情報セキュリティ

情報セキュリティの考え方

デジタル化の進展により、新たな価値が生み出される一方で、日々巧妙化するサイバー攻撃による情報漏えいや操業停止など、事業そのものの継続に支障をきたすリスクが大きくなっています。このリスクを最小化するため、情報セキュリティに関わるリスクマネジメントは、企業の最重要課題の一つとなっています。こうした背景の下、日立ビルシステムは、価値創造とリスクマネジメントの両面からサイバーセキュリティ対策に努めることを重要な経営課題の一つと位置づけ、情報セキュリティに取り組んでいます。日立グループは数多くの会社が集まり構成されていることから、One Hitachiのもと、グループ一体となって事業を推進しています。この事業方針と呼応して、情報セキュリティに関しても、One Hitachiとして取り組み、共通の施策に基づいて、一体感と迅速性を重視し、最適なセキュリティ構築を加速させていきます。

情報セキュリティ報告書

情報セキュリティのマネジメント

日立ビルシステムは国際規格であるISO／IEC 27001をもとに、情報セキュリティマネジメントを構築しています。さらに、昨今のサイバー攻撃の激化を鑑み、米国政府基準SP800-171に対応した「情報セキュリティ対策基準」により、情報セキュリティの強化に努めています。本基準を含めた、情報セキュリティ・個人情報保護関連規則を日立ビルシステムおよび各グループ会社に展開しています。

情報漏えいの防止

日立ビルシステムは、情報漏えい防止のために、デバイス暗号化、セキュリティPC、電子ドキュメントのアクセス制御／失効処理ソフト、認証基盤の構築によるID管理とアクセス制御、メールやWebサイトのフィルタリングシステムなどをIT共通施策として実施しています。標的型攻撃メールなどのサイバー攻撃に対しては、多層防御などさまざまなIT対策を強化しています。

また、調達パートナー側からの情報漏えいを防止するために、機密情報を取り扱う業務を委託する際には、あらかじめ日立ビルシステムが定めた情報セキュリティ要求基準に基づき、調達パートナーの情報セキュリティ対策状況を確認・審査しています。さらに、調達パートナーに対して、情報機器内の業務情報点検ツールとセキュリティ教材を提供し、個人所有の情報機器に対して業務情報の点検・削除を要請しています。

情報セキュリティ教育の実施

日立ビルシステムは、すべての役員および従業員を対象に、情報セキュリティおよび個人情報保護について、eラーニングによる教育を毎年実施して、2023年度の受講率は100%（休職者など受講不可能な者を除く）に達しています。その他にも、新入社員、新任管理職や情報セキュリティ実行責任者などを対象とした座学教育など、対象別・目的別に多様な教育プログラムを用意し、情報セキュリティ教育を実施しています。日立ビルシステムの教育コンテンツはグループ内に共有し、グループ全体で情報セキュリティ・個人情報保護教育に積極的に取り組んでいます。

また、日立ビルシステムは、標的型攻撃メールなどのサイバー攻撃に対する教育として、実際に攻撃メールを装った模擬メールを従業員に送付し、受信体験を通してセキュリティ感度を高める「標的型攻撃メール模擬訓練」を実施しています。

情報セキュリティマネジメントの評価とモニタリング

日立ビルシステムの情報セキュリティとデータ保護の活動は、日立ビルシステムが定めた情報セキュリティマネジメントシステムのPDCAサイクルにより推進しており、情報セキュリティとデータ保護に関するマネジメントや対策が各部門で適切に実施されているかを評価・モニタリングするために、定期的な監査や点検を実施しています。

具体的には、日立ビルシステムでは監査部門による監査を定期的に実施し、グループ全体として点検を行うとともに、社内のセキュリティ専門チームによる現場のアセスメントを定期的に行い、情報セキュリティ対策の状況について確認することで、セキュリティリスクの低減活動に取り組んでいます。

日立ビルシステムおよび国内グループ会社の全部門では、年に1回、情報セキュリティおよび個人情報保護の内部監査を実施しています。日立ビルシステムでの内部監査は、取締役社長から任命された監査責任者が独立した立場で実施しています。監査員は自らが所属する部門を監査してはならないと定め、監査の公平性・独立性を確保しています。国内のグループ会社は、日立ビルシステムと同等の内部監査を実施し、その結果を日立製作所が確認しています。

さらに、日立ビルシステムおよび国内グループ会社を対象に、社外に公開しているサーバーなどの外見脆弱性調査を外部機関により四半期に1回実施しています。

加えて、日立ビルシステム全部門においては、個人情報保護運用の自主点検を1年に1回実施しているほか、重要個人情報を取り扱う業務部門では1カ月に1回、業務ごとの運用を確認するなど、運用状況を定期的に確認しています。

データプロテクションの取り組み

デジタルテクノロジーの進展に伴い、グローバルでのデータの利活用が急速に進む中、個人情報の保護や国境を越えたやり取りへの関心も高まっています。そのような環境の中、日立ビルシステムではお客さまからお預かりした個人情報や、事業運営に関わる個人情報を確実に管理するため、個人情報保護の取り組みを重視しています。「安心・信頼を提供する」、「個人の権利を大切にする」という個人情報保護に関するビジョンを定め、グローバル社会の一員として個人情報保護に取り組んでいます。

個人情報保護の取り組み

株式会社日立ビルシステム（以下、当社）は、「個人情報保護方針」を定め、役員および従業員に周知するとともに一般に広く公表しています。また、当該方針に基づいて構築した個人情報保護マネジメントシステムにより、個人情報の適切な管理、全従業員を対象とする教育および定期監査などを実施し、個人情報の保護に努めています。事前の同意を得ずに、個人情報を第三者に提供することはなく、事前の同意をいただいた場合には、データを提供する第三者に対して、当社の個人情報保護方針の遵守を求めています。

グループ会社においても各社の個人情報保護方針に基づき、各国・地域の法令および社会的な要請に合わせた個人情報の保護に取り組んでいます。

プライバシーマークの取得

プライバシー保護の取り組み

日立ビルシステムは、プライバシー保護対策に対する社会的要請から、プライバシー保護と個人データ活用を両立することで、より適切で高品質なサービスや製品を提供し、消費者をはじめとするステークホルダーとの信頼を醸成することをめざしています。

日立ビルシステムでは、2024年度から日立プライバシー保護（PIA）制度を導入し、個人データを取り扱う業務においてプライバシー影響評価を実施することで、プライバシーにかかわる問題の発生を防ぐための対策を講じています。

グローバルな個人情報保護関連法制度への対応

プライバシーリスクの高まりを受け、世界各国・地域で関連法制度の制定・改定の動きが活発になっています。日立ビルシステムは、グローバル全体で法制度の遵守を徹底し、関連法制度や社会動向をモニタリングして、適切な措置を講じています。

日本国内では、改正個人情報保護法における漏えいなどの報告、本人への通知の義務化に対応し、万が一、個人の権利・利益を害するおそれがある漏えいが発生した場合には、速やかに個人情報保護委員会へ報告し、本人に通知します。

また、欧州一般データ保護規則（GDPR）をはじめとする、海外の関連法制度に配慮したグループ共通のプライバシー保護に関する行動規範を制定し、2022年10月より施行しています。さらに、グループ全社で個人データ保護推進責任者を選任し、グローバルで個人情報保護の徹底を図っています。