情報セキュリティ・個人情報保護

情報セキュリティの徹底

日立建機では、執行役社長がISMS*の実施および運用に関する責任および権限をもつ情報セキュリティ統括責任者を任命しています。情報セキュリティ統括責任者を委員長とする「情報セキュリティ委員会」が、情報セキュリティと個人情報保護に関する取り組み方針、各種施策を決定しています。決定事項は「情報セキュリティ委員会」を通じて各部署および日立建機グループ会社に伝達し、情報セキュリティ責任者が職場に徹底しています。

* ISMS(Information Security Management System):情報セキュリティマネジメントシステム

日立建機グループでは、情報セキュリティと個人情報保護の取り組みにおいて、特に次の2点を重視しています。

    1. 事故発生時の迅速な対応
      情報資産を明確にし、脆弱性評価とリスク分析に基づいて情報漏えい防止施策を実施しています。事故は「起きるかもしれない」という考え方を一歩進めて、「必ず起きるものだ」という前提に立って、緊急時のマニュアルを作成し、対応しています。
    2. 従業員の倫理観とセキュリティ意識の向上
      担当者向け、管理者向けなど階層別にカリキュラムを用意し、eラーニングによる全員教育などを通じて倫理観とセキュリティ意識の向上を図っています。また、自己監査を通じて問題点の早期発見と改善にも取り組んでいます。

情報資産保護の基本的な考え方

守るべき情報資産

  1. 守るべき資産の明確化
    • 情報資産の洗い出しおよびリスク分析
  2. 利用者リテラシーの向上
    • セキュリティ教材の整備
    • 管理者、従業員に対する教育
  3. 施策の整備
    • 管理的施策の徹底
    • 技術的施策の導入
  4. 情報セキュリティ体制の確立
    • 規則体系(セキュリティポリシー)の整備
    • 管理体制の整備
    • 監査、フォロー体制の確立
    • 予防プロセスと事故対応プロセスにおけるPDCA サイクル拡充によるフィードバックの徹底

情報セキュリティ教育の実施

情報セキュリティの水準を維持していくためには、一人ひとりが日々の情報を取り扱う際に必要とされる知識を身につけ、高い意識をもつことが重要です。日立建機では、全ての役員、従業員、派遣社員などを対象に、情報セキュリティおよび個人情報保護に関するeラーニングによる教育を毎年実施しています。

そのほかにも、新入社員、新任管理職や情報システム管理者などを対象とした多様な教育プログラムを用意し、情報セキュリティ教育を実施しています。また、最近増加している標的型攻撃メールなどのサイバー攻撃への教育として、実際に攻撃メールを装った模擬メールを従業員に送付し、受信体験を通してセキュリティ感度を高める「標的型攻撃メール模擬訓練」を2014 年から実施しています。

日立建機の教育コンテンツは日本国内外のグループ会社に公開しており、日立建機グループ全体として情報セキュリティ・個人情報保護教育に積極的に取り組んでいます。2018 年度以降も引き続き、各種教育プログラムを継続的に実施するとともに、従業員の要望に応じてe ラーニング教材の充実を図っていく予定です。

情報漏えいの防止

日立建機では情報漏えいを防止するために「機密情報漏洩防止三原則」を定め、機密情報の取り扱いに細心の注意を払い、事故防止に努めています。
万が一、事故が発生した場合は、迅速にお客様に連絡し、日立製作所に届け出るとともに、事故の原因究明と再発防止対策に取り組み、被害を最小限に留めるよう努めています。

情報漏えい防止の具体的施策として、暗号化ソフト、セキュアなパソコン、電子ドキュメントのアクセス制御、認証基盤の構築によるID 管理とアクセス制御、メールやWeb サイトのフィルタリングシステムなどをIT 共通施策として実施しています。昨今多発している標的型メールなどのサイバー攻撃に対しては、IT 施策においても防御策を多層化(入口・出口対策)して対策を強化しています。

また、サプライヤーと連携して情報セキュリティを確保するため、機密情報を取り扱う業務を委託する際には、日立建機が定めた情報セキュリティ要求基準に基づき、調達取引先の情報セキュリティ対策状況を確認・審査しています。さらに、サプライヤーからの情報漏えいを防止するために、サプライヤーに対して、情報機器内の業務情報点検ツールとセキュリティ教材を提供し、個人所有の情報機器に対して業務情報の点検・削除を要請しています。

機密情報漏えい防止3 原則

原則1  機密情報については、原則、社外へ持ち出してはならない。
原則2  業務の必要性により、機密情報を社外へ持ち出す場合は、必ず情報資産管理者の承認を得なければならない。
原則3  業務の必要性により、機密情報を社外へ持ち出す場合は、必要かつ適切な情報漏えい対策を施さなければならない。

情報セキュリティ管理をグローバルに展開

日本国外のグループ会社については、国際規格であるISO/IEC 27001 に則った「グローバル情報セキュリティ管理規程」に基づき、情報セキュリティ管理の強化に努めています。

日本の親会社から日本国外のグループ会社に対してビジネスチャネルによる展開を行うとともに、日立製作所が展開する米州、欧州、東南アジア、中国、インドなどの地域統括会社によるサポートとセキュリティシェアドサービスの利用を積極的に活用することで、セキュリティ対策の徹底を図っています。

情報セキュリティ監査・点検の徹底

日立建機の情報セキュリティは、日立製作所が定めた情報セキュリティマネジメントシステムのPDCA サイクルにより推進しています。日立建機では、グループ会社および部門で年に1 回、情報セキュリティおよび個人情報保護の自己監査を実施しています。

日本国外のグループ会社についてはグローバル共通のセルフチェックを実施し、日立建機全体として監査・点検に取り組んでいます。また、職場での自主点検として、「個人情報保護・情報セキュリティ運用の確認」を1 年に1 回実施しています。

当WebサイトはCookieを利用しています。

当Webサイトの利用により、お客様は当社および第三者がCookieを利用することに同意したとみなします。Cookieに関する詳細は「個人情報保護方針に関して」をご一読ください。