情報セキュリティ

さまざまな情報リスクに対し、実効性のある管理体制を整えています

マネジメント・アプローチ

情報管理体制事業所ごとに責任者を配置した情報管理体制を構築

社長が委員長を務める「CSR委員会」を頂点とし、情報セキュリティ部会配下に設けられた「ネットワーク管理センター」が監視システムを構築して情報の監視と記録を行い、さらに各事業所に1名以上の情報システム管理者を配置した、グループを包括する情報管理体制を構築しています。組織変更や情報システム管理者に異動があった場合でも、名簿管理システムによって、各事業所の情報システム管理者の有無を常に把握しています。

  • 8-006

情報セキュリティ体制図

情報システム管理者の役割

  • ウイルス対策等の情報セキュリティ対策全般
  • 情報システム、パソコン、ソフトウェア等の管理および安定運用
  • ネットワークに関わる管理全般
  • 各社・各部署における、社員に対する情報システムの適正利用に関する指導
  • その他、情報システムに関わる事象全般の連絡窓口、対応作業実施

情報漏えいリスクへの対策システムと人の両面から万全の対策を実施

個人情報を含むお客様の情報および機密を含む社内情報の安全を確保するため、システムと人的対策の両面から万全の対策を講じています。外部からの脅威に対しては、ネットワーク管理センターが中心となり、新たに感染が報告されたウイルスや標的型メールなどの新しい脅威を常に把握して、適切な対策を迅速に実施するとともに、e-ラーニングによる従業員の教育や監査を行うことで未然防止を図っています。
また、2か月に1度情報セキュリティ部会を開催してリスク対策の評価を行うとともに、情報セキュリティに関する活動報告を毎会実施しています。

主なシステム(ハード)対策

  • 外部のネットワークと社内のイントラネット及び制御系ネットワークをファイヤーウォールで完全に分離
  • ネットワーク管理センターによる情報の監視と記録
  • すべてのサーバとPCには次世代のウイルス対策およびログの収集・分析を実施
  • 複数メールフィルタによるBEC(Business Email Compromise ビジネスメール詐欺)対策強化と私物デバイスの業務 利用禁止

主な人的(ソフト)対策

  • 国内外の事業所に対し、適宜セキュリティ監査を実施
  • 国内主要事業所の入退室ID認証およびログイン時の第二認証(イメージ認証等)の採用
  • 定期的なe-ラーニングの実施(合格しないとネットへの接続不可→国内のみ)

自然災害リスクへの対策耐震・免震等の災害対策とシステムの分散化・二重化も実施

大地震等で基幹システムがダメージを負った場合でも業務が継続できるよう、契約しているデータセンターに耐震・免震等の災害対策が施されていることを確認しています。さらに、データセンターを複数か所に分散設置することで、万が一特定のデータセンターが使用不能になっても業務が滞ることがない体制を構築しています。また、重要業務システムの完全二重化により、業務の完全復旧までのリードタイム短縮を図っています。

個人情報の保護

お客様の個人情報について「個人情報保護方針」を策定して当社のWebサイト上で公表しています。この方針に基づいて個人情報に関する法令や規範を遵守するとともに、自主的なルール・体制を構築して適切な保護に努めています。

主な取り組み

セキュリティ対策の高度化CSIRT構築の取り組み開始

セキュリティ対策レベルの把握と高度化に向け、第三者によるアセスメントを実施し、継続性を意識した組織的なプロセスやルールの策定を推進しています。
サイバーセキュリティは全社で取り組むべき事項であるため、2018 年度は経営幹部向けに近年のサイバーセキュリティ動向と強化策に関するワークショップを行いました。
また、情報システムグループを管掌する執行役員を統括責任者としたCSIRTを構築するための取り組みに着手しました。CSIRT の設置により、ステークホルダーに対するサイバーセキュリティ対策の説明責任を果たすとともに、経済産業省が定めた「サイバーセキュリティ経営ガイドライン Ver.2」に沿ったサイバーセキュリティ対策を推進することを明確化しました。

  • CSIRT( シーサート)は「、Computer Security Incident Response Team」の略。企業等の組織内でコンピュータセキュリティインシデントに関する報告の受け取り・調査・対応活動等を担う専門チームの総称。