情報セキュリティ

情報セキュリティの考え方

デジタル化の進展により、新たな価値が生み出される一方で、日々巧妙化するサイバー攻撃による情報漏えいや操業停止など、事業そのものの継続に支障をきたすリスクが大きくなっています。このリスクを最小化するため、情報セキュリティに関わるリスクマネジメントは、企業の最重要の課題の一つとなっています。こうした背景のもと、日立ハイテクは、価値創造とリスクマネジメントの両面からサイバーセキュリティ対策に努めることを重要な経営課題の一つと位置づけ、情報セキュリティに取り組んでいます。対応においては、日立グループ共通のセキュリティ基準に従って対策を実行しています。

情報セキュリティ方針

日立ハイテクは、お客様からお預かりした情報やそれを保管するシステムなどさまざまな守るべき情報資産を保護するために、情報セキュリティに関する方針を定め、その方針に基づき各種規則、推進体制を確立し、情報セキュリティマネジメントに取り組んでいます。

1. 情報セキュリティ管理規則の策定および継続的改善
2. 情報資産の保護と継続的管理
3. 法令・規範の遵守
4. 教育・訓練
5. 事故発生予防と発生時の対応
6. 企業集団における業務の適正化確保

情報セキュリティ体制

情報セキュリティおよび個人情報保護の実施・運用に関する責任・権限をもつ情報セキュリティ統括責任者であるChief Digital Officer（CDO）は、日立ハイテクのすべての製品・サービスや社内設備を対象に情報セキュリティを推進する役割を担っています。情報セキュリティと個人情報保護に関する取り組み方針、各種施策はCDOがトップとなる「情報セキュリティ委員会」が決定し、「情報セキュリティ推進会議」などを通じて、各事業所およびグループ会社に伝達されます。グループ会社でも同様の組織を設け、お互いに連携して横断的な情報セキュリティを推進しています。

情報セキュリティマネジメント

日立ハイテクは国際規格であるISO／IEC 27001を元に情報セキュリティマネジメントを構築してきました。昨今のサイバー攻撃の激化を鑑み米国政府基準SP800-171により規則の見直しを行い、情報セキュリティの強化に努めています。本規則をグローバルに展開するとともに、米州、欧州、アセアン、中国などの地域統括会社によるサポートとセキュリティシェアードサービスの利用を積極的に推進しています。

日立ハイテクは、情報漏えい防止のために、デバイス暗号化、認証基盤の構築によるID管理とアクセス制御、メールやWebサイトのフィルタリングシステムなどをIT共通施策として実施しています。標的型メールなどのサイバー攻撃に対しては、官民連携による情報共有の取り組みに加え、IT 施策でも多層防御などのさまざまな対策を強化しています。また、調達パートナー側からの情報漏えいを防止するために、機密情報を取り扱う業務を委託する際には、あらかじめ日立が定めた情報セキュリティ要求基準に基づき、調達パートナーの情報セキュリティ対策状況を確認・審査しています。

日立ハイテクは、すべての役員および従業員を対象に、情報セキュリティおよび個人情報保護について、eラーニングによる教育を毎年実施しています。2023年度の日立ハイテクにおける受講率は100%（休職者など受講不可能な者を除く）に達しています。その他にも、新入社員、新任管理職や情報システム管理者などを対象とした座学教育など、対象別、目的別に多様な教育プログラムを用意し、情報セキュリティ教育を実施しています。また、標的型攻撃メールなどのサイバー攻撃に対する教育として、実際に攻撃メールを装った模擬メールを従業員に送付し、受信体験を通してセキュリティ感度を高める「標的型攻撃メール模擬訓練」を実施しています。日立ハイテクは、情報セキュリティ・個人情報保護教育に積極的に取り組んでいます。

日立ハイテクの情報セキュリティとデータ保護の活動は、日立が定めた情報セキュリティマネジメントシステムのPDCAサイクルにより推進しており、情報セキュリティとデータ保護に関するマネジメントや対策が各部門で適切に実施されているかを評価・モニタリングするために、定期的な監査や点検を実施しています。日本国外のグループ会社については、グローバル共通のセルフチェックの実施を義務付け、日立ハイテクグループ全体として点検に取り組んでいます。また、全部門が「個人情報保護・情報セキュリティ運用の確認」の自主点検を1年に1回実施しています。更に、日立の取り組みを活用し、情報セキュリティ対策の状況について、社内のセキュリティ専門チームによる現場のアセスメントを定期的に行い、セルフチェックとの乖離を確認することで、セキュリティリスクの低減活動に取り組んでいます。

サイバーセキュリティの取組み

サイバー攻撃手法の多様化に伴い、インシデントの発生源や影響が拡大する中、こうしたリスクに対応するため、日立ハイテクは、今までのOAで利用する社内IT環境の対策が中心であったセキュリティリスクのマネジメント範囲を拡大し、製品・サービスを作り出すための開発・検証環境や生産・製造環境、サプライチェーンや製品・サービスの開発プロセスに対しても対象を広げ、事業のリスク低減に取り組んでいます。

日立ハイテクは、社内IT 環境に関する脆弱性対策やネットワークセキュリティなどの基準を定め、対策状況の定期的な確認と是正を求めています。また、全社共通の施策として、各機器の脆弱性対策状況の監視とユーザ／管理者へのフォローアップを行う取り組みを開始し、適用拡大を図っています。開発・検証環境、生産・製造環境においては、各環境のセキュリティ遵守のための環境構築や運用に関する基準やガイドラインを整備し、日立ハイテクグループ内でガイドラインに基づいた対応を進めています。また、調達パートナーに対しては、日立が定めた情報セキュリティ要求基準を共有し、連携してセキュリティを強化しています。製品・サービスについては、製品・サービスのセキュリティを対策・維持するためのマネジメント指針を策定し、日立ハイテクグループ内でこの指針に基づいた対応を進めています。

日立ハイテクは、グローバル規模のサイバー攻撃の早期検知と迅速な対応のため、日立が運営するキュリティオペレーションセンター（SOC）を活用し、24時間365日のセキュリティ監視、インシデントレスポンスチーム（IRT）による脅威情報の収集・展開とインシデント対応を行っています。サイバー攻撃の手法は年々巧妙化し、検知システムを掻い潜られ、発覚まで長期化して被害が拡大する傾向にあります。その中で、日立ハイテクは、EDR^＊1の導入による機器の動作監視や、認証保護のための監視を実装し、サイバー監視強化を図っています。今後も最新のテクノロジーを取り入れたサイバー監視環境の改善・強化を進めていきます。

データプロテクションの取組み

デジタルテクノロジーの進展に伴いグローバルでのデータの利活用が急速に進む中、個人情報の保護や国境を越えたやり取りへの関心も高まっています。そのような環境の中、日立ハイテクはお客さまからお預かりした個人情報や、事業運営に関わる個人情報を確実に管理するため、個人情報保護の取り組みを重視しています。「安心・信頼を提供する」、「個人の権利を大切にする」という個人情報保護に関するビジョンを定め、グローバル社会の一員として個人情報保護に取り組んでいます。

日立ハイテクは「個人情報保護方針」を定め、役員および従業員に周知するとともに一般に広く公表しています。また、当該方針に基づいて構築した、日立ハイテクの個人情報保護マネジメントシステムにより、個人情報の適切な管理、全従業員を対象とする教育および定期監査などを実施し、個人情報の保護に努めています。事前の同意を得ずに、個人情報を第三者に提供することはなく、事前の同意をいただいた場合には、データを提供する第三者に対して、日立ハイテクの個人情報保護方針の遵守を求めています。グループ会社においても各社の「個人情報保護方針」に基づき、各国・地域の法令および社会的な要請に合わせた個人情報の保護に取り組んでいます。

プライバシーリスクの高まりを受け、世界各国・地域で関連法制度の制定・改定の動きが活発になっています。日立ハイテクは、グローバル全体で法制度の遵守を徹底し、関連法制度や社会動向をモニタリングして、適切な措置を講じています。日本国内では、改正個人情報保護法における漏えいなどの報告、本人への通知の義務化に対応し、万が一、個人の権利・利益を害するおそれがある漏えいが発生した場合には、速やかに個人情報保護委員会へ報告し、本人に通知します。また、欧州一般データ保護規則（GDPR）をはじめとする海外の関連法制度に配慮したグループ共通のプライバシー保護に関する行動規範を制定し、2022年4月より施行しています。

第三者評価・認証

日立ハイテクは、情報セキュリティマネジメントに関する第三者評価・認証の取得を推進しています。日立ハイテクは、一般社団法人情報マネジメントシステム認定センター（ISMS-AC）から情報セキュリティマネジメントシステム国際規格（ISO／IEC 27001）に基づくISMS認証をソリューションセンター部門で取得しています。