全社的な情報セキュリティ統括責任者、および各部署ごとの情報セキュリティ責任者を定め、セキュリティ対策推進の専任部署を設置し、社内の情報セキュリティマネジメントを運用しています。これによるPDCAサイクルで社内の情報管理について常に見直し、継続的な改善を図っています。また当社製品のセキュリティ品質向上についても、専任部署にて推進しています。

情報セキュリティ基本方針のもと、当社従業員が守るべき情報セキュリティルールを制定しており、機密情報の取り扱い、PC、携帯電話、スマートデバイスなどのIT機器やネットワーク、クラウドシステムの利用方法を規定し、従業員が業務において守るべき行動基準としています。情報システムやネットワークの管理についても、不正なアクセスによる情報漏洩の防止や、システム保全のための規則を制定しています。また、立ち入り制限区域や入退室の管理、物品の搬出搬入など、物理セキュリティについての規則を定めています。

情報セキュリティ対策の状況について、全部署を対象に年１回、社内監査を実施しています。情報セキュリティルールの遵守状況、情報セキュリティマネジメントシステムの運用状況を確認することで、社内の情報管理を健全に保ち、情報セキュリティリスクの顕在化に対しては素早く対策を行っています。

情報セキュリティの実現には従業員が高い意識をもって取り組むことが重要です。このため全従業員を対象とした情報セキュリティ教育を年１回以上実施し、情報セキュリティ意識の向上と、ルールの徹底を行っています。また定期的に情報セキュリティ月間を設け、ポスター掲示など各種キャンペーンにより情報セキュリティ対策の定着化を図っています。業務上の注意事項についても随時社内で情報共有し、ヒューマンエラーを抑止するための施策を講じています。

社内で利用している情報システムでは利用者認証、アクセス制御を実施し、アクセス権の定期的な見直しにより、適切な情報管理を徹底しています。また重要な情報システムは堅牢なデータセンターやサービスで管理し、さらにログ管理、バックアップ管理などを行うことにより事業継続性を担保、お客さまへのサービスが滞らないことを最優先課題として取り組んでいます。また、在宅勤務時を含む業務ネットワークからインターネットを利用するためのルール整備やフィルタリングなどの技術的な制限／不正監視などにより、情報漏洩につながるリスクを排除しています。

業務で使用するPCには、マルウェア対策ソフト、記録媒体への書き出し抑止、ハードディスク暗号化、二重ログイン認証などのセキュリティ対策を適用しています。PCのセキュリティ対策状況は、全社的に監視を行い、対策漏れを防止しています。

携帯電話やスマートデバイスについても、安全に利用できるためのセキュリティ機能を導入して利用しています。

製品、サービスの開発においてもセキュリティ要件を満たし、脆弱性が入り込まないようにするために、セキュリティ設計手順、開発手法を技術者向けに教育し、安全性を確保しています。

またクラウド活用における情報セキュリティガイドラインを作成し、お客さまへ安全なサービスを確実に提供できる体制を整えています。社外に提供しているサービスサイトについては、運用ルールを定め、セキュリティ対策および定期的な脆弱性検査を実施しています。

コンピュータウイルスなどマルウェアに感染しないための機器・インターネットの利用ルールを定めています。標的型攻撃やビジネスメール詐欺に対しては、被害にあわないための注意喚起や、全従業員向けの模擬訓練を行っています。社外から不審なメールを受信した場合には、調査チームによる解析を行い、受信者に対応方法を指示する体制を構築しています。

インターネットと社内システムの通信は常時監視し、不審な通信の検知を行っています。またサイバー攻撃によるインシデント発生時の対応手順を定め、対応部署を設置し、被害を最小化するための体制を整えています。各種のITプラットフォーム、ソフトウェアなどに関する脆弱性情報の収集にも努め、リスクを未然に防止するための施策も整えています。

当社は、個人情報保護の理念を盛り込んだ「個人情報保護方針」にもとづいて構築した、日立ソリューションズ個人情報保護マネジメントシステム（個人情報保護の仕組み）を運用しています。全従業員を対象とするeラーニング教育や運用状況に関する定期的監査などを実施し、全社一丸となって、個人情報の保護とその適切な取り扱いに努めています。