情報セキュリティ・個人情報保護

1. 情報セキュリティ・個人情報保護の体制

　日立建機では、執行役社長が情報セキュリティ対策の実施・運用に関する責任および権限をもつ情報セキュリティ統括責任者を執行役の中から任命しています。情報セキュリティ統括責任者を委員長とする「情報セキュリティ委員会」が、情報セキュリティと個人情報保護に関する取り組み方針、各種施策を決定しています。決定事項は「情報セキュリティ委員会事務局」を通じて各部署および日立建機グループ会社に伝達し、情報セキュリティ責任者が職場に徹底しています。

情報セキュリティ体制

2. 情報セキュリティ・個人情報保護の取り組み

２．１　情報資産保護の基本的な考え方

　 （１）守るべき資産の明確化

                  o   情報資産の洗い出しおよびリスク分析

      （２）利用者リテラシーの向上

                  o   セキュリティ教材の整備

                  o   管理者、従業員に対する教育

      （３）施策の整備

                  o   管理的施策の徹底

                  o   技術的施策の導入

      （４）情報セキュリティ体制の確立

                  o   規則体系（セキュリティポリシー）の整備

                  o   管理体制の整備

                  o   監査、フォロー体制の確立

                  o   予防プロセスと事故対応プロセスにおけるPDCA サイクル拡充によるフィードバックの徹底

２．２　情報漏えいの防止

　日立建機では情報漏えいを防止するために「機密情報漏えい防止三原則」を定め、機密情報の取り扱いに細心の注意を払い、事故防止に努めています。

　万が一、事故が発生した場合は、迅速にお客さまに連絡し、事故の原因究明と再発防止対策に取り組み、被害を最小限に留めるよう努めています。

　情報漏えい防止の具体的施策として、暗号化ソフト、セキュアなパソコン、電子ドキュメントのアクセス制御、認証基盤の構築によるID 管理とアクセス制御、メールやWeb サイトのフィルタリングシステムなどをIT 共通施策として実施しています。昨今多発している標的型メールなどのサイバー攻撃に対しては、IT 施策においても防御策を多層化（入口・出口対策）して対策を強化しています。

　また、調達パートナーと連携して情報セキュリティを確保するため、機密情報を取り扱う業務を委託する際には、日立建機が定めた情報セキュリティ要求基準に基づき、調達取引先の情報セキュリティ対策状況を確認・審査しています。さらに、調達パートナーからの情報漏えいを防止するために、調達パートナーに対して、情報機器内の業務情報点検ツールとセキュリティ教材を提供し、個人所有の情報機器に対して業務情報の点検・削除を要請しています。

【機密情報漏えい防止3 原則】

　原則1 　機密情報については、原則、社外へ持ち出してはならない。

　原則2　 業務の必要性により、機密情報を社外へ持ち出す場合は、必ず情報資産管理者の承認を得なければならない。

　原則3　 業務の必要性により、機密情報を社外へ持ち出す場合は、必要かつ適切な情報漏えい対策を施さなければならない。

２．３　情報セキュリティ教育の実施

　情報セキュリティの水準を維持していくためには、一人ひとりが日々の情報を取り扱う際に必要とされる知識を身につけ、高い意識をもつことが重要です。日立建機では、全ての役員、従業員、派遣社員などを対象に、情報セキュリティおよび個人情報保護に関するe-ラーニングによる教育を毎年実施しています。

　そのほかにも、新入社員、新任管理職や情報システム管理者などを対象とした多様な教育プログラムを用意し、情報セキュリティ教育を実施しています。また、最近増加している標的型攻撃メールなどのサイバー攻撃への教育として、実際に攻撃メールを装った模擬メールを従業員に送付し、受信体験を通してセキュリティ感度を高める「標的型攻撃メール模擬訓練」を2014 年から実施しています。

　日立建機の教育コンテンツは日本国内外のグループ会社に公開しており、日立建機グループ全体として情報セキュリティ・個人情報保護教育に積極的に取り組んでいます。

２．４　情報セキュリティ監査・点検の徹底

　日立建機の情報セキュリティは、情報セキュリティマネジメントシステムのPDCA サイクルにより推進しています。日立建機では、グループ会社および部門で年に1 回、情報セキュリティおよび個人情報保護の自己監査を実施しています。

　日本国外のグループ会社についてはグローバル共通のセルフチェックを実施し、日立建機全体として監査・点検に取り組んでいます。また、職場での自主点検として、「個人情報保護・情報セキュリティ運用の確認」を1 年に1 回実施しています。

２．５　情報セキュリティにおけるBCP（IT-BCP）

　日立建機では、近年増加傾向にあるサイバー攻撃や自然災害による被災に備えて、情報セキュリティの事業継続計画（IT-BCP）の構築を推進しています。被災ポテンシャルを減らすための対策としては、グループ会社を含めて、基幹システムの集約、仮想サーバーやクラウドへの移行を進めています。実際に被災した場合の備えとしては、所定の時間内で復旧するための運用設計を行うとともに、年に1回の復旧訓練を実施しています。

　また、サイバー攻撃への耐性を向上させるため、サーバーの堅牢化や工場ネットワークの分離対策を推進しています。

２．６　情報セキュリティ管理をグローバルに展開

　日本国外のグループ会社については、米国国立標準研究所（National Institute of Standards and Technology, NIST）が発行するサイバーセキュリティフレームワークに基づく規定改訂を実施し、サイバー脅威への対応と共に情報セキュリティ管理の強化に努めています。

　日本の親会社から日本国外のグループ会社に対してビジネスチャネルによる展開を行うとともに、セキュリティガバナンスを徹底することで、セキュリティ対策の徹底を図っています。

　日立建機製品の稼働データを含む当社が保有するデータの保護と利活用をグローバルに推進するために、情報セキュリティ委員会の下部組織として、2021年に「製品・サービスデータガバナンス小委員会」を設置し、活動を開始しました。この組織において、グローバルポリシーの策定、製品・サービスに実装するデータ保護措置の統一基準の策定・運用のモニタリング・実効性の評価等に取り組む方針です。

　これらの活動を通じて、データに関する適切なリスク管理とステークホルダーの信頼の確保を図るとともに、データを活用した製品開発やソリューションサービスの提供に、より一層取り組んでまいります。

２．７　サイバーセキュリティ

２．７．１　情報セキュリティ事故の予防

日立建機では、サイバー攻撃や情報漏えいのリスクに対し、強固なセキュリティ対策を実施しています。ネットワーク・サーバ・エンドポイントの各層で適切な防御策を講じるとともに、脆弱性管理や監視体制の強化に取り組んでいます。また、情報資産の保護と業務継続性を確保するため、定期的なリスク評価やセキュリティ対策の見直しを行い、安全なIT環境の維持に努めています。

２．７．２　サイバーセキュリティインシデント対応対策チーム（CSIRT）

　日立建機では、サイバー攻撃の対応を担う専門チーム「日立建機CSIRT」を設置し、平時および有事におけるセキュリティ対策を推進しています。2023年に一般社団法人日本シーサート協議会（NCA）に加盟し、外部CSIRTと連携した活動も行っています。

　平時には、セキュリティ情報の発信、脆弱性対応、システムの監視、教育・トレーニングなどを実施し、社内のセキュリティ強化に取り組んでいます。インシデント発生時には、情報セキュリティ委員会と連携し、迅速な調査・対応・復旧を行うとともに、再発防止策の策定および周知に取り組んでいます。

3. 製品セキュリティに関する取り組み

　当社がお客さまに提供する製品やソリューションに対するセキュリティは、非常に重要なものとなっています。このため、情報セキュリティ委員会と連携する、製品セキュリティ対策事故対応チームを結成しています。製品セキュリティ事故対応チームは、サイバーセキュリティ対策事故対応チームとも緊密に連携しており、どちらかに情報が入った際は、双方に情報連携をしながら、各分野にて対策の推進を行っています。