ページの本文へ

Hitachi

株式会社 日立ソリューションズ

日立ソリューションズは、社会生活や企業活動を支えるソリューションを提供し、持続可能な社会の実現に取り組んでいます。

情報セキュリティ

基本的な考え方

当社は、世の中のIT基盤とさまざまな社会インフラを支える企業として、お客様に関わる情報を守るために、日立グループのセキュリティポリシーにのっとり、情報セキュリティ対策に真摯に取り組んでいます。

総合的な情報セキュリティ基本方針を定め、情報セキュリティの要素である「機密性」「完全性」「可用性」を守るために、情報セキュリティマネジメントシステムを構築しており、全従業員が情報漏洩防止、および情報システムの保全のための強い意識をもって業務を行っています。

機密情報取り扱いのための各種ルールや、情報システムの技術的な対策、サイバー攻撃によるセキュリティインシデント対応体制を整備し、企業としての社会的責任のひとつとして、また、経営におけるリスクマネジメントの一環として、情報セキュリティ対策を推進しています。

また、個人情報保護方針に基づいて構築した個人情報保護マネジメントシステムを運用し、プライバシーマークを取得、全社一丸となって個人情報の保護とその適切な取り扱いに努めています。

情報セキュリティマネジメントシステム

情報セキュリティマネジメントの

推進体制

全社的な情報セキュリティ統括責任者、および各部署ごとの情報セキュリティ責任者を定め、セキュリティ対策推進の専任部署を設置し、社内の情報セキュリティマネジメントを運用しています。これによるPDCAサイクルで社内の情報管理について常に見直し、継続的な改善を図っています。また当社製品のセキュリティ品質向上についても、専任部署にて推進しています。

情報セキュリティに関する

ルールの整備

情報セキュリティ基本方針の下、当社従業員が守るべき情報セキュリティルールを制定しており、機密情報の取り扱い、PC、携帯電話、スマートデバイスなどのIT機器やネットワーク、クラウドシステムの利用方法を規定し、従業員が業務において守るべき行動基準としています。情報システムやネットワークの管理についても、不正なアクセスによる情報漏洩の防止や、システム保全のための規則を制定しています。また、立ち入り制限区域や入退室の管理、物品の搬出搬入など、物理セキュリティについての規則を定めています。

情報セキュリティに関する

監査

情報セキュリティ対策の状況について、全部署を対象に年1回、社内監査を実施しています。情報セキュリティルールの遵守状況、情報セキュリティマネジメントシステムの運用状況を確認することで、社内の情報管理を健全に保ち、情報セキュリティリスクの顕在化に対しては素早く対策を行っています。

情報セキュリティに関する

教育

情報セキュリティの実現には従業員が高い意識をもって取り組むことが重要です。このため全従業員を対象とした情報セキュリティ教育を年1回以上実施し、情報セキュリティ意識の向上と、ルールの徹底を行っています。また定期的に情報セキュリティ月間を設け、ポスター掲示など各種キャンペーンにより情報セキュリティ対策の定着化を図っています。業務上の注意事項についても随時社内で情報共有し、ヒューマンエラーを抑止するための施策を講じています。

技術的な取り組み

情報インフラとネットワークのセキュリティ対策

社内および在宅勤務での業務のためのネットワーク環境を整備しています。社内ネットワークはインターネットから分離し、社外からの攻撃や不正なアクセスを遮断しています。インターネットを利用するためのルールやフィルタリングその他の技術的な制限を設定し、情報漏洩につながるリスクを排除しています。

社内で利用している情報システムでは利用者認証、アクセス制御を実施し、アクセス権の定期的な見直しにより、適切な情報管理を徹底しています。また重要な情報システムはデータセンタで管理し、さらにログ管理、バックアップ管理などを行うことにより事業継続性を担保、お客様へのサービスが滞らないことを最優先課題として取り組んでいます。また在宅勤務の環境からのアクセスでは、VPN接続と2要素認証にて安全性を確保しています。

PCなど機器のセキュリティ対策

社内で使用するPCには、ウィルス対策ソフト、およびセキュリティソフト「秘文(ひぶん)シリーズ」を導入し、記録媒体への書き出し抑止、ハードディスク暗号化、二重ログイン認証などのセキュリティ対策を実施しています。PCのセキュリティ対策状況は、全社的に監視を行い、対策漏れを防止しています。

また社外で利用するPCは、社内の仮想環境に接続して業務を行い、データの遠隔消去機能にも対応しています。

携帯電話やスマートデバイスについても、安全に利用できるためのセキュリティ機能を導入して利用しています。

製品・サービスにおけるセキュリティ対策

製品、サービスの開発においてもセキュリティ要件を満たし、脆弱性が入り込まないようにするために、セキュリティ設計手順、開発手法を技術者向けに教育し、安全性を確保しています。

またクラウド活用における情報セキュリティガイドラインを作成し、お客様へ安全なサービスを確実に提供できる体制を整えています。社外に提供しているサービスサイトについては、運用ルールを定め、セキュリティ対策および定期的な脆弱性検査を実施しています。

セキュリティインシデントや脆弱性に対する取り組み

ウィルス感染や標的型攻撃メールへの対策

コンピュータウィルスなどマルウェアに感染しないための機器・インターネットの利用ルールを定めています。標的型攻撃やビジネスメール詐欺に対しては、被害にあわないための注意喚起や、全従業員向けの模擬訓練を行っています。社外から不審なメールを受信した場合には、調査チームによる解析を行い、受信者に対応方法を指示する体制を構築しています。

インターネットからのサイバー攻撃への対策

インターネットと社内システムの通信は常時監視し、不審な通信の検知を行っています。またサイバー攻撃によるインシデント発生時の対応手順を定め、対応部署を設置し、被害を最小化するための態勢を整えています。各種のITプラットフォーム、ソフトウェアなどに関する脆弱性情報の収集にも努め、リスクを未然に防止するための施策も整えています。

個人情報保護の取り組み

個人情報保護方針

当社は、個人情報保護の理念を盛り込んだ「個人情報保護方針」に基づいて構築した、日立ソリューションズ個人情報保護マネジメントシステム(個人情報保護の仕組み)を運用しています。全従業員を対象とするeラーニング教育や運用状況に関する定期的監査などを実施し、全社一丸となって、個人情報の保護とその適切な取り扱いに努めています。

個人情報保護の徹底

当社は、情報サービス業におけるリーディングカンパニーとして、自社の技術情報や、お客様からお預かりする情報をはじめ、さまざまな情報を取り扱っています。当社では、これら情報価値を尊重し、情報管理体制の確立とその徹底に努めてきました。その中でも個人情報の保護については、その重要性を十分認識、重視して早くから取り組んできました。1998年(平成10年)には「日立ソリューションズ個人情報保護方針」を制定し、プライバシーマーク※を取得しました。その後も個人情報の適切な管理と取り扱い、全従業員を対象とする教育および定期監査などを実施し、個人情報保護マネジメントシステムの継続的改善に努めています。

また近年は、ITの高度化によるデジタル時代の到来や社会活動の国際化に伴うプライバシーリスクの高まりを受け、世界各国、地域での関連法制度の制定・改定の動きが活発になっています。当社では、欧州一般データ保護規則(GDPR)をはじめとする海外の関連法制度には特段の配慮をして、グローバル全体で法制度を遵守するよう対応しています。

※プライバシーマーク制度 : 外部審査機関が適切に個人情報の安全管理・保護措置を講じていると認めた事業者に付与される第三者認証制度(付与機関:一般財団法人日本情報経済社会推進協会)

たいせつにしますプライバシー

グループ会社の取り組み

当社グループでは、共通の情報セキュリティ目標を掲げ、当社と同等の情報セキュリティ管理体制を設けて、情報セキュリティ対策を推進しています。情報セキュリティマネジメントや、技術的対策の各種ノウハウや脆弱性情報の共有化を進め、緊密な連携のもとに協力して企業価値の向上に努めています。

また国内グループ会社各社でプライバシーマーク認証を取得し、お客様情報の尊重という共通の目標に向かって、グループ一体となって進んでいます。個人情報を取り扱う業務のためのノウハウも各社間で共有し、個人の権利・利益に鋭敏に対応するように従業員の意識を高めています。