情報セキュリティの徹底

基本的な考え方

日清紡グループでは、情報セキュリティを重要なリスクのひとつと捉え、グループの達成すべき「情報セキュリティに関するガイドライン」を2023年度4月に改定、グループ会社へ展開し、情報セキュリティの向上と情報セキュリティ運用体制の確立に取り組んでいます。
本ガイドラインは、人的・組織的管理、物理的管理、技術的管理の構成となっており、改定においては、特に次の3点を重視しました。

  • ①業務を委託する場合は、情報セキュリティに関する委託先の責任や実施すべき対策を明確にする。
  • ②情報セキュリティ事故が発生した場合に備え、緊急時の対応体制や復旧手順を整備する。
  • ③重要情報のバックアップについては、安全な環境にバックアップを保管し、復元手順を整備する。

また、当社グループは、すべてのステークホルダーに係る大切な情報の保護と適切な管理を重要な社会的責務と認識し、この責務を果たすために「個人情報保護方針(プライバシー・ポリシー)」を定め、個人情報を取り扱っています。

推進体制

情報セキュリティについて

日清紡グループ各社の安全かつ安定した事業活動を継続するために、日清紡ホールディングス(株) の取締役経営戦略副センター長を最高権限者とする体制のもと、経営戦略センター 財経・情報室 情報システムグループが統括している情報システム責任者会議を設置し、情報システムの更新計画やセキュリティ対策の管理状況を確認しています。

個人情報保護について

当社に個人情報保護事務局を設置し、当社執行役員を個人情報保護統括責任者、各部署単位の個人情報保護責任者を任命する体制のもと、個人情報保護活動に取り組んでいます。また、個人情報相談窓口を設置し、電話・FAX・お問い合わせフォームなどによって寄せられる社外からの個人情報に係る相談・問合せなどに対応しています。

また、日清紡ホールディングス(株)の経営戦略会議で、情報セキュリティ、個人情報保護についてマネジメントレビューを実施し、最高責任者である取締役社長の指示を受ける仕組みになっています。マネジメントレビューは取締役会にも報告されます。

日清紡グループの具体的な取り組み

「第5期サステナビリティ推進計画」では、情報セキュリティ対策の強化を重点活動項目とし、外的脅威への対応強化と社員への情報セキュリティ教育の継続実施に取り組んでいます。

外的脅威への対応強化

日清紡グループ全社を対象とする子会社点検とともに、サーバやネットワーク機器などの脆弱性をチェックし、計画的な脆弱性対応の実施を進めています。今後は、攻撃を完全に防御することが困難であることを前提に、早期に検知・対応・復旧を考慮した包括的な対策を進めます。

サイバーセキュリティフレームワーク

サイバーセキュリティフレームワーク

情報セキュリティの取り組み

日清紡グループでは、国内外のグループ各社が守るべきルールを「情報セキュリティガイドライン」に定めています。お客さまの個人情報をはじめとする機密情報の漏えいを防ぐため、このガイドラインに基づき、情報セキュリティの強化に向けて教育をはじめとする対策を継続的に進めています。

情報セキュリティの取り組み

ルールの遵守 / 情報セキュリティ教育の実施・IT内部監査

情報システム利用者が守るべきルールを教育資料としてまとめ、定期教育および理解度テストを含むラーニングマネジメントシステムを通して当社グループ全体の利用者の情報セキュリティ対策意識向上を図っています。併せて、新入社員、海外派遣者向けに集合研修を実施しています。

また、情報セキュリティガイドラインの順守状況を確認するために、IT内部監査を国内外子会社に対して定期的に実施し、継続的改善を図っています。

内部不正の防止

情報セキュリティ管理システムにより、重要データヘのアクセス監視や未許可情報機器のネットワーク接続制限などの運用を行っています。

外部からの攻撃防止

サイバー攻撃への対策として、メールセキュリティシステムによるメール監視、情報機器へのウイルス対策ソフトの導入、およびセキュリティ修正プログラムの適用を徹底しています。

サイバーセキュリティ意識の向上と対応能力の養成を目指し、国内外のグループ会社の従業員を対象とした標的型メール訓練を年に1回、実施しています。2023年度の訓練では、グループ会社26社、7339名を対象に、5つの標的型メール訓練を模した訓練メールを用意し、ランダムに対象者に送信しました。開封率は訓練メールのパターンによって大きく異なり、今後の課題抽出のための契機として、セキュリティ教育の充実と標的型メール訓練の継続的実施を図っていきます。

大規模災害発生時対策

大規模災害発生時の事業継続の観点から、外部データセンターやクラウドシステムの利用を促進しています。

ニューノーマルなライフスタイル対応

テレワーク時のセキュリティ強化を目的に、従来型のVPN接続を廃止して、クラウド型のファイアウォールシステムの利用に切り替えました。社内の安全性を保つ従来の境界型セキュリティモデルから、社外からも同一のセキュリティで全体の状態を監視するゼロトラスト型セキュリティモデルへ移行しています。

個人情報保護への取り組み

従業員一人ひとりに個人情報保護への意識を浸透させるために、入社時および昇格時教育や年度計画に基づく職場単位での教育を実施しています。また、リストアップした個人情報の管理状況(登録・削除・保管方法・教育状況など)を定期的な内部監査により確認し、外部への漏えい防止の徹底と継続的な改善に取り組んでいます。

生成AIに関する取り組み

一般に公開されている生成AIサービスは、業務効率の改善や新しいアイデアの発想などに役立ちますが、真偽の問題や著作権などの懸念、また機密情報の流出のリスクも指摘されています。そのため、生成AIの利用ガイドラインを2023年7月1日に策定し、グループ会社に展開しました。各社では、ガイドラインのチューニングやカスタマイズを行い、自社のニーズや禁止事項などに合わせて最適化し、適切な利用と管理を行っていきます。

グループ会社における活動事例

アカウントの棚卸

上田日本無線(株)では、各個人のアカウント権限をその職位や役割によって設定し、人事異動をタイムリーに反映させ、削除・変更・追加を行っています。また、対応漏れを防ぐ目的で、年1回棚卸を行い、不要なアカウントが残っていないか再確認しています。

社内で使用するデータは、全社ファイルサーバーに格納して、フォルダー毎に参照権限と書込権限をActiveDirectory のユーザーとグループで設定した上で運用しています。アクセスは、各個人IDでログインしたPCから行い、そのユーザーで許可されているフォルダーのみ参照や更新が可能となります。

派遣・請負社員の対応は特に注意し、ActiveDirectoryのアカウント登録時に、派遣請負期間に合わせてアカウントの有効期限を設定して、派遣請負終了後に不正アクセスや情報漏洩が発生しない管理をしており、年1回の棚卸で万が一対応漏れがあっても、確認可能な運用をしています。

※ ActiveDirectory:Windows Serverにて利用可能な、ユーザ・コンピュータ・共有フォルダーなどの情報を管理するシステム

TISAX®認証取得活動

日清紡ブレーキ(株)、アメリカのNisshinbo Automotive Manufacturing Inc.、中国の日清紡賽龍 (常熟) 汽車部件有限公司、賽龍 (煙台) 汽車部件有限公司は、ISO27001に準拠した情報セキュリティ管理システム(ISMS)を構築しているTISAX®(Trusted Information Security Assessment Exchange)認証審査を受けました。

TISAX®は、ドイツ自動車工業会が策定した情報セキュリティ評価です。同4社は正式にこの認証を取得し、ENX協会 が運営するポータルに、TISAX®認証ラベルが登録されています。「環境・エネルギーカンパニー」を目指す日清紡グループのモビリティ分野で、地球環境にやさしいブレーキ製品を提供する会社として、業務上取り扱う情報の機密を高い水準で保持し、それらを安定的に維持することの重要性を事業活動に反映します。

※ ENX協会:TISAX®のガバナンス組織として、TISAX®のさらなる開発や審査プロバイダの監視、審査実施、品質保証を担う組織

サイバー攻撃への対応訓練と意識啓発

タイのNisshinbo Somboon Automotive Co., Ltd. では、2023年4月と10月に、サイバー攻撃による情報漏洩やシステムトラブルの被害に備えた緊急訓練を実施しました。

実際に攻撃などを受けた事例から、被害の大きさや復旧に関するリスク、対応策などを学ぶ研修を行いました。
併せて、サイバーセキュリティ被害などに関する情報を定期的に従業員に発信することで、危険意識や防御意識を高めるべく、啓発活動を行っています。

情報セキュリティシステム構築による情報セキュリティの強化

韓国のSaeron Automotive Corporationでは情報セキュリティ体系を運営し、重要なデータと資産を効果的に保護しています。

主なシステムとしては、①文書中央化ソリューションを通じて全社で使用されるすべての文書ファイルをリアルタイムで中央管制しており、②NAC(Network Access Control)というシステムにより、非認可者および非認可PCに対する内部ネットワークへのアクセスを遮断し、③DLP(Data Loss Prevention)による内部文書ファイルの外部への搬出を遮断、統制および履歴管理をリアルタイムで行っています。

また、毎年、日清紡ホールディングス(株)によるIT監査を受けていますが、それによって情報セキュリティガイドラインを遵守することで、組織の情報資産を安全に保護し、より良いセキュリティ環境を作り出しています。

文書中央化、NAC、DLP運営概念図
文書中央化、NAC、DLP運営概念図

生成AI利用時のセキュリティガイドライン作成

生成AIは業務効率の改善や新しいアイデアの発想に大きく貢献していますが、真偽や著作権、機密情報の保護などの問題が指摘されています。そのため、日清紡メカトロニクス(株)では、日清紡ホールディングス(株)から展開されている「生成AIの利用ガイドライン」に加え、生成AIの機能を制限するオプトアウト機能 を有するものに限定し、利用開始前には従業員への教育を実施するなど、独自のガイドラインを作成しました。

また、このガイドラインによる利用を同社内で先行して開始し、利用状況や利便性の調査、ならびに情報交流会を実施しました。

2024年からは同社において、子会社への展開が可能と判断し、海外を含む同社子会社内に向けて、Teamsを用いた説明会を実施し、生成AIの利用を推進しています。

※ オプトアウト機能:入力された情報をAIの学習のために利用させない機能

生成AIの利用ガイドラインの周知

日清紡ケミカル(株)では、定期的に情報セキュリティに関する教育を実施するとともに、自社の社内報を通じて情報システムに関するトピックスを全従業員に向けて発信し、ITの活用や、リスクに対する意識付けを行っています。

2023年は7月に日清紡グループの「生成AIの利用ガイドライン」が制定されたのを受け、社内報にガイドラインの紹介や、生成AIの利用にあたっての注意事項、活用例を掲載しました。

生成AIの便利な一面だけでなく、利用するための社内ルールの説明に加え、安易に利用してしまうと、営業秘密や個人情報などの機密情報の漏洩につながることや、AIが出力する生成物が他者の権利を侵害する危険性があることを説明しました。

今後もITを正しく活用するために、社内ルールの周知徹底と、情報セキュリティに関する教育を継続して行っていきます。

社内報への掲示資料
社内報への掲示資料

情報セキュリティ教育の実施

日清紡テキスタイル(株)では、パソコンを使用する全従業員を対象とした情報セキュリティ教育を毎年実施しています。

同社は、情報機器に関するルールや、社外持ち出しPCにおける管理方法、さらに近年巧妙化する標的型メールへの対処方法について、社内研修用サイト(L-Click)やWeb動画などを活用した教育を行っています。また、標的型メールへの対処方法として実際に即した訓練も行っており、情報管理に対する重要性や危機管理の向上を目的に教育を実施しています。

販売店舗における情報セキュリティ教育

東京シャツ(株)では、毎年、店舗の販売スタッフを含めた全社員に対して、情報セキュリティに関する教育を実施しています。

教育対象者が全国の店舗に広がっており、対象者の勤務歴も勤続20年以上の経験者から、入社数カ月のアルバイト従業員まで多岐にわたっているため、まず本社従業員と営業マネージャーに教育を行い、その後マネージャーが各店舗を回り、スタッフ各人と面談にて資料の読み合わせを実施する方法で行っています。教育内容は、会社の情報機器の管理ルールやユーザーIDやパスワード管理の注意点、不審メールへの対処方法などを基本としつつ、2022年にオーダーサイトからの顧客情報流出インシデントが発生したことから、個人情報保護教育も並行して行っています。

これにより、スタッフの情報管理に対する意識もさらに高まってきており、今後も適宜教育を行っていく予定です。

教育資料
教育資料
サステナビリティTOP
マネジメントメッセージ
サステナビリティ・
マネジメント
環境・エネルギー分野の
貢献
安心・安全な社会づくり
グローバル・
コンプライアンス
サステナビリティ関連
データ
編集方針
歌おう!ニッシンボー