日立グループは、お客様からお預かりしている業務情報や個人情報および日立グループの技術情報などさまざまな機密情報を保護するために、日立製作所が定めた情報セキュリティマネジメントシステムに則り「情報セキュリティ方針」および関連規則を定め、情報セキュリティ施策の徹底、社員へのセキュリティ教育の実施、情報セキュリティ監査の実施などにより、セキュリティレベルの維持・向上に取り組んでいます。
日立では、情報セキュリティ統括責任者(日立グループCISO)を委員長とする「情報セキュリティ委員会」が、情報セキュリティに関する取り組み方針、各種施策を決定しています。決定事項は、「情報セキュリティ推進会議」等を通じて社内各事業所およびグループ会社に伝達され、各事業所や各社の情報セキュリティ責任者が各職場に徹底します。
日立では、情報セキュリティと個人情報保護に関して、特に次の2点を重視しています。
(1)予防体制の整備と事故発生時の迅速な対応
守るべき情報資産を明確にし、脆弱性評価とリスク分析に基づいて情報漏えい防止施策を実施しています。事故は「起きるかもしれない」という考え方を一歩進めて、「必ず起きるものだ」という前提に立って、緊急時のマニュアルを作成し、対応しています。
(2)社員の倫理観とセキュリティ意識の向上
担当者向け、管理者向けなど階層別にカリキュラムを用意し、eラーニングによる全員教育などを通じて倫理観とセキュリティ意識の向上を図っています。また、監査を通じて問題点の早期発見と改善にも取り組んでいます。
情報セキュリティに関するより詳細な内容は、「情報セキュリティ報告書」に記載しています。
情報資産保護の基本的な考え方
情報漏えいを防止するために、「機密情報漏洩防止3原則」を定め、機密情報の取り扱いに細心の注意を払い、事故防止に努めています。また万一、事故が発生した場合は、迅速にお客様に連絡し、監督官庁に届け出るとともに、事故の原因究明と再発防止対策に取り組み、被害を最小限にとどめるよう努めています。
情報漏えい防止の具体的施策として、暗号化ソフト「秘文」、情報をパソコン内に保存しない「セキュリティパソコン」、電子ドキュメントのアクセス制御/失効処理ソフト「活文」、認証基盤の構築によるID管理とアクセス制御、メールやWebサイトのフィルタリングシステムなどをIT共通施策として実施しています。昨今多発している標的型メールなどのサイバー攻撃に対しては、官民連携による情報共有の取り組みに加え、IT施策においても防御策を多層化(入口・出口対策)して対策を強化しています。
また、調達取引先と連携して情報セキュリティを確保するため、機密情報を取り扱う業務を委託する際には、あらかじめ日立が定めた情報セキュリティ要求基準に基づき、調達取引先の情報セキュリティ対策状況を確認・審査します。さらに、調達取引先からの情報漏えいを防止するために、約8,800社の調達取引先に対して、情報機器内の業務情報点検ツールとセキュリティ教材を提供し、個人所有の情報機器に対して業務情報の点検・削除を実施してもらっています。こうした取り組みの結果、2012年度も情報漏えい事故は発生していません。
機密情報漏洩防止3原則
海外のグループ会社は、「グローバル情報セキュリティ管理基準」に則り、情報セキュリティ管理の強化に努めています。また、パソコンのセキュリティ対策など重点施策を定め、米州、欧州、東南アジア、中国、インドなどの地域活動推進部門と連携しながら、セキュリティシェアドサービスを利用してセキュリティ対策の徹底を図っています。
日立製作所は、個人情報保護の理念を盛り込んだ「個人情報保護方針」に基づいて構築した、日立製作所個人情報保護マネジメントシステム(個人情報保護の仕組み)を運用し、全社員を対象とするeラーニング教育や運用状況に関する定期的監査等を実施し、全社一丸となって、個人情報の保護とその適切な取り扱いに努めています。
日立製作所は、2007年3月に 「プライバシーマーク」*1を取得、2013年3月に3回目の更新をしています。グループ全体としては、2013年3月現在、国内69社がプライバシーマークを取得しています。また、2007年7月に小平記念東京日立病院が企業立病院として全国初のプライバシーマークを取得し、続いて茨城病院センタが取得、患者をはじめ関係者の個人情報の保護とその適切な取り扱いに努めています。
海外のグループ会社においても、「個人情報保護方針」に基づきながら、各国または各地域の法令および社会的な要求にあわせて、個人情報の保護に取り組んでいます。
日立グループの情報セキュリティは、日立製作所が定めた情報セキュリティマネジメントシステムのPDCAサイクルにより推進しています。日立グループでは、すべての部門で1年に1回情報セキュリティおよび個人情報保護の監査を実施しています。
監査は、執行役社長から任命された監査責任者が独立した立場で実施しています。また、監査員は自らが所属する部署を監査してはならないと定め、監査の公平性・独立性を確保するようにしています。
国内のグループ会社(298社)については、日立製作所と同等の監査を実施し、その結果を確認しています。海外のグループ会社(517社)については、「グローバルセキュリティセルフチェック」を実施し、グループ全体として監査・点検に取り組んでいます。 また、職場での自主点検として全部門が1年に1回、「個人情報保護・情報セキュリティ運用の確認」を実施しています。また、あわせて重要な個人情報を取り扱う業務(約500業務)については、1カ月に1回、「個人情報保護運用の確認」を実施し、安全管理措置や運用の状況を定期的に確認しています。
情報セキュリティを継続して守っていくためには、一人ひとりが日々の情報を取り扱う際に必要とされる知識を身につけ、高い意識をもつことが重要です。そのため、すべての役員、社員、派遣社員を対象に、情報セキュリティおよび個人情報保護について、eラーニングによる教育を毎年実施しています。日立製作所では約4万人が受講し、受講率はほぼ100%に達しています。上記の教育以外にも、新入社員、新任管理職や情報システム管理者等に対し対象者別教育を実施しています。また、情報セキュリティ事故の原因の多くを占めるヒューマンエラーを防止するために、危険予知トレーニング教育やサイバー犯罪対策としてのソーシャルエンジニアリング教育など目的に応じた教育もあわせて実施するなど、対象別、役割別、目的別に多様な教育プログラムを用意し、情報セキュリティ教育を実施しています。
日立製作所の教育コンテンツは国内外の日立グループ会社に公開しており、グループ全体として情報セキュリティ・個人情報保護教育に積極的に取り組んでいます。
