情報セキュリティ
基本的な考え方
DNPは、企業や生活者などからお預かりした情報資産や自らの情報資産を利活用するなかで培ってきた情報セキュリティの技術・ノウハウを強みとしています。
多くの情報資産を取り扱う企業の社会的責務を果たすため、情報資産の管理・保護に万全なセキュリティを確保するとともに、安全で信頼性が高い製品・サービスを通じて新しい価値を提供していきます。
方針
推進体制
DNPは、本社に情報セキュリティ委員会、情報セキュリティ本部を設置し、事業部およびグループ会社への検査・指導を実施しています。委員長は本社担当常務取締役が務めています。
また、事業主体となる事業部・グループ会社それぞれに情報セキュリティ委員会を設置し、各組織の長が委員長および個人情報管理責任者を担当しています。そのもとで、教育、セキュリティ区域対策、情報システム対策などの課題ごとに、責任者や点検責任者を任命しています。海外グループ会社においても、2015年より情報セキュリティ委員会の設置を進めています。
さらに、2021年10 月には、サイバーセキュリティの対応組織としてDNPシーサート(DNP Computer Security Incident Response Team)を本社に設立し、不測事態(インシデント)発生時の事業継続性を維持しています。
DNPはこうしたマネジメント推進体制のもと、「組織的対策」「人的対策」「物理的・技術的対策」の3つを柱として、情報セキュリティ関連の施策を進めています。
指標・目標
DNPは「情報セキュリティ」に関する基本的な考え方に基づき、優先的に取り組む指標と目標値を設定し、継続的な活動につなげています。
| 指標 | 目標値 | 2024年度実績 |
|---|---|---|
| ① 情報セキュリティコンプライアンス評価の実施率 ② 個人情報等重点対策実施部門の検査・指導の実施率 ③ 情報セキュリティ教育・研修の受講率 ④ インターネット公開サイトのセキュリティ脆弱性テスト実施率 |
① 事業部門・グループ会社に対する実施率100% ② 対象部門に対する実施率100% ③ 対象部門による受講率100% ④ 対象サイトに対する実施率100% |
① 100%(87部門・会社) ② 100%(66回) ③ 100%(受講者数約45,000名)※受講者はサポートスタッフ等含む ④ 100%(実施数412システム) |
戦略・リスク管理
DNPは、サイバーセキュリティを含む情報セキュリティを確保するため、企画・設計段階から「セキュリティ・バイ・デザイン」の理念を導入し、リスクの把握と対応計画を策定しています。これにより、効果的に対応する仕組みを構築するとともに、PDCAサイクルを活用し、継続的に改善しています。
組織的対策
社内規定・ルールの整備
En cuanto a la protección de la información personal, hemos establecido una política y un reglamento de protección de la información personal, así como normas comunes sobre estándares específicos dentro del Grupo DNP. En cuanto a la seguridad de la información, hemos establecido una política básica de seguridad de la información y un reglamento básico de seguridad de la información, que establece 10 estándares con base en los cuales gestionamos documentos, el uso de computadoras, las áreas restringidas para terceros, la educación, los sitios web y las redes sociales. En respuesta a nuevas amenazas y riesgos, notificamos con prontitud a los empleados, establecemos y revisamos las normas, y difundimos la información exhaustivamente.
マネジメントシステムの確立
大日本印刷株式会社は、日本産業規格「個人情報保護マネジメントシステム要求事項」(JISQ15001)に適合した事業者として、2008年7月にプライバシーマークを取得し、法令遵守を徹底するとともに、同規格に準拠したマネジメントシステムの確立を推進しています。また、事業活動上、個人情報を取り扱うすべての事業部・グループ会社で、プライバシーマークや、ISO/IEC27001の認証取得を積極的に進めています。
人的対策
人材育成による情報セキュリティの強化
DNPは、DNPグループ社員を対象にした教育・研修と、特に情報セキュリティの強化を担当する人材に対する教育・研修を継続的に行っています。また、日本語を含む10カ国語の教材を作成し、全社員に教育の徹底を図っています。
また、社員各自の通常業務に携わりながら、必要かつ十分なセキュリティ対策を実現できる能力を保有する“プラス・セキュリティ人材”の育成に向けて、メールアドレスを保有する国内・海外の約3万人のDNPグループ社員に対し、サイバーセキュリティの教育プログラムを実施しています。
業界における情報セキュリティへの取り組みを推進
印刷業界全体の個人情報保護に関するレベルアップを図るため、高度な専門知識を有する社員を一般社団法人日本印刷産業連合会情報セキュリティ部会個人情報保護ワーキンググループに派遣し、個人情報保護の手引き、Q&A、教材などの策定・作成に参画しています(2004年より2名専属)。
サイバー攻撃対策要員の実践型育成
Academia de Conocimiento Cibernético empresa del grupo, ha adoptado el sistema de formación "TAME Range" de Israel Aerospace Industries (IAI), una empresa con sede en Israel, país líder en ciberseguridad. La academia imparte clases teóricas y prácticas que incluyen diversos estudios de caso, desde métodos de ataque habituales hasta los incidentes más recientes.
これまでに、DNPグループの対象社員に加え、官公庁をはじめ情報通信・航空・電力業界など約390団体、8,500名以上のセキュリティ担当者に講義と訓練・各種演習を実施し、サイバーセキュリティのスペシャリストを育成しています。(2025年5月時点)
2023年には、企業の経営・マネジメント層を対象に、インターネット上の仮想空間・メタバースで、複数の部門が連携してセキュリティ上の脅威事象(インシデント)発生時の緊急対応と組織間連携を学べる「組織連携コース_メタバース演習」を開発しました。
本演習は、インシデント発生の際に対応指示等の責任を持つ経営・マネジメント層のメンバー4人が、それぞれの役割(ロール)に分かれて、メタバースで実施するものです。インシデント発生時に取るべき行動や組織連携のあり方について、場所の制約なく学ぶことができます。
組織連携コース メタバース演習のイメージ
組織連携コース メタバース演習受講イメージ
物理的・技術的対策
個人情報取り扱い部署での対策
個人情報などを扱う電算処理室などでは、生体認証での入退場管理による部外者の侵入防止、監視カメラの設置による不正行為の牽制、ポケットのない作業着着用によるデータなどの持ち出し防止、記憶媒体の書き出し場所の分離、金属探知機を用いた検査、アクセスログの取得・確認、データ記憶媒体に書き出す作業員の少数化などの対策を実施し、管理をより強化しています。
ICカード社員証を利用した各拠点における対策
DNPは、ICカード社員証を利用したさまざまな情報セキュリティ対策を進めています。社員証を使ってビルや工場に出入りするセキュリティゲートシステムの導入拠点を増やしています。また、複合機の出力時に社員証による認証を必要とすることで、管理者が利用ログをサーバーで一元管理できる機能を追加しています。
情報の安全な受け渡しへの取り組み
社員が電子メールをグループ外に発信する際、誤送信による情報漏洩を防ぐため、宛先確認、送信の一時保留などの機能を持つメール誤送信防止ツールを導入しています。また、顧客企業との個人情報の受け渡しをネットワーク経由で安全に行うシステムを運用しています。
脆弱性分析
DNPグループが運営する個人情報取り扱い用のインターネットサーバーすべてに対し、年2回、脆弱性検査を実施し、より安全で強固なウェブサイトの構築・運営を行っています。
また、サイバーセキュリティに関するリスクを各種データから客観的に評価・分析して可視化するレーティングサービスを導入し、継続的にモニタリングを実施しています。
関連施策
サイバー攻撃への対応
DNPシーサートによる対応
DNPシーサートは、サイバーセキュリティ全般を担う統括組織として、セキュリティ強化の基本機能に加え、国内外のグループ全体に対して以下の活動を実施していきます。
- ICT インフラを可視化し、セキュリティ脆弱性情報に基づく対策指示と適用状況確認を実施
- 不測事態(インシデント)発生時の対策設計と習熟
- 不測事態(インシデント)発生時の各組織への指示と支援
- サイバーセキュリティに関する教育・演習・啓発
- 内閣サイバーセキュリティセンターや日本シーサート協議会等の外部機関との連携
- サイバーリスク保険の加入・適用
ゼロトラストネットワークの導入
近年は、DXの推進や外部クラウドの利用のほか、コロナ禍で加速したテレワーク導入など、企業活動や人々の暮らしが急速に変化しています。DNPはこうした変化を受け、デジタルネットワーク利用の安全性を高めるため、「何も信頼しない」というセキュリティの考え方である「ゼロトラストネットワーク」を導入し、インターネットアクセスの安全性の強化とパソコンやサーバ等の端末ごとのエンドポイントのセキュリティを強化しました。
引き続き、ゼロトラストの全体像を把握し、アクセス制御、脆弱性管理の強化を行うとともに、24時間365日の監視体制の整備など、ゼロトラストの成熟度を高め、グローバルでのセキュリティ対策強化に取り組んでいます。
標的型攻撃メールへの対策訓練
Los ataques de correo electrónico dirigidos existen desde hace más de 10 años, pero en los últimos años su contenido se ha vuelto más sofisticado, lo que representa una gran amenaza tanto en Japón como en el extranjero. En respuesta a esto, DNP imparte capacitación cuatro veces al año a todos los empleados con cuentas de correo electrónico corporativas, incluyendo a los de empresas del grupo en el extranjero. Gracias a esta capacitación, los empleados comprenden las características de los ataques dirigidos y aprenden las maneras adecuadas de responder al recibirlos, a la vez que previenen los daños derivados de estos ataques y minimizan daños como las filtraciones de información.
情報セキュリティマネジメントのグローバル展開
従来、各海外拠点で個別に利用していたシステムから、クラウドを最大限活用した共通のシステムに移行することで、ガバナンスの強化を図っています。これにより、それぞれ環境・文化の異なる国内外の拠点において、DNPグループとしてのセキュリティ基準に準拠していきます。
また、海外グループ会社の情報セキュリティ・マネジメント推進のため、日本語を含む10カ国語で教育ツールを独自に作成し、社員の情報セキュリティリテラシー向上への取り組みをグローバルで展開しています。
メタバース「警視庁サイバーセキュリティセンター」
DNPは2023年、警視庁サイバーセキュリティ対策本部による「メタバースを利用した訓練実施委託」を受け、「警視庁サイバーセキュリティセンター」をオープンしました。
本センターは、サイバーセキュリティに関する生活者の知識を高め、脅威への対処能力向上を目指す目的で開発されたもので、DNPが株式会社AKIBA観光協議会とともに運営するメタバース「バーチャル秋葉原」内に設置しました。
DNPは2021年から、XR(Extended Reality)技術によってリアルとバーチャルの空間を融合して人々の体験価値を高める「XRコミュニケーション®」の事業を展開しています。本センターの利用者は、時間・場所を問わずいつでも、自身の理解度や目的に応じたサイバーセキュリティに関する学習を進めることができます。本センターを通じて、DNPは警視庁とサイバーセキュリティの認知啓発をおこなうとともに、生活者が犯罪に巻き込まれるリスクの低減や、より安全・安心な社会の発展に貢献しています。
