メインビジュアル

情報セキュリティマネジメント

基本的な考え方

近年、情報通信技術の発展により情報を取り扱う上での利便性が劇的に向上しています。一方で、誤った情報の取り扱いに加え、サイバー攻撃の巧妙化や在宅勤務の拡大を背景とした情報の漏えい・流出などのリスクも高まり、情報セキュリティ事件・事故の発生するリスクが高まっています。NSKグループでは、これらのリスクを低減するとともに情報セキュリティに関連するさまざまな法規制の強化に対応するため、情報セキュリティマネジメントを重要な経営課題の一つと位置づけて強化に取り組んでいます。情報セキュリティマネジメントの基本となる ISO27001の認証取得の取り組みを進めています。また、高度化するサイバー攻撃に対し、ネットワーク対策をはじめとするより強固な仕組みや組織体制に向けた取り組みも推進しています。

基本方針と管理基準・管理規定

NSKグループは、2003年6月に「NSK情報セキュリティ基本方針」および情報資産管理規程などを整備し、その後もさまざまな情報セキュリティに関する規程を定め、グループ全体の取り組みを強化してきました。2019年6月には、「NSKグループ情報セキュリティ基本方針」を改定し、活動の継続的な改善等を明確にするとともに、具体的な行動指針となる関連規程を再整備しています。

NSKグループの情報セキュリティに関連する主な方針・基準

体制

情報セキュリティマネジメント体制

NSKグループでは、より網羅的な情報セキュリティ強化施策をグローバルに展開していくため、ICT本部の下に情報セキュリティ推進室を設置しております。これは、ICT本部長を執行役が担当することで、情報システムと情報セキュリティを包括的にマネジメントし、利便性の向上とリスク低減のバランスの取れた施策を進めることができる体制となっています。また、取締役会においては、情報セキュリティ施策についての課題を討議し、グループ全体のリスクを監督しています。

情報セキュリティ推進室では、グローバル会議を定期的に開催し、日本、米州、欧州、中国、アセアン・オセアニア、インド、韓国の各地域に設置された情報セキュリティ委員会と強力に連携しながら、NSKグループ全体の情報セキュリティ施策の企画・実行に携わっています。

情報セキュリティマネジメント体制

目標と実績

第6次中期経営計画(2019〜2021年度)目標と2020年度の目標と実績

方針 第6次中期経営計画目標 2020年度目標 2020年度実績
情報通信技術の発展により情報を取り扱う上での利便性に伴うリスクへの対応、関連する法規制への対応強化
⾼度化するサイバー攻撃に対するネットワークの強固な仕組み、組織体制に向けた取り組みの推進
情報セキュリティ基盤強化 ISMS(情報セキュリティマネジメントシステム)のPDCAサイクルを継続 ISMS活動の継続活動を実施
ISO27001認証取得 情報システム部門での認証取得 2020年11月に認証を取得
インシデント対応⼒強化(C-SIRT体制強化) C-SIRT組織を設⽴し、活動を開始 C-SIRTに選任者を任命し、インシデント対応訓練を実施
ID管理・アクセス管理強化 ID管理・アクセス管理システム構築に向けた準備完了 システム構築作業を継続し、本番移行準備を実施

※SIRT:Security Incident Response Teamの頭⽂字をとった略語

情報セキュリティの取り組み

情報セキュリティに関する主な取り組みは以下になります。

  • 情報セキュリティマネジメントの強化
  • 外部専門業者による、インターネット公開システムおよび社内重要システムへの侵入耐性テストの実施
  • インシデント対応態勢の整備
  • NSKで働く役員・従業員・お取引先の情報セキュリティ意識の向上

情報漏えいの防止

NSKグループでは、機密情報の取り扱いに細心の注意を払い、情報漏えいの防止に努めています。セキュリティ強化ツールを全社に展開し、パソコンからだけでなく紙書類などからの情報漏えいなど、リスク低減に取り組んでいます。また、情報資産の機密度に応じて情報を分類し、適切に取り扱うルールを定めています。また、外部専門業者による重要システムのサーバー攻撃に対する侵入耐性テストを実施し、問題点の抽出と対処を継続的に進めています。

インシデントが発生した場合に備えて、迅速かつ適切な対応を行うための体制とマニュアルを整備し、定期的な訓練を実施し、対応態勢の評価と改善を行っています。

情報セキュリティ教育の展開

NSKグループでは、パソコンを利用する全役員・従業員・派遣社員を対象に、eラーニングによる情報セキュリティ教育、情報分類表示および情報の取り扱いルールの遵守状況を問うセキュリティ点検、標的型攻撃対策として、メールによる訓練などを定期的に実施しています。さらには、階層別教育として“役員研修”、“システム担当者向け教育”、“中途採用者向け教育”、“海外赴任前研修”なども実施しています。また、いつでもルールを確認できるよう、“情報セキュリティハンドブック”(日本語・英語・中国語版)を作成し全グループ会社に配布しています。

このほかに、委託事業者がNSK社内で業務を行う際にも“委託事業者へのセキュリティ教育”の実施にも取り組んでおります。

NSK 情報セキュリティハンドブック