NEC サステナビリティレポート 2018 サステナブル経営ガバナンス社会環境人権の尊重個人情報保護プライバシーダイバーシティ & インクルージョン多様な働き方への環境づくり人財開発育成安全と健康

Size: px

Start display at page:

Download "NEC サステナビリティレポート 2018 サステナブル経営ガバナンス社会環境人権の尊重個人情報保護プライバシーダイバーシティ & インクルージョン多様な働き方への環境づくり人財開発育成安全と健康"

しなつしろみず
5 years ago
Views:

個人情報保護プライバシー取り組み方針 ICT の急速な進展によりインターネット普及に加えスマートフォン等が急速に拡大しており個人情報保護やプライバシーへの配慮への関心が高くなっています特に欧州においては基本的人権の保護という観点から EU 基本権憲章でプライバシーなどの保護を基本権として定めていますさらに年 5 月からスタートした EU の一般データ保護規則 (GDPR) は

1 個人情報保護プライバシー取り組み方針 ICT の急速な進展によりインターネット普及に加えスマートフォン等が急速に拡大しており個人情報保護やプライバシーへの配慮への関心が高くなっています特に欧州においては基本的人権の保護という観点から EU 基本権憲章でプライバシーなどの保護を基本権として定めていますさらに年 5 月からスタートした EU の一般データ保護規則 (GDPR) は個人のプライバシーの権利の保護と確立を目的として個人情報を管理および保護する方法などの要件を定めた法律となっていますでは新しい法令の枠組みなどの動向を把握し個人情報保護やプライバシー課題に対し以下方針で取り組みを進めています < 個人情報保護について> 個人情報とは特定個人の識別情報であり番号などの識別子単体の情報もこれに該当します当社は株主投資家お取引先従業員などの個人番号を含む個人情報を適切に保護することが社会的責務と考え個人情報保護方針を 2000 年に定めこれを実行しかつ維持していますまた関連法令に示された個人情報の保護だけでなくプライバシーに関わる情報についても配慮した事業活動を行っています個人情報保護方針また当社では国内外の子会社と連携して個人情報保護推進体制を構築し 2004 年には個人情報保護法ならびに JIS Q に準拠した個人情報保護マネジメントシステムを確立してお客さまからの信頼を獲得し個人情報を取り扱うシステムに関するさまざまな課題の解決に努めています <プライバシーについて> 当社は 2005 年 10 月にプライバシーマークを取得し 2015 年 10 月にはプライバシーマークの認証を更新しましたグループ全体では年 3 月末時点で 29 社がプライバシーマークを取得済みですまた病歴や出生地など特にプライバシー性の高いセンシティブ情報 ( 機微情報 ) は情報漏えいによって社会的差別などの不利益をこうむることがないように本人の同意を得ない取得を原則禁止としています GDPR の例に見られるように世界的な潮流としてプライバシー法制が整備されつつあり企業に求められる役割と責任はますます大きなものとなってきていますこれを受けでは社会受容性に配慮したプライバシーを ESG 視点の経営優先テーママテリアリティの 1 つとして位置づけ国地域や文化によって捉え方に違いのあるプライバシーや AI の活用によって助長される可能性のある差別問題などの人権課題に配慮した製品サービスを開発提供することをとおし社会への負の影響を最小化するだけでなくその取り組みを社会価値の最大化にもつなげたいと考えていますプライバシーマーク制度推進体制 91

2 活動目標と成果進捗中期目標 (~2020 年度 ) 1. 個人情報保護のグローバルな対応国外の法令について海外子会社と連携し対応海外子会社海外お取引先への遵守事項の誓約を 2016 年度からアジア圏中心に拡充 2. 個人情報保護 ( マイナンバー含む ) の法令改正対応国内外の法令改正にともない社内ルールを 2016 年度から検討 2017 年度再整備周知年度は再徹底 3. 個人情報保護マネジメントシステムの再構築マイナンバー制度の運用実施状況のモニタリング実施現場の改善指導を 2016 年度から毎年実施 4. の事業活動でのプライバシーをはじめとする人権尊重の考え方の明確化ユースケースを題材としたマルチステークホルダーとの対話を行いながら Human Rights by Design ( プライバシーや公平性など人権尊重の考え方をバリューチェーンの各プロセスに組み込むこと ) に基づきの研究商品開発やサービス提案へ織り込む目標成果進捗達成度 ( 達成度 : 目標達成〇目標ほぼ達成目標一部達成 X 進捗なし ) 中期目標 2017 年度の目標 2017 年度の成果進捗達成度年度の目標 1. 個人情報保護の海外子会社の所在国の個人情報移転規制に関しグローバルな対応て対応を見直し海外のお取引先における誓約締結の対象国を拡大 2. 個人情報保護の個人情報の法令改正にともない規程マニュア法令改正対応ル個人情報管理台帳システムを改訂グループの各海外地域統括会社の個人情報管理責任者を集め欧州の GDPR のみならず所在国の個人情報に関する移転規制侵害時の迅速な報告等のあり方法令遵守の意義と重要性を海外グループと再確認し所在国の法令の動向を注視しながら移転規制への対応等を検討しました海外グループ会社の再編にともない海外のお取引先の誓約対象国を見直した結果昨年と同数を対象とすることにしました欧州をはじめ各国の海外子会社に対し個人情報の域外移転規制の対応措置や個人情報管理台帳システムの改善個人情報の移転元移転先の国を国別に検索可能とし各々のリスク度合いや現地の状況に応じた対策を各国で選定した個人情報管理者と当社で連携し支援海外で個人情報の侵害事故が発覚した場合当社も含む関係部署への迅速な報告法令で定められた時間内での外部機関への報告などを各国の子会社で確実に実施できる体制を強化マニュアル個人情報管理台帳システム等の改訂日本から他国へ個人情報を移転する場合の規制へを実施し個人情報の移転元移転先の国を登録の措置として移転前に対応可能なプロセスを構可能とし個人情報域外移転のフローも見える築するとともにマニュアル化を進め国内外子化することで当社での管理を強化しました会社への浸透を目指す 92

3 中期目標 2017 年度の目標 2017 年度の成果進捗達成度年度の目標 3. 個人情報保護マネジメントシステム再構築 4. の事業活動でのプライバシーをはじめとする人権尊重の考え方の明確化委託先管理に必要な個人情報関連帳票の記入漏れがないように委託元委託先の各関係者は専用システムに必要事項を登録しエビデンスを残すカメラ画像データ利活用ソリューションのビジネス拡大のため個人情報の取り扱いや企業として配慮すべき情報公開等に関して政府機関への働きかけを行うとともに社内ルールを整備する委託先管理システムのトライアル版を完成させ現場のトライアル実施を経て再調整中カメラ画像データの保護と利活用に関するガイドをグループ向けに作成周知しました外部団体を通じてカメラ画像データ利活用ソリューションのビジネス拡大のため政府機関への働きかけを実施しました委託先管理システムの社内活用を目指しマイナンバー等機微な個人情報管理漏れリスク低減個人情報の匿名化を促進させ個人情報侵害時のリスクの一層の低減と同時に匿名化された個人情報の有効な利活用の促進を図る人権プライバシーの観点から取り扱いが難しいケースに関しマルチステークホルダーとの対話を四半期に1 度実施する Human Rights by Design に基づく研究商品開発サービス提案の具体的な目標を設定する 93

推進体制当社では個人情報保護マネジメントシステムの運用に関する総括的な責任者として各部門の個人情報保護の主管部門長が個人情報保護管理者を務めていますさらに個人情報保護法よりも厳格な番号法に対応するためにマイナンバーに関する対応についても特定個人情報保護責任者としての役割を追加していますそしてその個人情報保護管理者が選任した個人情報保護推進事務局長をリーダーとして

4 推進体制当社では個人情報保護マネジメントシステムの運用に関する総括的な責任者として各部門の個人情報保護の主管部門長が個人情報保護管理者を務めていますさらに個人情報保護法よりも厳格な番号法に対応するためにマイナンバーに関する対応についても特定個人情報保護責任者としての役割を追加していますそしてその個人情報保護管理者が選任した個人情報保護推進事務局長をリーダーとして内部統制推進部顧客情報セキュリティ室が中心となってグループ全体の個人情報保護の推進に取り組んでいます全社の管理体制また経営監査本部長を個人情報保護監査責任者とし JIS Q に規定されている個人情報保護に関する内部監査を定期的に実施しています各事業部門では部門長を責任者として取り扱う個人情報ごとに取扱責任者や取扱担当者を置き個人情報を取り扱っている現場への個人情報保護の周知徹底を図っていますそして各部門単位で個人情報保護推進者を任命し管理体制を確立して運用しています 94

5 事業部等の管理体制個人情報の漏えいなどの緊急時における対応では個人情報の紛失流出漏えいなどの事件事故の発生に備え迅速な対応と情報公開を実施する体制を整備しています万が一事件事故が発生した場合には標準化した手続きに従って迅速に組織的に対応しますまた個人情報に関連した事件事故またはそのリスクのある事案が発生した場合にはまず当事者や発見者が各部門の責任者ならびに情報セキュリティインシデント対応窓口に報告します報告を受けた窓口部門は関連する法令省庁指針等に従い本人の権利利益の侵害リスクを勘案したうえで個人情報保護推進事務局や関連部門と連携して対処します国内子会社においては 2017 年 5 月の改正個人情報保護法 2015 年 10 月の番号法の施行にあわせて同様の体制を構築し個人情報保護を推進していますまた海外子会社においても各国の法制度を遵守することにより個人情報保護の推進に取り組んでいます 95

6 2017 年度の主な活動実績個人情報保護の重要性を認識し個人情報保護マネジメントシステムを運用するためにグループ企業行動憲章およびグループ行動規範に基づいた個人情報保護方針ならびに個人情報保護規程をの共通ルールとして制定していますこれらを各社が実施し自律的に PDCA サイクルを回すことで個人情報の適切な管理につなげています個人情報保護に関する教育当社では以下のような階層別教育を実施しています 1. 全従業者向け教育 ( 当社向け ) 当社役員および従業員を対象に毎年 1 回情報セキュリティ教育を Web 研修で実施しており個人情報保護の内容も合わせて教育しています 2017 年度も全対象者の教育修了率 100% を達成しました 2. 推進者向け教育 ( 当社と国内子会社向け ) 個人情報保護の推進を担う情報セキュリティ推進者向けの集合教育を 2017 年度は 4 回実施しました 3. 新入社員転入社員向け研修 ( 当社と国内子会社向け ) 2017 年度は導入教育用に個人情報保護の小冊子を作成し新入社員転入社員に配付して研修を実施しましたまた事故発生部門から要望のある場合や個人情報保護推進事務局が必要と判断した場合には適宜国内子会社単位あるいは事業部門単位で啓発教育を実施しています個人情報の管理 1. における取り組みでは個人情報を台帳管理し管理状況を見える化する個人情報管理台帳システムを運用していますまた標準手順を文書化して個人情報保護マネジメントシステムを運用しています必要に応じて各事業部門単位個人情報単位での運用ルールを制定しこれを徹底していますさらに個人情報を含む情報全般のセキュリティに関する意識向上を目的にお客様対応作業及び企業秘密取り扱いの遵守事項を定めの全従業員を対象に毎年電子誓約をするよう進めていますこのような取り組みの結果 2017 年度には個人情報の紛失流失漏えい等の事件事故は発生していませんまた主管官庁である経済産業省や個人情報保護委員会その他の第三者機関から顧客のプライバシー侵害に関する苦情等も寄せられていません 2. お客様 / お取引先向けの取り組み当社と国内子会社では個人情報を取り扱う業務を委託する際には委託先に対してもグループと同等の個人情報保護の管理運用を依頼していますまた当社または国内子会社の業務に従事するお取引先に対してもお客様対応作業における遵守事項に関する誓約書の提出を要請し Web による定期的な確認テストも実施して個人情報保護をお願いしていますこのような取り組みの結果委託先においても 2017 年度には個人情報の紛失流失漏えい等の事件事故は発生していませんマイナンバー制度 ( 社会保障税番号制度 ) は社会保障や税の給付と負担の公平性を図り行政機関に提出する添付書類などが不要になるなど手続きの効率性透明性を高めた行政サービスの提供を可能とするものですしかしながらマイナンバーは特定個人情報として慎重に取り扱う必要がありセキュリティを確保した運用に行っていますアクセス制御外部からの不正アクセス防止情報漏えいの防止等の技術的対策を実施するとともに各システムにおけるプライバシー保護対策が十分なレベルになるよう取り組んでいます 96

収集スマートフォンでの収集マイナンバー対応 BPO サービスワークフローでの収集マイナンバー制度対応業務システム EXPLANNER/FL 教育サービス e トレーニング

eトレーニングシステム管理者集合研修個人番号管理システム管理廃棄暗号化不正アクセス防止改ざん防止アクセスログ確認分析持ち出し制御暗号化アクセス管理事務取扱担当者

マイナンバーの収集から管理保管提出に至る業務プロセスをトータルに実施するシステムを運用していますまたこの運用により標準化集約化された業務プロセスを

7 収集スマートフォンでの収集マイナンバー対応 BPO サービスワークフローでの収集マイナンバー制度対応業務システム EXPLANNER/FL 教育サービス e トレーニングマシンルームマイナンバー専用オペレーションルームデータセンターマシンルーム個人番号カード認証 SDN 管理保管カード認証顔認証持ち出し制御教育サービスアクセス管理 eトレーニングシステム管理者集合研修個人番号管理システム管理廃棄暗号化不正アクセス防止改ざん防止アクセスログ確認分析持ち出し制御暗号化アクセス管理事務取扱担当者教育サービス e トレーニング集合研修提出国自治体法定調書のマイナンバー制度対応システムの全体像当社と国内子会社では既存のソリューション要素技術を活用しマイナンバーの収集から管理保管提出に至る業務プロセスをトータルに実施するシステムを運用していますまたこの運用により標準化集約化された業務プロセスをマイナンバー制度対応を検討中のお客さまに向けたソリューションとして提供しています今後も当社と国内子会社では実際にマイナンバーの運用を行っていく中で蓄積してきた知見を活かしより高品質なソリューションの開発と提供を進めていきます 97

8 モニタリング改善では各種の点検活動を通じて自律的に PDCA サイクルを回し個人情報を適切に管理していますまた当社と国内子会社では JIS Q15001 の内部監査チェック項目に基づいて定期的に内部監査を実施していますさらにマイナンバーを取り扱う業務については国の安全管理細則に基づき作成した安全管理措置チェックシートや再委託時のセルフチェックシートを使って取り扱い部門および委託先のモニタリングを実施しています 1. 情報セキュリティ対策の運用確認当社では年 1 回各従業員における情報セキュリティ施策の実施状況を確認し不備があれば組織単位で改善計画を立案遂行する活動を実施しています 2. 個人情報の管理状況の確認当社では各組織で管理しているそれぞれの個人情報について管理状況を確認するため個人情報管理台帳システムに登録された管理票の見直しを年 1 回以上実施しています特に管理レベルが高い個人情報 ( マイナンバー含む ) についてはシステム上で定期的に点検を行います (1 回 / 半期 ) 事業活動におけるプライバシー事業活動におけるプライバシー課題に関する理解促進のため社内啓発にも積極的に取り組んでいます 2017 年 9 月にはグループ社員向けにカメラ画像の利活用に関連する法制度や配慮すべきプライバシーへの理解を深めることを目的としたセミナーを開催しましたセミナーでは社外有識者による講演やパネルディスカッションを行い約 500 名のグループ社員が参加しましたまた社外での活動にも積極的に取り組んでいます当年度は同じ課題意識を抱える企業とともにデータ流通に関する業界団体に参加しプライバシーに関する政策提言やルールメイキングを行いましたこうした取り組みは 2017 年 4 月に新設されたデータ流通戦略室が担っており事業活動におけるプライバシーに対するの方針策定やその方針を当社の強みにつなげていくための活動を行っています 3. 緊急時運用の確認万一個人情報の紛失流出漏えい等の事件事故が発生した場合には随時上記の運用の見直しを徹底してします 98

NEC CSR レポート 2016 CSR 経営ガバナンス社会環境全社の管理体制個人情報保護管理者個人情報保護マネジメントシステムの実施及び運用に関する総括的な責任及び権限を持つ者 ( 特定個人情報保護責任者を兼ねる ) 特定個人情報保護責任者特定個人情報の取り扱いに関する責任および権限を

NEC CSR レポート 2016 CSR 経営ガバナンス社会環境全社の管理体制個人情報保護管理者個人情報保護マネジメントシステムの実施及び運用に関する総括的な責任及び権限を持つ者 ( 特定個人情報保護責任者を兼ねる ) 特定個人情報保護責任者特定個人情報の取り扱いに関する責任および権限を NEC CSR レポート 2016 CSR 経営ガバナンス社会環境個人情報保護個人情報とは特定個人の識別情報であり番号などの識別子単体の情報もこれに該当します当社は個人番号を含む個人情報を適切に保護することが当社の社会的責務と考え独自の個人情報保護方針を定めこれを実行しかつ維持していますまた関連法令に示された個人情報の保護だけでなくプライバシーに関わる情報についても配慮した事業活動を行っています

NEC サステナビリティレポート 2018 サステナブル経営 ガバナンス社会環境 人権の尊重 個人情報保護 プライバシー ダイバーシティ & インクルージョン 多様な働き方への環境づくり 人財開発 育成 安全と健康

NEC サステナビリティレポート 2018 サステナブル経営ガバナンス社会環境人権の尊重個人情報保護プライバシーダイバーシティ & インクルージョン多様な働き方への環境づくり人財開発育成安全と健康