情報セキュリティ
DNPは、企業や生活者などからお預かりする情報資産や自らの情報資産を利活用するなかで培ってきた情報セキュリティの技術・ノウハウを強みとし、安全で信頼性が高い製品・サービスを通じて新しい価値を提供していきます。
中長期ビジョン
個人情報をはじめ、多くの情報資産を取り扱う企業の社会的責務として、情報資産の管理と保護のため、万全なセキュリティを確保する。
対応するSDGs
達成状況を測る指標および実績
中長期ビジョン達成状況を測る指標 | 目標値 | 実績 |
---|---|---|
|
|
最新年度実績へ |
マネジメントシステム
マネジメント推進体制
1999年に個人情報保護事務局を設置して以来、国内外で環境変化への対応と、一層の情報セキュリティ施策の強化を図ってきました。現在は全社の統括組織として、本社に情報セキュリティ委員会、情報セキュリティ本部を設置し、事業部・グループ会社への検査・指導を実施しています。同委員長は本社担当常務取締役が務めています。また、事業主体となる事業部・グループ会社それぞれに情報セキュリティ委員会を置き、委員長、個人情報管理責任者(ともに各組織の長が担当)のもとに、教育、セキュリティ区域対策、情報システム対策など、課題ごとに責任者や点検責任者を任命しています。海外グループ会社においても、情報セキュリティ委員会設置を2015年より進めています。
また、2021 年 10 月に、サイバーセキュリティの対応組織としてDNP シーサート(DNP Computer Security Incident Response Team)を本社に設立し、不測事態(インシデント)発生時の事業継続性を維持しています。
DNPはこうしたマネジメント推進体制のもと、「組織的対策」「人的対策」「物理的・技術的対策」を柱として、情報セキュリティ関連の施策を進めています。
組織的対策
社内規定・ルールの整備
個人情報保護については、個人情報保護方針・規程の整備とともに、DNPグループ内での具体的な基準に関する共通ルールを制定しています。情報セキュリティについては、情報セキュリティ基本方針、情報セキュリティ基本規程を整備し、このもとに文書管理、コンピューター利用、外部者立入禁止区域、教育、ウェブサイト、ソーシャルメディアなど10の基準を定めています。新たな脅威、リスクなどへの対応については、速やかな通達、ルール制定・改定を行い、周知徹底をしています。
マネジメントシステムの確立
大日本印刷株式会社は、日本産業規格「個人情報保護マネジメントシステム要求事項」(JISQ15001)に適合した事業者として、2008年7月にプライバシーマークを取得し、法令遵守を徹底するとともに、同規格に準拠したマネジメントシステムの確立を推進しています。また、事業活動上、個人情報を取り扱うすべての事業部・グループ会社で、プライバシーマークや、ISO/IEC27001の認証取得を積極的に進めています。
人的対策
人材育成による情報セキュリティの強化
DNPは、全社員を対象にした教育・研修と、特に情報セキュリティの強化を担当する人材に対する教育・研修を継続的に行っています。また、日本語を含む10カ国語の教材を作成し、全社員に教育の徹底を図っています。情報セキュリティの強化を担当する人材には、集合研修による養成講座を実施し、個人情報保護に関するコンサルティングを行うグループ会社「株式会社シーピーデザインコンサルティング」が、DNPの製品やサービスを題材に実践的なワーキング学習を行っています。
また、 社員各自の通常業務に携わりながら、必要かつ十分なセキュリティ対策を実現できる能力を保有する“プラス・セキュリティ人材”の育成に向けて、メールアドレスを保有する国内・海外の約3万人のDNPグループ全社員に対し、サイバーセキュリティの教育プログラムを実施しています。
物理的・技術的対策
個人情報取り扱い部署での対策
個人情報などを扱う電算処理室などでは、生体認証での入退場管理による部外者の侵入防止、監視カメラの設置による不正行為の牽制、ポケットのない作業着着用によるデータなどの持ち出し防止、記憶媒体の書き出し場所の分離、金属探知機を用いた検査、アクセスログの取得・確認、データ記憶媒体に書き出す作業員の少数化などの対策を実施し、管理をより強化しています。
ICカード社員証を利用した各拠点における対策
DNPは、ICカード社員証を利用したさまざまな情報セキュリティ対策を進めています。社員証を使ってビルや工場に出入りするセキュリティゲートシステムの導入拠点を増やしています。また、複合機の出力時に社員証による認証を必要とすることで、管理者が利用ログをサーバーで一元管理できる機能を追加しています。
情報の安全な受け渡しへの取り組み
社員が電子メールをグループ外に発信する際、誤送信による情報漏洩を防ぐため、宛先確認、送信の一時保留などの機能を持つメール誤送信防止ツールを導入しています。また、顧客企業との個人情報の受け渡しをネットワーク経由で安全に行うシステムを運用しています。
ウェブサイト関連の脆弱性対策
DNPグループが運営する個人情報取り扱い用のインターネットサーバーすべてに対し、年2回、脆弱性検査を実施し、より安全で強固なウェブサイトの構築・運営を行っています。
また、サイバーセキュリティに関するリスクを各種データから客観的に評価・分析して可視化するレーティングサービスを導入し、継続的にモニタリングを実施しています。
業界における情報セキュリティへの取り組みを推進
印刷業界全体の個人情報保護に関するレベルアップを図るため、高度な専門知識を有する社員を一般社団法人日本印刷産業連合会情報セキュリティ部会個人情報保護ワーキンググループに派遣し、個人情報保護の手引き、Q&A、教材などの策定・作成に参画しています(2004年より2名専属)。
DNPの主な取り組み
サイバー攻撃への対応
DNPシーサートによる対応
DNPシーサートは、サイバーセキュリティ全般を担う統括組織として、セキュリティ強化の基本機能に加え、国内外のグループ全体に対して以下の活動を実施していきます。
- ICT インフラを可視化し、セキュリティ脆弱性情報に基づく対策指示と適用状況確認を実施
- 不測事態(インシデント)発生時の対策設計と習熟
- 不測事態(インシデント)発生時の各組織への指示と支援
- サイバーセキュリティに関する教育・演習・啓発
- 内閣サイバーセキュリティセンターや日本シーサート協議会等の外部機関との連携
- サイバーリスク保険の加入・適用
ゼロトラストネットワークの導入
近年は、DXの推進や外部クラウドの利用のほか、コロナ禍で加速したテレワーク導入など、企業活動や人々の暮らしが急速に変化しています。DNPはこうした変化を受け、デジタルネットワーク利用の安全性を高めるため、「何も信頼しない」というセキュリティの考え方である「ゼロトラストネットワーク」を導入し、インターネットアクセスの安全性の強化とパソコンやサーバ等の端末ごとのエンドポイントのセキュリティを強化しました。
引き続き、ゼロトラストの全体像を把握し、アクセス制御、脆弱性管理の強化を行うとともに、24時間365日の監視体制の整備など、ゼロトラストの成熟度を高め、グローバルでのセキュリティ対策強化に取り組んでいます。
標的型攻撃メールへの対策訓練
標的型攻撃メールは10年以上前からある手口ですが、最近はメールの内容がより巧妙化しており、国内外で大きな脅威になっています。これに対してDNPは、海外グループ会社を含め、会社のメールアカウントを持つ全社員等を対象に、年4回の訓練を実施しています。本訓練により、社員が標的型攻撃の特徴を理解し、攻撃メール受信時の適正な対処方法を習得するとともに、標的型攻撃による被害を未然に防止し、情報漏えい等の被害を最小限にとどめています。
サイバー攻撃対策要員の実践型育成
グループ会社のサイバーナレッジアカデミーは、サイバーセキュリティ先進国であるイスラエルの企業、イスラエル・エアロスペース・インダストリーズ(IAI)の訓練システム「TAME Range」を導入し、典型的な攻撃手法から最新のインシデントまで、多様な事例を取り入れた講義・演習を実施しています。
これまでに、DNPグループの対象社員に加え、官公庁をはじめ情報通信・航空・電力業界など約340団体、7,900名以上のセキュリティ担当者に講義と訓練・各種演習を実施し、サイバーセキュリティのスペシャリストを育成しています。 (2024年5月時点)
情報セキュリティマネジメントのグローバル展開
従来、各海外拠点で個別に利用していたシステムから、クラウドを最大限活用した共通のシステムに移行することで、ガバナンスの強化を図っています。これにより、それぞれ環境・文化の異なる国内外の拠点において、DNPグループとしてのセキュリティ基準に準拠していきます。
また、海外グループ会社の情報セキュリティ・マネジメント推進のため、日本語を含む10カ国語で教育ツールを独自に作成し、社員の情報セキュリティリテラシー向上への取り組みをグローバルで展開しています。