メインコンテンツにスキップ

DNP

Global

重点テーマ:情報セキュリティ

情報セキュリティ

基本的な考え方

DNPは、企業や生活者などからお預かりした情報資産や自らの情報資産を利活用するなかで培ってきた情報セキュリティの技術・ノウハウを強みとしています。

多くの情報資産を取り扱う企業の社会的責務を果たすため、情報資産の管理・保護に万全なセキュリティを確保するとともに、安全で信頼性が高い製品・サービスを通じて新しい価値を提供していきます。

方針

推進体制

DNPは、本社に情報セキュリティ委員会および情報セキュリティ本部を設置し、事業部およびグループ会社への検査・指導を実施しています。委員長は本社常務取締役が務めています。

また、事業主体となる事業部・グループ会社それぞれに情報セキュリティ委員会を設置し、各組織の長が委員長および個人情報管理責任者を担当しています。そのもとで、教育、セキュリティ区域対策、情報システム対策などの課題ごとに、責任者や点検責任者を任命しています。海外グループ会社においても、2015年より情報セキュリティ委員会の設置を進めています。

さらに、2021年10 月には、サイバーセキュリティの対応組織としてDNPシーサート(DNP Computer Security Incident Response Team)を本社に設立し、不測事態(インシデント)発生時の迅速な対応と事業継続性の確保に取り組んでいます。

DNPはこうしたマネジメント推進体制のもと、「組織的対策」「人的対策」「物理的・技術的対策」の3つを柱として、予防・検知・対応・復旧の各観点から情報セキュリティおよびサイバーセキュリティ対策を継続的に強化しています。

情報セキュリティ管理体制図。代表取締役を頂点に、企業倫理行動委員会(委員長:専務取締役)、情報セキュリティ委員会(委員長:本社担当常務取締役)で連携。情報セキュリティ委員会内に、情報セキュリティ本部が設置され、本部内にDNPシーサートが設置されています。情報セキュリティ本部は、各事業部・グループ会社の情報セキュリティ委員会で組織され、点検責任者、情報セキュリティ推進室長、情報セキュリティ管理者、教育責任者、セキュリティ区域対策責任者、外部対応責任者、情報システム対策責任者で構成されます。DNPシーサートは、社内機関のSOC(Security Operation Center)とCKA(CYBER KNOWLEDGE ACADEMY)で構成され、各事業部・グループ会社とも連携しています。また、情報セキュリティ委員会は、社外機関の国家サイバー統括室(NCO)、日本シーサート協議会(NCA)、JPCERT/CC、情報処理推進機構(IPA)、日本ネットワークセキュリティ協会(JNSA)等と連携しています。

指標・目標

Ausgehend von seinem grundlegenden Ansatz zur "Informationssicherheit" legt DNP Prioritätsindikatoren und Zielwerte fest und nutzt diese, um kontinuierliche Bemühungen voranzutreiben.

指標 目標値 Ergebnisse des Geschäftsjahres 2025
① 情報セキュリティコンプライアンス評価の実施率
② 個人情報等重点対策実施部門の検査・指導の実施率
③ 情報セキュリティ教育・研修の受講率
④ インターネット公開サイトのセキュリティ脆弱性テスト実施率		 ① 事業部門・グループ会社に対する実施率100%
② 対象部門に対する実施率100%
③ 対象部門による受講率100%
④ 対象サイトに対する実施率100%		 ① 100%(96部門・会社)
② 100%(36回)
③ 100%(受講者数約44,000名)※受講者はサポートスタッフ等含む
④ 100%(実施数397システム)

戦略・リスク管理

DNPは、「セキュリティ・バイ・デザイン」に基づき、企画・設計段階から対策を組み込むとともに、外部機関による客観的評価を活用して有効性を検証し、継続的な改善を図っています。

一方で、DXの進展に伴うAI・データ利活用の拡大や技術革新、地政学リスク等を背景にサイバー攻撃は高度化・巧妙化しており、これらのリスクを完全に防ぐことは困難である認識のもと、インシデント発生を前提としたレジリエンス強化に取り組んでいます。

組織的対策

社内規定・ルールの整備

個人情報保護については、個人情報保護方針・規程の整備とともに、DNPグループ内での具体的な基準に関する共通ルールを制定しています。情報セキュリティについては、情報セキュリティ基本方針、情報セキュリティ基本規程を整備し、このもとに文書管理、コンピューター利用、外部委託および調達、外部者立入禁止区域、教育、ウェブサイト、ソーシャルメディアなど9の基準を定めています。新たな脅威、リスクなどへの対応については、速やかな通達、ルール制定・改定を行い、周知徹底に努めています。

マネジメントシステムの確立

DNP erhielt im Juli 2008 das Privacy Mark als Unternehmen, das die japanische Industrienorm „Anforderungen an Managementsysteme zum Schutz personenbezogener Daten“ (JIS Q 15001) erfüllt. DNP verpflichtet sich zur vollständigen Einhaltung aller Gesetze und Vorschriften und fördert die Etablierung eines Managementsystems, das dieser Norm entspricht. Darüber hinaus streben alle Geschäftsbereiche und Konzerngesellschaften, die im Rahmen ihrer Geschäftstätigkeit personenbezogene Daten verarbeiten, aktiv die Zertifizierung nach Privacy Mark und ISO/IEC 27001 an.

プライバシーマーク・ISO/IEC27001(JISQ27001)認証取得状況

人的対策

人材育成による情報セキュリティの強化

DNPは、DNPグループ全社員から経営層までの階層別教育・訓練を実施し、特に情報セキュリティの強化を担当する人材に対する教育・訓練を継続的に行っています。また、日本語を含む10カ国語の教材を作成し、全社員に教育の徹底を図っています。

また、社員各自の通常業務に携わりながら、必要かつ十分なセキュリティ対策を実現できる能力を保有する“プラス・セキュリティ人材”の育成に向けて、メールアドレスを保有する国内・海外の約3万人のDNPグループ社員に対し、サイバーセキュリティの教育プログラムを実施しています。

業界における情報セキュリティへの取り組みを推進

印刷業界全体の個人情報保護に関するレベルアップを図るため、高度な専門知識を有する社員を一般社団法人日本印刷産業連合会情報セキュリティ部会に派遣し、教材の策定・作成、セミナー開催に参画しています(2004年より2名専属)。

サイバー攻撃対策要員の実践型育成

グループ会社のサイバーナレッジアカデミーは、サイバーセキュリティ先進国であるイスラエルの企業、イスラエル・エアロスペース・インダストリーズ(IAI)の訓練システム「TAME Range」を導入し、典型的な攻撃手法から最新のインシデントまで、多様な事例を取り入れた講義・演習を実施しています。

サイバー攻撃対策要員の実践型育成イメージ図。演習管理システムは、自動攻撃システムを通じてサイバー攻撃を再現し、受講者演習システムにて実践演習を実施し評価します。「自動攻撃システム」では、本物のサイバー攻撃を再現した連続攻撃シナリオによる自動攻撃を行います。「演習管理システム」では、攻撃起動指示を行い、「指導伝達-評価システム」を状況モニタに表示します。「受講者演習システム」(企業内情報システムの再現)では、実践・攻撃への対処を行い対処報告を行います。

これまでに、DNPグループの対象社員に加え、官公庁をはじめ情報通信・航空・電力業界など約410団体、8,900名以上のセキュリティ担当者に講義と訓練・各種演習を実施し、サイバーセキュリティのスペシャリストを育成しています。(2026年5月時点)

物理的・技術的対策

個人情報取り扱い部署での対策

個人情報などを扱う電算処理室などでは、生体認証での入退場管理による部外者の侵入防止、監視カメラの設置による不正行為の牽制、ポケットのない作業着着用によるデータなどの持ち出し防止、記憶媒体の書き出し場所の分離、金属探知機を用いた検査、アクセスログの取得・確認、データ記憶媒体に書き出す作業員の少数化などの対策を実施し、管理をより強化しています。

屋外から建屋内のハイセキュリティゾーンまでのセキュリティに関する物理的対策を図式化した画像です。警備員、セキュリティゲート、監視カメラ、生体認証といった対策が多重に設けられています。

ICカード社員証を利用した各拠点における対策

DNPは、ICカード社員証を利用したさまざまな情報セキュリティ対策を進めています。社員証を使ってビルや工場に出入りするセキュリティゲートシステムの導入拠点を増やしています。また、複合機の出力時に社員証による認証を必要とすることで、管理者が利用ログをサーバーで一元管理できる機能を追加しています。

情報の安全な受け渡しへの取り組み

社員が電子メールをグループ外に発信する際、誤送信による情報漏洩を防ぐため、宛先確認、送信の一時保留などの機能を持つメール誤送信防止ツールを導入しています。また、顧客企業との個人情報の受け渡しをネットワーク経由で安全に行うシステムを運用しています。

脆弱性分析

DNPグループが運営する個人情報取り扱い用のインターネットサーバーすべてに対し、年2回、脆弱性検査を実施し、より安全で強固なウェブサイトの構築・運営を行っています。

また、サイバーセキュリティに関するリスクを各種データから客観的に評価・分析して可視化するレーティングサービスを導入し、継続的にモニタリングと改善を推進しています。

関連施策

サイバー攻撃への対応

DNPシーサートによる対応

DNPシーサートは、サイバーセキュリティ全般を担う統括組織として、セキュリティ強化の基本機能に加え、国内外のグループ全体に対して以下の活動を実施していきます。

  • ICT インフラを可視化し、セキュリティ脆弱性情報に基づく対策指示と適用状況確認を実施
  • 不測事態(インシデント)発生時の対策設計と習熟
  • 不測事態(インシデント)発生時の各組織への指示と支援
  • サイバーセキュリティに関する教育・演習・啓発
  • 国家サイバー統括室や日本シーサート協議会等の外部機関との連携
  • サイバーリスク保険の加入・適用

ゼロトラストネットワークの導入

近年は、DXの推進や外部クラウドの利用のほか、コロナ禍で加速したテレワーク導入など、企業活動や人々の暮らしが急速に変化しています。DNPはこうした変化を受け、デジタルネットワーク利用の安全性を高めるため、「何も信頼しない」というセキュリティの考え方である「ゼロトラストネットワーク」を導入し、インターネットアクセスの安全性の強化とパソコンやサーバ等の端末ごとのエンドポイントのセキュリティを強化しました。

引き続き、ゼロトラストの全体像を把握し、アクセス制御、脆弱性管理の強化を行うとともに、24時間365日の監視体制の整備など、ゼロトラストの成熟度を高め、グローバルでのセキュリティ対策強化に取り組んでいます。

標的型攻撃メールへの対策訓練

標的型攻撃メールは10年以上前からある手口ですが、最近はメールの内容がより巧妙化しており、国内外で大きな脅威になっています。これに対してDNPは、海外グループ会社を含め、会社のメールアカウントを持つ全社員等を対象に、年4回の訓練を実施しています。本訓練により、社員が標的型攻撃の特徴を理解し、攻撃メール受信時の適正な対処方法を習得するとともに、標的型攻撃による被害を未然に防止し、情報漏えい等の被害を最小限にとどめています。

情報セキュリティマネジメントのグローバル展開

従来、各海外拠点で個別に利用していたシステムから、クラウドを最大限活用した共通のシステムに移行することで、ガバナンスの強化を図っています。これにより、それぞれ環境・文化の異なる国内外の拠点において、DNPグループとしてのセキュリティ基準に準拠していきます。

また、海外グループ会社の情報セキュリティ・マネジメント推進のため、日本語を含む10カ国語で教育ツールを独自に作成し、社員の情報セキュリティリテラシー向上への取り組みをグローバルで展開しています。