情報セキュリティの徹底

基本的な考え方

日清紡グループでは、情報セキュリティを重要なリスクのひとつと捉え、グループの達成すべき「情報セキュリティに関するガイドライン」を2023年度4月に改定、グループ会社へ展開し、情報セキュリティの向上と情報セキュリティ運用体制の確立に取り組んでいます。
本ガイドラインは、人的・組織的管理、物理的管理、技術的管理の構成となっており、改定においては、特に次の3点を重視しました。

  • ①業務を委託する場合は、情報セキュリティに関する委託先の責任や実施すべき対策を明確にする。
  • ②情報セキュリティ事故が発生した場合に備え、緊急時の対応体制や復旧手順を整備する。
  • ③重要情報のバックアップについては、安全な環境にバックアップを保管し、復元手順を整備する。

また、当社グループは、すべてのステークホルダーに係る大切な情報の保護と適切な管理を重要な社会的責務と認識し、この責務を果たすために「個人情報保護方針(プライバシー・ポリシー)」を定め、個人情報を取り扱っています。

推進体制

情報セキュリティについて

日清紡グループ各社の安全かつ安定した事業活動を継続するために、日清紡ホールディングス(株) の取締役経営戦略センター長を責任者とする体制のもと、経営戦略センター 財経・情報室 情報システムグループが統括している情報システム責任者会議を設置し、当社の経営戦略センター長を最高責任者とする体制のもと、情報システムの更新計画やセキュリティ対策の管理状況を確認しています。

個人情報保護について

当社に個人情報保護事務局を設置し、当社執行役員を個人情報保護統括責任者、各部署単位の個人情報保護責任者を任命する体制のもと、個人情報保護活動に取り組んでいます。また、個人情報相談窓口を設置し、電話・FAX・お問い合わせフォームなどによって寄せられる社外からの個人情報に係る相談・問合せなどに対応しています。

また、日清紡ホールディングス(株)の経営戦略会議で、情報セキュリティ、個人情報保護についてマネジメントレビューを実施し、最高責任者である取締役社長の指示を受ける仕組みになっています。マネジメントレビューは取締役会にも報告されます。

日清紡グループの具体的な取り組み

改定「第5期サステナビリティ推進計画」では、情報セキュリティ対策の強化を重点活動項目とし、外的脅威への対応強化と社員への情報セキュリティ教育の継続実施に取り組んでいます。

外的脅威への対応強化

日清紡グループ全社を対象とする子会社点検とともに、サーバやネットワーク機器などの脆弱性をチェックし、計画的な脆弱性対応の実施を進めています。今後は、攻撃を完全に防御することが困難であることを前提に、早期に検知・対応・復旧を考慮した包括的な対策を進めます。

サイバーセキュリティフレームワーク

サイバーセキュリティフレームワーク

情報セキュリティの取り組み

日清紡グループでは、国内外のグループ各社が守るべきルールを「情報セキュリティガイドライン」に定めています。お客さまの個人情報をはじめとする機密情報の漏えいを防ぐため、このガイドラインに基づき、情報セキュリティの強化に向けて教育をはじめとする対策を継続的に進めています。

情報セキュリティの取り組み

ルールの遵守 / 情報セキュリティ教育の実施・IT内部監査

情報システム利用者が守るべきルールを教育資料としてまとめ、定期教育および理解度テストを含むラーニングマネジメントシステムを通して当社グループ全体の利用者の情報セキュリティ対策意識向上を図っています。併せて、新入社員、海外派遣者向けに集合研修を実施しています。

また、情報セキュリティガイドラインの順守状況を確認するために、IT内部監査を国内外子会社に対して定期的に実施し、継続的改善を図っています。

内部不正の防止

情報セキュリティ管理システムにより、重要データヘのアクセス監視や未許可情報機器のネットワーク接続制限などの運用を行っています。

外部からの攻撃防止

サイバー攻撃への対策として、メールセキュリティシステムによるメール監視、情報機器へのウイルス対策ソフトの導入、およびセキュリティ修正プログラムの適用を徹底しています。

サイバーセキュリティ意識の向上と対応能力の養成へとつなげるため、国内外のグループ会社の従業員を対象とした標的型メール訓練を2021年度より実施していますが、2022年度より国内外のグループ会社の対象を拡大し、訓練を実施しています。
2022年度は、グループ会社17社、5501名を対象に実施し、開封率は前回の11.1%を下回る7.7%でした。訓練メールの開封者には、開封時に表示するコンテンツを通じて、メール受信時の注意事項を教育しています。

大規模災害発生時対策

大規模災害発生時の事業継続の観点から、外部データセンターやクラウドシステムの利用を促進しています。

ニューノーマルなライフスタイル対応

テレワーク時のセキュリティ強化を目的に、従来型のVPN接続を廃止して、クラウド型のファイアウォールシステムの利用に切り替えました。社内の安全性を保つ従来の境界型セキュリティモデルから、社外からも同一のセキュリティで全体の状態を監視するゼロトラスト型セキュリティモデルへ移行しています。

個人情報保護への取り組み

従業員一人ひとりに個人情報保護への意識を浸透させるために、入社時および昇格時教育や年度計画に基づく職場単位での教育を実施しています。また、リストアップした個人情報の管理状況(登録・削除・保管方法・教育状況など)を定期的な内部監査により確認し、外部への漏えい防止の徹底と継続的な改善に取り組んでいます。

2022年度、当社グループ会社が運営するサイトの脆弱性をついた第三者の不正アクセスにより顧客情報が流出した可能性が判明、監督官庁である個人情報保護委員会への報告を行い、専門調査会社での不正アクセス等の原因調査などをもとに、対外公表とお客さま宛のお詫びとお知らせを行いました。
この事態を厳粛に受け止め、グループ全体のシステムのセキュリティ対策および監視体制の強化などを通じて再発防止を図っていきます。

グループ会社における活動事例

情報セキュリティに関する各種認証の取得

日清紡グループではグループ各社にて、それぞれの事業で必要とされる情報セキュリティマネジメントシステムに関する国際規格ISO/IEC 27001(ISMS:Information Security Management System)などを取得・更新しているほか、自動車業界サプライチェーンを対象としたTISAX®(Trusted Information Security Assessment Exchange)認証取得に向けて活動しています。

監視カメラならびにパソコン制御ソフトの導入

中国の日清紡企業管理(上海)有限公司は、営業秘密漏洩ならびに中国のサイバーセキュリティ法の対策として、JETRO契約の弁護士事務所ならびに日清紡ホールディングス(株) 情報システムグループと相談の上、以下の対策を実施しました。

①監視カメラの設置
本対策により24時間、約6カ月間の入退出の記録が残せるようになりました。
②パソコン制御ソフトの導入
中国のサイバーセキュリティ法で規定されている6カ月間のPCログの取得、ならびにUSBメモリーの利用制限やWebサイトへのアップロードログなどの取得ができるようになりました。導入に際して、従業員全員を集め主旨について説明会を実施しています。

今後も情報システムセキュリティ担当部門と連携しながら、中国における情報セキュリティレベルの向上に取り組んでいきます。

清監視カメラの設置
監視カメラの設置

情報システムの脆弱性診断の実施

日本無線(株)では、定期的に情報セキュリティの脆弱性診断を実施しています。昨今のサイバー攻撃の高度化、被害の実情などを踏まえ、想定される脅威に対する技術的な対策の充足状況、追加・改善を要する事項とその優先度などを把握することを目的としています。

前回実施した際に抽出された問題点について、優先順位を判断して対策を講じてきました。その対策が一段落したことと、セキュリティ状況の急激な変化から、改めてセキュリティベンダーによる脆弱性診断を行いました。今回は情報系インターネット接続環境を主な対象とし、14の脅威シナリオをもとに、各ケースに於ける充足度を判定し、同社にとって改善が必要な部分の洗い出しを行いました。判定結果から、必要な対策の改善案を立案し、今後さらなるセキュリティ強化策を実施していきます。

なお、判定結果から同社は現在良好な状態で、新たにセキュリティ機器の追加は必要なく、ログの調査を今後行っていく予定です。

各店舗での情報セキュリティ教育と個人情報保護教育の実施

東京シャツ(株)では毎年、情報セキュリティに関する教育を実施しています。教育対象者が全国の店舗にて勤務しているため、まず本社社員と営業マネージャーを対象として集合教育を行い、その後マネージャーが各店舗を回り、スタッフ各人と面談にて資料の読み合わせを実施する方法で教育しています。

2022年度の教育内容は、会社の情報機器の管理ルール、ユーザーIDやパスワード管理の注意点、不審メールへの対処方法などに加え個人情報保護教育も並行して行いました。個人情報保護教育では、情報機器の誤った取り扱いがお客さまの個人情報流出につながりかねないことについて説明しました。

スタッフの情報管理に対する意識を高めるため、今後も継続して教育を行っていきます。