安全性を確保しています。
社内で使用するPCには、ウィルス対策ソフト、セキュリティソフトなどを導入し、記録媒体への書き出し抑止、ハードディスク暗号化などのセキュリティ対策を実施しています。
PCのセキュリティ対策状況は、全社的に監視を行い、対策漏れを防止しています。
また、携帯電話やスマートデバイスについても、安全に利用できるためのセキュリティ機能を導入して利用しています。
製品、サービスの開発においてもセキュリティ要件を満たし、脆弱性が入り込まないようにするために、セキュリティ設計手順、開発手法を開発基準に定め、安全性を確保しています。
また、クラウド活用における情報セキュリティガイドラインを整備し、お客さまへ安全なサービスを確実に提供できる体制を整えています。
社外に提供しているサービスサイトについては、運用ルールを定め、セキュリティ対策および定期的な脆弱性検査を実施しています。
コンピュータウィルスなどマルウェアに感染しないための機器・インターネットの利用ルールを定めています。標的型攻撃やビジネスメール詐欺に対しては、被害にあわないための注意喚起や、全従業員向けの模擬訓練を行っています。
社外から不審なメールを受信した場合には、調査チームによる解析を行い、受信者に対応方法を指示する体制を構築しています。
インターネットと社内システムの通信は常時監視し、不審な通信の検知を行っています。またサイバー攻撃によるインシデント発生時の対応手順を定め、対応部署を設置し、被害を最小化するための態勢を整えています。
各種のITプラットフォーム、ソフトウェアなどに関する脆弱性情報の収集にも努め、リスクを未然に防止するための施策も整えています。
当社は、個人情報保護の理念を盛り込んだ「個人情報保護方針」に基づいて構築した、日立ソリューションズ西日本個人情報保護マネジメントシステム(個人情報保護の仕組み)を運用しています。
全従業員を対象とするeラーニング教育や運用状況に関する定期的監査などを実施し、全社一丸となって、個人情報の保護とその適切な取り扱いに努めています。
当社は、総合的な情報サービス事業を通して、当社の技術情報や、お客さまからお預かりする情報をはじめ、さまざまな情報を取り扱っています。
当社では、これら情報価値を尊重し、情報管理体制の確立とその徹底に努めてきました。
その中でも個人情報の保護については、その重要性を十分認識、重視して取り組むとともに、2009年(平成21年)にプライバシーマーク(※)を取得しました。
その後も個人情報の適切な管理と取り扱い、全従業員を対象とする教育および定期監査などを実施し、個人情報保護マネジメントシステムの継続的改善に努めています。
また近年は、ITの高度化によるデジタル時代の到来や社会活動の国際化に伴うプライバシーリスクの高まりを受け、世界各国、地域での関連法制度の制定・改定の動きが活発になっています。当社では、欧州一般データ保護規則(GDPR)をはじめとする海外の関連法制度には特段の配慮をして、グローバル全体で法制度を遵守するよう対応しています。
※プライバシーマーク制度: 外部審査機関が適切に個人情報の安全管理・保護措置を講じていると認めた事業者に付与される第三者認証制度(付与機関:一般財団法人日本情報経済社会推進協会)
