情報セキュリティ

個人情報保護への取り組み

日清紡グループは、すべてのステークホルダーに係わる大切な情報の保護と適切な管理を重要な社会的責務と認識し、この責務を果たすために「個人情報保護方針(プライバシー・ポリシー)」を定め、個人情報を取り扱っています。また、社内規定の運用状況を内部監査により確認し、外部への漏えい防止の徹底と継続的な改善に取り組んでいます。

同時に、従業員一人ひとりに個人情報保護への意識を浸透させるために、入社時および昇格時教育や年度計画に基づく職場単位での教育を実施しています。

情報セキュリティへの取り組み

日清紡グループでは、お客さまの個人情報をはじめとする機密情報の漏えいを防ぐため、情報セキュリティの強化に向けたさまざまな対策を継続的に進めています。

情報セキュリティへの取り組み

サイバー攻撃への対策として、標的型メール対策システムによるメール監視、情報機器へのウイルス対策ソフトの導入、およびセキュリティ修正プログラムの適用を徹底しています。また、情報セキュリティ管理システムにより、重要データヘのアクセス監視や未許可情報機器のネットワーク接続制限などの運用を行っています。これらにより、内部不正による情報漏えいの防止・抑制や外部からの攻撃防止に努めています。

当社グループ各社が守るべきルールを「情報セキュリティガイドライン」に定めており、その順守状況を確認するために、IT内部監査を国内外の子会社に対し定期的に実施し、継続的改善を図っています。

情報システム利用者が守るべきルールを教育資料として定め、定期教育および、eラーニングを通し当社グループ全体の利用者へ情報セキュリティ対策への意識向上を図っています。

サイバーセキュリティ意識の向上のため、国内グループ会社の従業員を対象に、標的型メール訓練を実施しました。訓練メールの開封者には、開封時に表示するコンテンツを通じて、メール受信時の教育を実施しました。今後は継続的に実施して行きます。

大規模災害発生時の事業継続の観点から、外部データセンターやクラウドシステムの利用を促進しています。

またニューノーマルなライフスタイルに対応した、安全なテレワーク利用のためのITインフラの整備を進めています。

DX(デジタルトランスフォーメーション)の取り組み

日清紡グループは、2022年4月に施行された「改正個人情報保護法」の運用方法厳格化に対応しつつ、デジタルマーケティングなどの技術革新への挑戦を継続していきます。具体的には、個人を特定できないようデータを加工した仮名加工技術や暗号化技術の導入で、情報セキュリティの強化とDX推進の両立に取り組んでいきます。

新型コロナウイルスの影響によるテレワークの普及、「働き方改革」はもちろんのこと、事業やサービスのデジタル化が加速しています。DXの推進が経営における重要戦略の一つになっていますが、同時に、高度なレベルでの情報セキュリティ対策も欠かせないものとなりました。現在、日清紡グループでは、これらの社会的状況を踏まえ、ITインフラを従来の境界型セキュリティモデルからセキュリティ強度の高いゼロトラストセキュリティモデル への転換を図っています。

※ 従来の境界型のセキュリティアーキテクトモデルでは解決できない、リソースやデータへのアクセスの都度、認証・認可を行うことを基本とし、利用者や端末、エリアなどを無条件に信頼しないという考え方をとるセキュリティモデル。

日清紡グループの活動事例

標的型メール攻撃訓練の実施

日清紡企業管理(上海)有限公司は、中国における日清紡グループ会社に対して、「標的型メール攻撃訓練」を実施しました。中国においても、不審なメールを開封することでウイルスに感染するといったサイバー被害が発生しているため、中国語の「標的型メール」訓練による社員教育の必要性を考慮し企画しました。

同社グループ会社に対し訓練実施要望有無の確認後、対象希望者を取りまとめた結果13社311名の参加がありました。委託業者とメール内容の検討を含めた準備を行い、訓練内容はメール内の添付URLのクリックの有無としました。

結果、添付ファイルの開封もしくはURLへの接続を行った割合が全体で約7%と、やや高めの結果となりました。各社の代表者が集まる「中国グループ会社代表者交流会」にてこの訓練結果を報告し、開封してしまった現地スタッフの心境などのヒアリング結果の共有を行いました。

今後も日清紡グループ情報システムセキュリティ担当部門と連携しながら、中国における情報セキュリティレベルの向上に取り組んでいきます。

ISO/IEC 27001審査受審

日本無線(株)は、日本品質保証機構(JQA)による定期・更新審査を受審し、2021年度13部門がISMS認証を取得しています。

ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための認証です。

また同社は、情報セキュリティレベルの向上と対外的な信頼関係の構築を主目的として、2011年7月にISO/IEC 27001を認証取得しました。認証取得の範囲は、ソリューション事業の関連部門と情報システム部門です。特にソリューション事業では、認証取得が官公庁入札における必要条件となっており、セキュリティ意識の向上を図るため、毎年ISMS内部監査を実施し、継続的改善活動(PDCA)に取り組んでいます。

ISO/IEC 27001審査受審
ISO/IEC 27001登録証
ISO/IEC 27001審査受審

ISMS サーベイランス審査受審

ジェイ・アール・シー特機(株)は、2021年7月16日~20日にかけて、ISMS第10回サーベイランス審査を本社9部門および地方3か所において受審しました。

ISMSでは、特定のリスク低減を目的とした114の管理策が用意されており、組織におけるISMSへの適用可否が要求されています。これまで同社では、テレワークに対する管理策を適用除外としていましたが、新型コロナウイルス感染症対策のために、2020年からテレワークを適用範囲に取り入れ、ITのシステム環境および規則を新たに整備しました。

サーベイランス審査においては、各部門におけるテレワーク管理策の実施状況について監査されました。

その一方、テレワーク環境を狙う攻撃、標的型メール攻撃については、警察庁からの情報を全社に展開するなど、最大限の注意喚起を実施しています。

内部情報の漏えい防止対策

韓国のSaeron Automotive Corporation (SAC) では、機密情報の漏洩を防ぐため、ネットワークアクセスコントロール(NAC)、文書管理の一元化、情報漏洩対策(DLP)セキュリティプログラムを通じて、非認証者のアクセスを遮断し、内部情報の漏洩防止に努めています。

具体的には、社内のネットワークへアクセスする際、必ずこのNACのソフトウェアを設置し、認証者であるかどうかをチェックします。文書管理の一元化とは、社内全ての文書を会社のフォルダーに暗号化された状態で保管し、個別使用者の権限によって、フォルダーへのアクセスや文書の閲覧修正ができるというものです。これらの文書は会社の情報資産として蓄積され、情報共有の活性化ができます。 DLPは、メールやUSBなどによる文書の持ち出しについて統制管理することですが、文書の持ち出しは全て、権限者の承認が必要です。

また、日清紡グループで実施される定期IT監査への対応のほか、日清紡グループの情報セキュリティガイドラインを遵守しています。

個別指導による情報セキュリティ教育

PT. Standard Indonesia Industryでは毎年情報セキュリティに関する教育を実施しており、2021年はIT担当者が一人ひとりに個別指導する形式で教育を該当者全員に行いました。

これまでは教育資料の配布や集合形式などの教育方法を実施してきましたが、今回は、同時期にパソコン作業の効率向上のためにデュアルモニターを導入したタイミングであったので、併せてその効率的な使用方法を具体的に教育する目的があり、個別指導形式を採用しました。

今回の情報セキュリティ教育はファイルの管理方法と不審メールへの対応方法を主な内容とし、個別指導によって、より丁寧で念入りな教育が実施され、これまで以上に情報セキュリティに対する理解度が高まったと考えます。ここ数ヶ月でウイルスが添付された不審メールの受信が多数報告されており、日々起きているリスクなので、その対策として定期的な教育と適時の注意喚起を継続していく予定です。

個別指導による情報セキュリティ教育
個別情報セキュリティ教育