情報セキュリティ
キヤノンマーケティングジャパングループ(以下「キヤノンMJグループ」)は、お客さまの課題をICTと人の力で解決する事業活動を通じて安心・安全でサステナブルな社会の実現に貢献するため、「情報セキュリティ」の基盤強化に取り組んでいます。サイバー攻撃などの情報セキュリティリスクへの対策や、事業活動で用いる情報資産の適切な取り扱いを重要な経営課題と捉え「ISMS適合性評価制度」や「プライバシーマーク制度」といった第三者認証を活用し、継続的な改善に努めます。
情報セキュリティの推進フレームワーク
キヤノンMJグループでは、「情報セキュリティ」を重要な経営課題の一つと認識し、経営層による情報セキュリティガバナンスのもと情報セキュリティマネジメントを推進しています。また「情報セキュリティ」を、お客さまへの価値提供プロセスの品質をより良いものにするための〝顧客満足度の向上を支える業務改善活動“ととらえて、成熟度の向上に努めています。
情報セキュリティ推進フレームワークの図
きめ細かい情報セキュリティマネジメント推進
キヤノンITソリューションズグループ(以下、キヤノンITSグループ)は、毎年、階層ごとに情報セキュリティ目標を設定し情報セキュリティマネジメントを推進しています。これにより、キヤノンITSグループ全体にかかわるセキュリティリスクへの対応と部門ごとのセキュリティリスクや機会への対応を行っています。
各部門には「情報セキュリティ推進者」を配置し、情報セキュリティ上の重要事項の部門内周知を行うほか、情報セキュリティインシデント発生時の一次対応、各部門の情報セキュリティ目標を達成するための活動を行い、その内容や結果を責任者に報告しレビューを受けています。また、全社で実施する職場単位のミーティングにおいて、職場での情報セキュリティルールの遵守状況の確認を行い、 重大インシデントの予防につなげています。
情報セキュリティインシデント管理への取り組み
キヤノンITSグループでは、情報セキュリティインシデント対応を迅速に行い関係者とリアルタイムに情報共有するためのシステムとして「インシデント管理システム」を運用しています。
このシステムにより、情報セキュリティインシデントの再発防止や是正対策の有効性の確認まで抜けもれなく対応します。
情報セキュリティインシデント発生状況
2021年度~2023年度においてキヤノンITSグループで発生した情報セキュリティインシデント発生件数は以下の通りです。
| 年度 | 件数 |
|---|---|
| 2021年度 | 19件 |
| 2022年度 | 32件 |
| 2023年度 | 13件 |
2023年度は対前年で件数が19件減少しました。種類別の傾向として、電子メールによる機密情報誤送信(対前年‐6件)や、ルール違反(同‐9件)が大幅に減少しました。一方で情報資産の紛失・盗難(同-2件)はあまり減っていない傾向であり、お客様へ一時的にご心配をおかけしたケースも含まれます。いずれも軽微なインシデントではありましたが、場合によってはさらに深刻なご迷惑をおかけしかねないものであることを重く受け止めています。インシデント件数が減少したことに油断せず、全てのインシデントについて原因究明および有効な再発防止の策定と実施をもれなく行い、運用の改善につなげています。
情報セキュリティ内部監査
毎年、キヤノンITSグループの各部門を対象に、インシデント発生状況や情報資産の保有状況から高リスクが想定される部門を優先的にサンプリングし、情報セキュリティ内部監査を実施しています。内部監査において不適合または観察事項が検出された場合には、部門責任者によるレビュー・承認に基づく是正措置を実施し、継続的改善を図っています。2023年度の内部監査結果は以下の通りです。
| 期間 | 2023年9月12日(火)~ 11月15日(水) |
|---|---|
| 対象 | ・キヤノンITSグループ(ISMS認証取得会社)からサンプリングした26部門 ・ISMSクラウドセキュリティ認証の登録組織7部門(新規拡大予定部門を含む) |
| 監査チーム | 4名 |
| 監査結果 | 不適合:0件、観察事項:51件 |
内部監査の結果、不適合は検出されませんでした。観察事項は51件検出されていますが、いずれも運用上の軽微なエラーを指摘するものでした。被監査部門では指摘内容をもとに今後の運用の改善を図っていきます。
委託先管理の取り組み
キヤノンITソリューションズ株式会社(以下キヤノンITS)は、委託先や派遣会社等のパートナー企業と日々協働することにより、お客様へのソリューションを創造しています。
特に開発案件を委託する委託先に対しては、委託業務に必要となる機密情報・個人情報を提供する可能性を踏まえ、委託先における情報セキュリティルールの整備と運用状況を評価・確認し、技術力の観点のみならず、情報セキュリティの観点でも安全な委託先を選定しています。
また委託先だけでなく派遣会社も対象とした説明会を開催し(※)、情報セキュリティをめぐる最新動向や当社における環境認識・インシデント事例等を共有し、情報セキュリティの重要性についての理解をより深める活動を行っております。
- (※) 感染症拡大防止の観点から2020年度は開催なし、2021年度以降は資料を配布する形式にて実施。