当社は、当社が保有する情報資産を適切に管理し保護することが重要な経営課題であることを認識し、情報セキュリティ方針を定め体制・規程の整備および各種施策の徹底に取り組み、情報セキュリティの継続的な維持に努めています。
株式会社日立社会情報サービスおよび沖縄日立ネットワークシステムズ株式会社は、情報セキュリティマネジメントシステム(ISMS)を構築し、国際規格であるISO/IEC27001の認証を取得しています。
登録番号 :JQA-IM1530
登録日 :2018年7月27日
(他審査登録機関より移管(初回登録日:2007年2月22日))
登録更新日:2022年4月1日
有効期限 :2025年3月31日
認証基準 :ISO/IEC 27001:2013(JIS Q 27001:2014)
(1) ICTソリューションおよびサービスの設計・開発・保守
(2) アプリケーションプログラムの設計・開発・保守
(3) 製品サポート・テクニカルサービス
(4) コンタクトセンターサービスの提供
(1) 登録事業所
株式会社日立社会情報サービス 本社
(2) 関連事業所
沖縄日立ネットワークシステムズ株式会社 本社
沖縄日立ネットワークシステムズ株式会社 嘉手納開発センター
株式会社日立社会情報サービス 阿佐ヶ谷事業所
当社では、情報セキュリティ責任者を委員長とする「情報セキュリティ委員会」にて、情報セキュリティおよび個人情報保護に関する取り組み方針、各種施策を決定しています。決定事項は各部門およびグループ会社に伝達し、職場に徹底します。
情報セキュリティマネジメントシステム推進体制
当社では、情報セキュリティと個人情報保護の取り組みにおいて、特に以下2点を重視しています。
1.リスクアセスメントの実施と事故発生時の迅速な対応
守るべき情報資産を明確にし、ぜい弱性評価とリスク分析に基づいて情報漏洩防止施策を実施しています。また事故発生時における、緊急時のマニュアル作成と報告ルート体制を整備し対応しています。
2.従業員の倫理観とセキュリティ意識の向上
従業員の倫理観とセキュリティ意識の向上を目的とした集合教育やeラーニング、階層別教育などの全員教育を実施しています。また、認証内部監査を通じて問題点の早期発見と改善に取り組んでいます。
情報セキュリティを維持していくためには、一人ひとりが日々の情報を取り扱う際に必要とされる知識を身につけ、高い意識を持つことが重要です。当社では、グループ会社を含むすべての役員、従業員、派遣社員などを対象に、情報セキュリティおよび個人情報保護について、eラーニングによる教育を毎年実施しています。そのほかにも、対象別・目的別に多様な教育プログラムを用意し、情報セキュリティ教育を実施しています。
また、最近増加している標的型攻撃メールなどのサイバー攻撃への教育として、実際に攻撃メールを装った模擬メールを従業員に送付し、受信体験を通してセキュリティ感度を高める「標的型攻撃メール模擬訓練」を実施しています。
当社では情報漏洩を防止するために、「機密情報漏洩防止3原則」を定め、機密情報の取り扱いに細心の注意を払い、事故防止に努めています。万が一、事故が発生した場合は、迅速にお客さまに連絡し、監督官庁に届け出るとともに、事故の発生原因究明と再発防止策に取り組み、被害を最小限にとどめるよう努めています。
また、サプライヤーと連携して情報セキュリティを確保するため、機密情報を取り扱う業務を委託する際には、あらかじめ当社が定めた情報セキュリティ要求基準に基づき、調達先の情報セキュリティ対策状況を確認・審査しています。さらにサプライヤーからの情報漏洩を防止するために、サプライヤーに対して、情報機器内の業務情報点検ツールとセキュリティ教材を提供し、個人所有の情報機器に対して業務情報の点検・削除を要請しています。
日立社会情報サービスグループとして、毎年、コンプライアンス説明会を実施しています。コンプライアンス全般に関する依頼事項から機密情報管理における留意事項などのプログラムとなっており、説明会後に各社にて当社業務従事者に対し個別教育の実施/完了報告などを実施いただいています。また各社を通じ、当社業務従事者全員に「情報セキュリティハンドブック」を配布しています。
原則1 機密情報については、原則、社外へ持ち出してはならない。
原則2 業務の必要性により、機密情報を社外へ持ち出す場合は、必ず情報資産管理者の承認を得なければならない。
原則3 業務の必要性により、機密情報を社外へ持ち出す場合は、必要かつ適切な情報漏えい対策を施さなければならない。
日立社会情報サービスグループでは、株式会社日立製作所が定めた情報セキュリティマネジメントシステムのPDCAサイクルにより基づき推進しています。すべての部門・グループ会社で、年に1回情報セキュリティおよび個人情報保護の監査を実施しています。
監査は、社長から任命された監査責任者が独立した立場で実施。監査員は自らが所属する部署を監査してはならないと定め、監査の公平性・独立性を確保しています。また、各部では、年間計画に従い、個人情報の保護や情報セキュリティの運用について定期的に自主点検を実施しています。
各種階層別教育
実施時期:2022年4月〜5月
対象:新任課長職、新任技師・主任、総合職編入者、新入社員
受講者数:364名
情報セキュリティ作業環境自主点検
実施時期:(上期)2022年8月(下期)2023年2月
対象:全プロジェクトの作業環境
点検環境数:(上期)824、(下期)812
(e-ラーニング)情報セキュリティ教育
実施時期:2022年10月〜11月
対象:全従業員(派遣契約者含む)
受講者数:2706名
(e-ラーニング)ソーシャルメディア利用のリスク対策教育
実施時期:2022年9月〜10月
対象:全従業員(派遣契約者含む)
受講者数:2685名
個人所有PCなどの業務情報不保持の確認報告
実施時期:2022年10月〜2022年11月
対象者:全従業員(派遣契約者含む)
実施者数:2805名
情報セキュリティ職場教育
実施時期:2022年12月〜2023年1月
対象者:全従業員(派遣契約者含む)
受講者数:2784名
標的型攻撃メール対応模擬訓練
実施時期:2022年12月〜2023年2月
対象者:全従業員(派遣契約者含む)
実施者数:2807名
パートナー各社向けコンプライアンス説明会(情報セキュリティ教育実施依頼)
実施時期:2023年1月
対象:パートナー会社
出席会社数:224社(出席310名)
