情報セキュリティの徹底

基本的な考え方

日清紡グループでは、情報セキュリティを重要なリスクのひとつと捉え、グループの達成すべき「情報セキュリティに関するガイドライン」を2023年度4月に改定、グループ会社へ展開し、情報セキュリティの向上と情報セキュリティ運用体制の確立に取り組んでいます。本ガイドラインは、人的・組織的管理、物理的管理、技術的管理の構成となっており、改定においては、特に次の3点を重視しました。

  • ①業務を委託する場合は、情報セキュリティに関する委託先の責任や実施すべき対策を明確にする。
  • ②情報セキュリティ事故が発生した場合に備え、緊急時の対応体制や復旧手順を整備する。
  • ③重要情報のバックアップについては、安全な環境にバックアップを保管し、復元手順を整備する。

また、当社グループは、すべてのステークホルダーに係る大切な情報の保護と適切な管理を重要な社会的責務と認識し、この責務を果たすために「個人情報保護方針(プライバシー・ポリシー)」を定め、個人情報を取り扱っています。

推進体制

日清紡ホールディングス(株)は、2025年4月に、スピード感をもって変革をリードし統括する体制に組織改編を行いました。責任者として担当執行役員を置き、機能別組織を強化しました。

情報セキュリティについて

日清紡グループ各社の安全かつ安定した事業活動を継続するために、日清紡ホールディングス(株) の情報システム部門担当役員を最高権限者とする体制のもと、リスクマネジメント室情報システムグループが統括している情報システム責任者会議を設置し、情報システムの更新計画やセキュリティ対策の管理状況を確認しています。

個人情報保護について

日清紡ホールディングス(株)に個人情報保護事務局を設置し、当社執行役員を個人情報保護統括責任者、各部署単位の個人情報保護責任者を任命する体制のもと、個人情報保護活動に取り組んでいます。また、個人情報相談窓口を設置し、電話・FAX・お問い合わせフォームなどによって寄せられる社外からの個人情報に係る相談・問合せなどに対応しています。

当社責任者は、毎年経営戦略会議 において情報セキュリティ、個人情報保護について当社グループの取り組みと状況をそれぞれ報告し、目標とその進捗状況を監督しています。当社グループの最高責任者である当社社長はマネジメントレビューを実施し、経営上必要な実施事項を指示しています。特記事項などについては適時取締役会に報告されています。

※ 経営戦略会議:取締役および監査役・執行役員により構成される業務執行会議

当社のサステナビリティを推進する組織体制の概要については、「サステナビリティ推進体制」をご覧ください。

日清紡グループの具体的な取り組み

第5期サステナビリティ推進計画(達成年度2024年度)

2024年度を達成年度とする「第5期サステナビリティ推進計画」では、情報セキュリティ対策の強化を重点活動項目とし、「外的脅威からの防御」を達成するために、以下を目標として定めて活動しました。

外的脅威への対応強化と従業員への情報セキュリティ教育の継続実施

施策として、標的型メール訓練や個人情報保護のための教育の実施などを継続的に実施しました。

第6期サステナビリティ推進計画(達成年度2027年度)

2027年度を達成年度とする「第6期サステナビリティ推進計画」では、第5期の計画に引き続き、情報セキュリティ対策の強化を重点活動項目とし、「外的脅威からの防御」を達成するために以下を目標に掲げて取り組みを進めます。

外的脅威への対応強化と従業員への情報セキュリティ教育の継続実施

サステナビリティ推進計画の概要については「サステナビリティ推進計画とKPI」をご覧ください。

外的脅威への対応強化

日清紡グループ全社を対象とする子会社点検とともに、サーバやネットワーク機器などの脆弱性をチェックし、計画的な脆弱性対応の実施を進めています。今後は、攻撃を完全に防御することが困難であることを前提に、早期に検知・対応・復旧を考慮した包括的な対策を進めます。

サイバーセキュリティフレームワーク

サイバーセキュリティフレームワーク

情報セキュリティの取り組み

日清紡グループでは、国内外のグループ各社が守るべきルールを「情報セキュリティガイドライン」に定めています。お客さまの個人情報をはじめとする機密情報の漏えいを防ぐため、このガイドラインに基づき、情報セキュリティの強化に向けて教育をはじめとする対策を継続的に進めています。

情報セキュリティの取り組み

ルールの順守 / 情報セキュリティ教育の実施・IT内部監査

情報システム利用者が守るべきルールを教育資料としてまとめ、定期教育および理解度テストを含むラーニングマネジメントシステムを通して当社グループ全体の利用者の情報セキュリティ対策意識向上を図っています。併せて、新入社員、海外派遣者向けに集合研修を実施しています。

また、情報セキュリティガイドラインの順守状況を確認するために、IT内部監査を国内外子会社に対して定期的に実施し、継続的改善を図っています。

内部不正の防止

情報セキュリティ管理システムにより、重要データヘのアクセス監視や未許可情報機器のネットワーク接続制限などの運用を行っています。

外部からの攻撃防止

サイバー攻撃への対策として、メールセキュリティシステムによるメール監視、情報機器へのウイルス対策ソフトの導入、およびセキュリティ修正プログラムの適用を徹底しています。

サイバーセキュリティ意識の向上と対応能力の養成を目指し、国内外のグループ会社の従業員を対象とした標的型メール訓練を年に1回、実施しています。2024年度の訓練では、グループ会社31社、8,097名を対象に、3つの標的型メール訓練を模した訓練メールを用意し、ランダムに対象者に送信しました。開封率は訓練メールのパターンによって大きく異なり、今後の課題抽出のための契機として、セキュリティ教育の充実と標的型メール訓練の継続的実施を図っていきます。

なお当社グループでは、2024年度、以下2件の事案が発生しました。詳細の原因と対策は以下をご確認ください。

当社グループは引き続き、外的脅威への対応強化と従業員への情報セキュリティ教育の継続実施を進めてまいります。

大規模災害発生時対策

大規模災害発生時の事業継続の観点から、外部データセンターやクラウドシステムの利用を促進しています。

ニューノーマルなライフスタイル対応

テレワーク時のセキュリティ強化を目的に、従来型のVPN接続を廃止して、クラウド型のファイアウォールシステムの利用に切り替えました。社内の安全性を保つ従来の境界型セキュリティモデルから、社外からも同一のセキュリティで全体の状態を監視するゼロトラスト型セキュリティモデルへ移行しています。

個人情報保護への取り組み

従業員一人ひとりに個人情報保護への意識を浸透させるために、入社時および昇格時教育や年度計画に基づく職場単位での教育を実施しています。また、リストアップした個人情報の管理状況(登録・削除・保管方法・教育状況など)を定期的な内部監査により確認し、外部への漏えい防止の徹底と継続的な改善に取り組んでいます。

生成AIに関する取り組み

一般に公開されている生成AIサービスは、業務効率の改善や新しいアイデアの発想などに役立ちますが、真偽の問題や著作権などの懸念、また機密情報の流出のリスクも指摘されています。そのため、生成AIの利用ガイドラインを2023年7月に策定し、グループ会社に展開しました。各社では、ガイドラインのチューニングやカスタマイズを行い、自社のニーズや禁止事項などに合わせて最適化し、適切な利用と管理を行っていきます。

グループ会社における活動事例

情報セキュリティインシデントへの備え

日本無線(株)では、日本シーサート協議会(NCA)が主催する活動に積極的に参加し、サイバー攻撃対策の最新動向や情報交換を行っています。

2024年度は9月に「NCAシーサートワークショップin長野 ~セキュリティ教育発表会~」に参加しました。北信越地区で初のワークショップを同社の長野事業所で開催し、各企業のメンバーと効果的な教育の在り方について取り組みました。この取り組みが、同地区活動へ貢献したとして、JRC-CSIRT※1 メンバー社員が表彰されました。

また、内閣サイバーセキュリティセンター(NISC)とNCAが合同で毎年開催している連携演習に毎年参加しています。この演習は、「NISC/NCA連携全分野一斉演習」 と呼ばれ、国内15分野※2 の重要インフラ事業者を対象とした大規模なサイバー演習です。2024年度は、12月に開催され、全体で850チームが参加し、NCAの会員企業・団体から164チーム(1,014人)が参加しました。

演習には、Zoomで参加し、事務局が提示するシナリオに従って進行されます。シナリオが提示されるタイミングで、参加チーム毎にディスカッションし、対処方法を行動記録シートに記載していきます。

刻一刻と進行していくシナリオに対して自組織がどのように行動するかを記録して、最後に振り返りを行うといった内容です。社内の規則や運用手順に従ってシミュレートすることができるため、演習を通じて課題に気づくことができました。

※1 JRC-CSIRT:CSIRTはComputer Security Incident Response Teamの略で、コンピューターセキュリティの問題に対処するチームのこと。JRC-CSIRTは日本無線(株)におけるCSIRT

※2 15分野:情報通信、金融、航空、空港鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油、港湾の事業分野

NCA シーサートワークショップに参加したJRC-CSIRT メンバー
NCA シーサートワークショップに参加したJRC-CSIRT メンバー
表彰状
表彰状

セキュリティポリシーの策定と内部監査

ジェイ・アール・シーエンジニアリング(株)では、情報セキュリティ方針や目的を設定してリスクアセスメントを行い、組織全体の規定「ISMS(情報セキュリティマネジメントシステム)ルールブック」を制定し活動しています。

社員に対する情報セキュリティ教育では、初期教育として「導入勉強会」を、情報セキュリティの意義・ルールの理解のために「定期教育」を実施しています。また教育効果を確認するために、教育実施後アンケートおよび全部門を対象とした内部監査を実施し、社員が情報セキュリティを理解して業務が遂行されていることを確認しています。

今後も、ICT(情報通信技術)の変遷による新たな脅威や、ステークホルダーの変化、クレーム・要望の評価をマネジメントレビューで実施し、継続的なルール改善を行うことで、重大インシデントの発生を防いでいきます。

ISO27001認証取得
ISO27001認証取得

迅速な社員情報更新とセキュリティ管理の徹底

上田日本無線(株)では、各従業員のアカウント権限を部門や職位に応じて設定し、人事異動が発令された際は即時に情報を更新する体制を整えています。これにより、不必要な権限付与や情報漏洩のリスクを低減し、業務効率の向上を図っています。

また、各部門と連携し、システムの運用精度と迅速な対応を実現しています。さらに、年1回の棚卸作業でアカウントの有効性を精査し、不要なアカウントが確認された場合は、速やかにアクセス権限の見直しや削除を実施しています。年2回の定期監査により内部統制の維持・強化を図り、企業の安全性と信頼性の向上に寄与しています。

これらの取り組みは、情報セキュリティ対策の一環として、企業の持続的成長を支える重要な基盤となっています。今後も教育などを通じて従業員のセキュリティ意識を高め、より強固な管理体制の構築を目指します。

情報漏洩の防止対策

(株)国際電気では、情報漏洩防止の対策として、24時間365日のSOC(Security Operation Center)監視体制を整備し、リアルタイムで脅威検知する運用をしています。

また、データ保護強化のため、ハードディスクの暗号化やリモートワイプ機能を導入し、紛失や盗難が起きた時であってもデータの安全性を確保しています。さらに、不審なメールを検疫することで、フィッシング攻撃やマルウェアの侵入を防止し、セキュリティリスクを低減しています。

加えて、社員のセキュリティ意識を高め、インシデント対応能力を向上させるためのセキュリティ教育を定期的に実施しています。最新の攻撃手法や脅威についての知識を共有し、内部不正の未然防止を図ることで、同社全体のセキュリティ体制を強化しています。

情報セキュリティ教育の実施

(株)五洋電子では、情報セキュリティに関する教育および標的型攻撃メールに対する訓練を、国際電気グループ情報セキュリティ推進計画に基づいて1回/年実施しています。

情報セキュリティ教育のねらいは、実際に発生した事故を振り返って、事故を未然に防ぐために注意すべきことや実施すべきことを学ぶことでセキュリティ意識を高く持ち、日々の業務に取り組むことです。2024年度の教育対象者は374名、教育実施率は100%でした。

一方、標的型攻撃メール訓練のねらいは、巧妙化する標的型攻撃メールの特性を良く理解し、不審メール受信時の対応力向上を図ることです。対応模擬訓練として実際に、全社員へランダムに訓練メールを配信しました。2024年度の訓練メールの開封率は4.6%(対前年度2.8%減少)となりました。訓練終了後、国際電気グループIT報の中で開封率、注意すべきポイント、対応手順を解説し、さらなる一人ひとりのセキュリティ意識向上を図っています。

情報セキュリティ教育の様子
情報セキュリティ教育の様子

ドイツ自動車工業会による情報セキュリティ認証規格TISAX®の取得

日清紡ブレーキ(株)は、2024年3月に、ドイツ自動車工業会(VDA)が定める情報セキュリティ認証規格TISAX®(Trusted Information Security Assessment Exchange)の正式認証を初めて取得しました。情報セキュリティの3要素である「機密性」、「完全性」、「可用性」を含む、情報セキュリティ基本方針をホームページで公表し、全従業者がこれに基づいて行動することとしています。

また、継続して認証を取得するため、最新の要求事項の改訂を規定に盛り込み、反映した動画により教育を行い、全対象者が受講したことを確認しました。標的型メール訓練では、訓練模擬メールを受信した社員が、周囲に注意を促す姿が見られます。TISAX®の取得により、情報セキュリティを担保する意識が社員全体に浸透し、チーム力を発揮して組織を守ろうとする雰囲気が醸成されました。

新入社員・転入者TISAX®教育の様子
新入社員・転入者TISAX®教育の様子
TISAX®認証(本社)
TISAX®認証(本社)
TISAX®認証(本社)
TISAX®認証(館林事業所)

情報漏洩防止の取り組み

韓国のSaeron Automotive Corporationは、情報流出防止のために多様なセキュリティ活動を行っています。

社内文書や全社的に使用されているプログラムおよびファイルは、集約し体系的に管理しています。情報管理のため、NAC(Network Access Control)というシステムを用いて、非認可者による内部ネットワークへのアクセスを遮断し、DLP(Date Loss Prevention)システムにより重要情報の外部流出を防止しています。

また、外部プログラムの使用を制限して早い段階でセキュリティリスクを低減しています。この取り組みは、日清紡ブレーキ(株)の情報システム課と連携しています。定期監査を通じて情報交換するとともに、グローバルセキュリティガイドラインを徹底的に順守しています。

また、社内イントラネット「グループウェア」では、情報セキュリティ掲示板を運用しています。同社の役職者に情報セキュリティニュースとガイドを共有し、セキュリティ認識の向上にも努めています。

NAC(Network Access Control)
NAC(Network Access Control)
PCセキュリティ統合コンソール
PCセキュリティ統合コンソール

情報セキュリティおよび個人情報保護教育の実施

東京シャツ(株)では、毎年9月から10月にかけて全従業員に向けて「情報セキュリティ教育」、「個人情報保護教育」を行っています。教育資料を基に本社スタッフおよび全国の店舗を担当する各マネージャーに教育し、店舗へは担当マネージャーよりスタッフ一人ひとりまで教育します。

同社は不特定多数の人が出入りする店舗での業務が主であり、個人情報の取り扱いが多いため、教育内容は情報機器のパスワード管理や公私混同(個人機器の業務利用等)の禁止、紛失・盗難防止、オフィス外での業務中の注意事項や標的型メールへの注意など、多岐にわたっています。

情報セキュリティ教育の様子
情報セキュリティ教育の様子
マネジメントメッセージ
サステナビリティ・
マネジメント
環境・エネルギー分野の
貢献
安心・安全な社会づくり
グローバル・
コンプライアンス
サステナビリティ関連
データ