情報セキュリティ
キヤノンマーケティングジャパングループ(以下、キヤノンMJグループ)は、サイバー攻撃等を含む情報セキュリティリスクを認識し、事業活動で用いる情報資産の適切な取り扱いを重要な経営課題ととらえ、これを実践するために「情報セキュリティマネジメント」を推進し、継続的改善に努めます。
情報セキュリティの推進フレームワーク
キヤノンMJグループでは、「情報セキュリティ」を重要な経営課題の一つと認識し、経営層による情報セキュリティガバナンスのもと情報セキュリティマネジメントを推進しています。また「情報セキュリティ」を、お客さまへの価値提供プロセスの品質をより良いものにするための〝顧客満足度の向上を支える業務改善活動“ととらえて、成熟度の向上に努めています。
情報セキュリティ推進フレームワークの図
きめ細かい情報セキュリティマネジメント推進
キヤノンITソリューションズグループ(以下、キヤノンITSグループ)は、毎年、階層ごとに情報セキュリティ目標を設定し情報セキュリティマネジメントを推進しています。これにより、キヤノンITSグループ全体にかかわるセキュリティリスクへの対応と部門ごとのセキュリティリスクや機会への対応を行っています。
各部門には、情報セキュリティ推進者を配置しており、情報セキュリティ上の重要事項の部門内への周知を行うほか、情報セキュリティインシデントの一次対応、情報セキュリティ目標を達成するための活動を行い、その内容や結果を責任者に報告しています。また、全社で実施する職場単位のミーティングにおいて、職場での情報セキュリティルールの遵守状況の確認を行い、 重大インシデントの予防につなげています。
情報セキュリティインシデント管理への取り組み
キヤノンITSグループでは、情報セキュリティインシデント対応を迅速に行い関係者とリアルタイムに情報共有するためのシステムとして「インシデント管理システム」を運用しています。
このシステムにより、情報セキュリティインシデントの再発防止や是正対策の有効性の確認まで抜けもれなく対応を行うことが可能です。
情報セキュリティインシデント発生状況
2020年度~2022年度においてキヤノンITSグループで発生した情報セキュリティインシデント発生件数は以下の通りです。
| 年度 | 件数 |
|---|---|
| 2020年度 | 27件 |
| 2021年度 | 19件 |
| 2022年度 | 32件 |
2022年度は対前年で件数が13件増加しました。幸い、いずれのインシデントも外部への発表を要する重大なインシデントには該当しておりません。しかしながらお客様へご心配をおかけしたこと、あるいはさらに深刻なご迷惑をおかけするものに発展しかねないものであることを重く受け止め、これらのインシデント全件について、原因究明および有効な再発防止の策定と実施をもれなく行い、運用の改善につなげています。また、対前年で件数が増加したことは、これまで実施してきた社内での教育や注意喚起等の活動が、結果として効果が薄かったものと捉え、新たな対策を検討し実施してまいります。
情報セキュリティ内部監査
毎年、キヤノンITSグループの各部門を対象に、インシデント発生状況や情報資産の保有状況から高リスクが想定される部門を優先的にサンプリングし、情報セキュリティ内部監査を実施しています。内部監査において不適合または観察事項が検出された場合には、部門責任者によるレビュー・承認に基づく是正措置を実施し、継続的改善を図っています。2022年度の内部監査結果は以下の通りです。
| 期間 | 2022年9月13日(火)~11月17日(木) |
|---|---|
| 対象 | ・キヤノンITSグループ(ISMS認証取得会社)からサンプリングした24部門(全体の約1/3に相当) ・ISMSクラウドセキュリティ認証の登録組織5部門 |
| 監査チーム | 3名 |
| 監査結果 | 不適合:重大0件、軽微4件、観察事項:56件 |
不適合4件についてはいずれも軽微な運用ルール不履行でしたが、放置すると重大な問題につながる可能性があり、速やかに是正に向けた対応を行いました。また観察事項は56件検出されていますが、いずれも運用上の軽微なエラーを指摘するものでした。被監査部門では指摘内容をもとに是正を行い今後の運用の改善を図っていきます。
委託先管理の取り組み
キヤノンITソリューションズ株式会社(以下キヤノンITS)は、委託先や派遣会社等のパートナー企業と日々協働することにより、お客様へのソリューションを創造しています。
特に開発案件を委託する委託先に対しては、「情報セキュリティに関するチェックシート」を用いて、委託先における情報セキュリティルールの整備と運用状況を確認し、技術力の観点のみならず、情報セキュリティの観点でも安全な委託先を選定しています。
また委託先だけでなく派遣会社も対象とした説明会を開催し(※)、情報セキュリティをめぐる最新動向や当社におけるインシデント事例等を共有し、情報セキュリティの重要性についての理解をより深める活動を行っております。
- (※) 新型コロナウイルス感染症拡大防止の観点から2020年度は開催なし、2021年度以降は資料を配布する形式にて実施。
キヤノンITSグループの認証取得情報
| アイテム名 | ISMS認証 | Pマーク認証 |
|---|---|---|
| キヤノンITソリューションズ |  | |
| スーパーストリーム | | |
| クオリサイトテクノロジーズ | | |
| Canon Software America | ||
| Canon IT Solutions (Thailand) | ||
| Material Automation (Thailand) |