CSR ACTIVITIESCSR活動

CSRレポート 2017
情報セキュリティ

お客様よりお預かりする情報には、試験問題や発売前の製品情報、金融商品情報など、取り扱いに注意を要するものが多数あります。このような重要な情報を安心して預けていただけるよう、情報セキュリティに力を入れて取り組んでいます。

プライバシーマークとISO27001(ISMS)に基づいたマネジメントシステム

日経印刷が取り扱う情報には、お客様よりお預かりする印刷物の内容とそれに付随する情報はもちろん、製品を全国に発送するためのお届け先リストやお客様の個人情報があります。また自社内の情報として、従業員の健康診断結果や給与情報などの個人情報も管理する必要があります。

このような情報を適切に管理するために、2006年にプライバシーマーク(通称:Pマーク)*1を、2009年にはISO27001(ISMS)*2認証を取得しました。この2つの認証制度に基づいたマネジメントシステムを構築・運用することにより、情報の取り扱いにおいても信頼される会社を目指しています。

*1 プライバシーマーク(Pマーク)…全事業所にて認定

個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。個人情報の保護を目的としています。

*2 ISO27001(ISMS)…本社及びグラフィックガーデンにて認証取得

事業者が保有する情報にかかわるさまざまなリスクを適切に管理し、組織の価値向上をもたらす国際規格です。企業が取り扱う情報の適切な管理を規定するものです。

BCP(事業継続計画)への大きな1歩

IT基盤のほとんどを集約しているグラフィックガーデンが停電や洪水などにより機能を失うと、業務に支障をきたしてしまいます。そのため、2014年にDR(ディザスタ・リカバリ:災害からの回復措置、被害を最小限に抑える予防措置)拠点として沖縄にデータセンターを構えました。

既に基幹システム(PrintStation2)のDR対応を開始しており、2016年にはEメールやWebDAVサーバなどのバックアップの運用を開始しました。

データセンター

大切なデータや情報を守るために

日経印刷では、作成する印刷物だけでなく、その制作過程におけるデータのやり取り経路・手段や社内での取り扱いにおいてもお客様に安心していただけるセキュリティが必要だと考えます。

まずデータのやり取りでは、監査ログが取得できないデータ交換サイトを利用したデータのやり取りを禁止し、WebDAVサーバと日経印刷セキュアファイル転送(Nikkei Secure File Transfer)という2つのソリューションを使用しています。どちらも通信経路の暗号化やユーザ認証、監査ログが必須であり、大切なデータの安全な受け渡しが可能です。その他にも、Eメールやインターネットからウイルス感染を防ぐため、システム面での各種セキュリティ施策を実施しています。

また、社内ルールで「極秘」「機密」レベルに設定された業務においては、作業担当者を限定して作業を行っています。さらに案件ごとにアクセス制御された専用フォルダの使用や原稿保管キャビネットの施錠、印刷物保管場所への入室制限などをおこない、情報の流出を防いでいます。

これらの取り組みは「情報セキュリティ管理策規定」でルールとして規定され、全社員が情報セキュリティを意識しながらスムーズに運用できる仕組みを実現しています。

サーバ、ファイル転送によるデータ受け渡しのしくみ

WebDAVサーバ

WebDAVイメージ図

日経印刷セキュアファイル転送

SFTイメージ図

業務と一体化した情報セキュリティ体制

業務上の指揮系統と情報セキュリティ体制を同一にすることで、業務と一体化した組織体制を構築しています。また、毎月1回情報管理担当者が職場内を巡回して“ヒヤリ・ハット”(小さなルール違反や不具合)の検出を行い、「情報管理担当者会議」で具体的な対策が検討・立案されます。「情報管理委員会(経営会議)」で承認されると社内ルールとして展開されます。

これ以外にも、事故(インシデント)発生時の対応手順等を明文化した「緊急事態対応規程(情報)」や、社外からの問い合わせや苦情等の対応手順を記載した「問い合わせ対応手順書」を整備することで、万一のトラブル発生時にも対応できるような体制を整えています。

情報管理体制図

情報管理体制図

物理的対策(盗難や災害から守る)

  • 4つのセキュリティレベルに分けた入退室管理
  • ICカードと電気錠による入館(室)制限
  • 各種センサーを配した機械警備(警備会社と契約)
  • クリアデスクおよびクリアスクリーンの徹底
  • 重要な情報を含む媒体を一時保管するための鍵付きキャビネットの設置
  • 免震装置の設置(サーバルーム)
  • 無停電装置の設置(サーバルーム)
  • ハロゲン化物を使用した自動消火装置の設置(サーバルーム)

入退出の様子

入退出の様子

ICカードによる入出制限。権限設定により入れるエリアが決められています。

技術的対策(ハッキングやウイルスから守る)

  • ID&パスワードによるアクセス制限
  • アクセスログの取得
  • ファイアウォールの設定
  • ウイルス対策ソフトの導入
  • 監視システムの導入

この他、パソコンからのデータの書き出し制限やソフトのダウンロード制限等を実施しています。

教育によるセキュリティの向上

どんなにしっかりしたルールであっても、それを運用する人の意識が低かったり、知識が乏しかったりすると、そのルールは“絵に描いた餅”になってしまいます。そのため、パート・アルバイトを含む全従業員を対象に、年1回以上の情報セキュリティ定期教育を実施しています。

定期教育は部署単位で実施しており、全社共通のルールに加え、その部署特有の手順についても教育を行っています。さらにその教育内容が理解されたかどうかを確認するために「理解度テスト」を実施し、全体のレベルアップを図っています。また、情報セキュリティに関する意識を高める意味を含め、「業務上知り得た情報は外部へ漏らさない」などの誓約を含んだ「守秘義務誓約書」を全従業員が提出しています。

安心・安全な仕事環境を支える自社開発の基幹システム

情報は「守る」ばかりではなく、活用しなければ意味がありません。大事なのは、利用目的の範囲内で、必要な時に、正確な情報を利用できることです。日経印刷では基幹システム「PrintStation2」を自社で開発し、お客様からいただいたお仕事の受注情報はもちろん、購買品管理や従業員情報の管理に活用しています。

これからも、情報セキュリティの質を上げていくことで、お客様からの信頼に応えてまいります。