1. HOME
  2. 情報セキュリティ

ガバナンスへの取り組み

情報セキュリティ

考え方

当社はサイバーセキュリティ対策とプライバシー保護を重要性の高い課題と捉え、「日立グループ情報セキュリティポリシー」*1に則り、情報セキュリティ対策を推進しています。

  1. *1

    「日立グループ情報セキュリティポリシー」:情報セキュリティ報告書

日立の情報セキュリティ報告書

推進体制

情報セキュリティおよび個人情報保護の実施・運用に関する責任・権限を持つ情報セキュリティ統括責任者であるCIO(Chief Information Officer)は、当社のすべての製品・サービスや社内設備を対象に情報セキュリティを推進する役割を担っています。情報セキュリティと個人情報保護に関する取り組み方針、各種施策は、CIOを委員長とする情報セキュリティ委員会において決定し、情報セキュリティ推進会議などを通じて、当社事業所および当グループ会社に伝達されます。
また、情報セキュリティ推進者を設置し、各職場における情報セキュリティの徹底や従業員への教育などを行います。また、サイバー攻撃の対象範囲が拡大していることから、情報システム管理者のもとに、社内IT環境、開発・検証環境、生産・製造環境、オフィスの入退室などの物理セキュリティ環境における各責任者を設置しています。さらに、お客さまに提供する製品・サービス、取引先などのサプライチェーンのセキュリティを強化するため、製品セキュリティ責任者、調達セキュリティ責任者も設置しています。

情報セキュリティ推進体制

図版はピンチアウトで拡大できます​

取り組み・実績

日立グループとしてサイバー攻撃早期検知のための脅威の監視や情報の取得を実施しているほか、当社としても社内利用機器へのEDR*1導入、ぜい弱性対策状況の監視・フォローアップを実施する取り組みを行っています。
また、情報セキュリティ意識の向上・改善に向けた注意喚起を適宜、発信しています。
さらに、情報漏えい防止および情報保全のために情報セキュリティ委員会を設置し、ルールの整備・監査や従業員の教育・訓練を実施するとともに、職場単位でプライバシー情報を含めた個人情報の適切な取り扱いに努めています。

  1. *1

    EDR(Endpoint Detection and Response):コンピュータなどのエンドポイントデバイスにおける不審な動作や攻撃を監視し、迅速な対応を行うためのシステム

情報セキュリティマネジメント

当社は、国際規格であるISO/IEC 27001をもとに、情報セキュリティマネジメントを構築しています。さらに、昨今のサイバー攻撃の激化を鑑み、米国政府基準SP800-171に対応した「情報セキュリティ対策基準」により、情報セキュリティの強化に努めています。本基準を含めた、情報セキュリティ・個人情報保護関連規則を当社および当グループ会社に展開しています。

情報漏えいの防止

当社は、情報漏えい防止のために、デバイス暗号化、セキュリティPC、電子ドキュメントのアクセス制御・失効処理ソフト、認証基盤の構築によるID管理とアクセス制御、メールやWebサイトのフィルタリングシステムなどをIT共通施策として実施・利用しています。標的型攻撃メールなどのサイバー攻撃に対しては、多層防御などさまざまなIT対策を強化しています。
また、調達パートナー側からの情報漏えいを防止するために、機密情報を取り扱う業務を委託する際には、あらかじめ日立グループの情報セキュリティ要求基準に基づき、調達パートナーの情報セキュリティ対策状況を確認・審査しています。さらに、調達パートナーに対して、セキュリティ教材を提供し、個人所有の情報機器に対して業務情報の点検・削除を要請しています。

情報セキュリティ教育の実施

当社は、すべての役員および従業員を対象に、情報セキュリティおよび個人情報保護について、eラーニングによる教育を毎年実施しています。
そのほかにも、新入社員、新任管理職などを対象とした座学教育など、対象別・目的別に多様な教育プログラムを用意し、情報セキュリティ教育を実施しています。
また、標的型攻撃メールなどのサイバー攻撃に対する教育として、実際に攻撃メールを装った模擬メールを従業員に送付し、受信体験をとおしてセキュリティ感度を高める「標的型攻撃メール模擬訓練」を実施しています。

情報セキュリティマネジメントの評価とモニタリング

当社の全部門では、年に1回、個人情報保護および情報セキュリティの内部監査を実施しています。
当社の内部監査は、取締役社長から任命された監査責任者が独立した立場で実施しています。監査員は自らが所属する部署を監査してはならないと定め、監査の公平性・独立性を確保しています。
また、当社全部門が「個人情報保護・情報セキュリティ運用の確認」の自主点検を1年に1回実施しているほか、重要個人情報を取り扱う業務部門では「個人情報保護運用の確認」を1カ月に1回実施するなど、運用状況を定期的に確認しています。

サイバーセキュリティ

サイバー攻撃手法の多様化に伴い、インシデントの発生源や影響が拡大する中、こうしたリスクに対応するため、当社は、これまでのOA(オフィスオートメーション)で利用する社内IT環境対策が中心であったセキュリティリスクマネジメントの範囲を拡大し、製品・サービスをつくり出すための開発・検証環境や生産・製造環境、サプライチェーンや製品・サービスの開発プロセスに対しても対象を広げ、事業のリスク低減に取り組んでいます。

サイバーセキュリティマネジメント

当社は、社内IT環境に関するぜい弱性対策やネットワークセキュリティなどの基準を定め、対策状況の定期的な確認を行い、各機器のぜい弱性対策状況の監視とユーザーや管理者へのフォローアップを行う取り組みを実施しています。
開発・検証環境、生産・製造環境においては、各環境のセキュリティ遵守のための環境構築や運用に関する基準やガイドラインを整備し、ガイドラインに基づいた対応を進めています。また、調達パートナーに対しては、日立グループとして定めている情報セキュリティ要求基準を共有し、連携してセキュリティを強化しています。
製品・サービスについては、製品・サービスのセキュリティを対策・維持するためのマネジメント指針を策定し、この指針に基づいた対応を進めています。また、ぜい弱性やインシデントが発生した際の有事対応を行うために、製品・サービスに関するセキュリティ技術対応を担うPSIRT*1を設置し、製品・サービスにおけるぜい弱性やインシデントレスポンスへの適切な対処を行っています。
さらに、3つのディフェンスライン(three lines of defense)のコンセプトに基づき、開発・検証環境、生産・製造環境、製品・サービスを対象に、セキュリティ対策を維持していくための仕組みの構築を実施しています。まず、第1のディフェンスラインとして、当社セキュリティ部門によるガイドライン・マネジメント指針に適合しているかどうかの自己点検を実施し、第2のディフェンスラインとして、日立のセキュリティ部門がこの自己点検結果をモニタリング、最後に第3のディフェンスラインとして、日立の監査部門がモニタリング実施状況を確認します。

サイバーセキュリティ監視

世の中ではサプライチェーン攻撃やゼロデイ攻撃、ランサムウェア攻撃など多岐にわたるサイバー攻撃が確認されています。その中で、当社は、EDR*2による機器の動作監視や、認証保護のための監視、攻撃対象領域の堅牢化のためのEASM*3を実装し、サイバー監視強化を図っています。
日立のセキュリティオペレーションセンター(SOC*4)による24時間365日のセキュリティ監視を受けています。

  1. *1

    PSIRT(Product Security Incident Response Team)

  2. *2

    EDR(Endpoint Detection and Response):コンピュータなどのエンドポイントデバイスにおける不審な動作や攻撃を監視し、迅速な対応を行うためのシステム

  3. *3

    EASM(External Attack Surface Management):インターネットなどの外部に公開されている、攻撃を受ける対象となりうる資産を把握し管理するためのシステム

  4. *4

    SOC(Security Operation Center)

データプロテクションの取り組み

デジタルテクノロジーの進展に伴いグローバルでのデータの利活用が急速に進む中、個人情報の保護や国境を越えたやり取りへの関心も高まっています。そのような環境の中、当社はお客さまからお預かりした個人情報や、事業運営に関わる個人情報を確実に管理するため、個人情報保護の取り組みを重視しています。「安心・信頼を提供する」、「個人の権利を大切にする」という個人情報保護に関するビジョンを定め、グローバル社会の一員として個人情報保護に取り組んでいます。

個人情報保護の取り組み

当社は、「個人情報保護方針」を定め、役員および従業員に周知するとともに一般に広く公表しています。
また、当該方針に基づいて構築した、個人情報保護マネジメントシステムにより、個人情報の適切な管理、全従業員を対象とする教育および定期監査などを実施し、個人情報の保護に努めています。
事前の同意を得ずに、個人情報を第三者に提供することはなく、事前の同意をいただいた場合には、データを提供する第三者に対して、当社の個人情報保護方針の遵守を求めています。

個人情報保護方針

プライバシーマークの取得

当社は、個人情報保護に関する第三者認証であるプライバシーマーク*1を取得しています。

プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)

プライバシー保護の取り組み

当社は、プライバシー保護対策に対する社会的要請から、プライバシー保護と個人データ活用を両立することで、より適切で高品質なサービスや製品を提供し、消費者をはじめとするステークホルダーとの信頼を醸成することをめざしています。
当社では、日立プライバシー保護(PIA*2)制度を導入し、個人データを取り扱う業務においてプライバシー影響評価を実施することで、プライバシーに関わる問題の発生を防ぐための対策を講じています。

グローバルな個人情報保護関連法制度への対応

プライバシーリスクの高まりを受け、世界各国・地域で関連法制度の制定・改定の動きが活発になっています。当社は、法制度の遵守を徹底し、関連法制度や社会動向をモニタリングして、適切な措置を講じています。
日本国内では、改正個人情報保護法における漏えいなどの報告、本人への通知の義務化に対応し、万が一、個人の権利・利益を害するおそれがある漏えいが発生した場合には、速やかに個人情報保護委員会へ報告し、本人に通知します。
また、欧州一般データ保護規則(GDPR*3)をはじめとする、海外の関連法制度に配慮したグループ共通のプライバシー保護に関する行動規範を制定し、2022年4月より施行しています。

  1. *1

    プライバシーマーク:外部審査機関が適切に個人情報の安全管理・保護措置を講じていると認めた事業者に付与する第三者認証(付与機関:一般財団法人日本情報経済社会推進協会)

  2. *2

    PIA (Privacy Impact Assessment)

  3. *3

    GDPR (General Data Protection Regulation)

This article is a sponsored article by
''.