NEC CSR レポート 2016 CSR 経営ガバナンス社会環境全社の管理体制個人情報保護管理者個人情報保護マネジメントシステムの実施及び運用に関する総括的な責任及び権限を持つ者 ( 特定個人情報保護責任者を兼ねる ) 特定個人情報保護責任者特定個人情報の取り扱いに関する責任および権限を

Size: px

Start display at page:

Download "NEC CSR レポート 2016 CSR 経営ガバナンス社会環境全社の管理体制個人情報保護管理者個人情報保護マネジメントシステムの実施及び運用に関する総括的な責任及び権限を持つ者 ( 特定個人情報保護責任者を兼ねる ) 特定個人情報保護責任者特定個人情報の取り扱いに関する責任および権限を"

あきみしろみず
5 years ago
Views:

NEC CSR レポート 2016 CSR 経営ガバナンス社会環境個人情報保護個人情報とは特定個人の識別情報であり番号などの識別子単体の情報もこれに該当します当社は個人番号を含む個人情報を適切に保護することが当社の社会的責務と考え独自の個人情報保護方針を定めこれを実行しかつ維持していますまた関連法令に示された個人情報の保護だけでなく

1 NEC CSR レポート 2016 CSR 経営ガバナンス社会環境個人情報保護個人情報とは特定個人の識別情報であり番号などの識別子単体の情報もこれに該当します当社は個人番号を含む個人情報を適切に保護することが当社の社会的責務と考え独自の個人情報保護方針を定めこれを実行しかつ維持していますまた関連法令に示された個人情報の保護だけでなくプライバシーに関わる情報についても配慮した事業活動を行っています方針当社は事業活動を通じてお預かりしたお客さま株主投資家お取引先従業員などの個人情報を適切に保護することが当社の大きな社会的責務と考えこの考え方を 2000 年 7 月に NEC 個人情報保護方針として規定しました NEC 個人情報保護方針さらに個人情報保護推進体制を構築し 2004 年には個人情報保護法ならびに JIS Q に準拠した個人情報保護マネジメントシステムを確立してお客さまからの信頼を獲得し個人情報を取り扱うシステムに関するさまざまな課題の解決に努めていますまた NEC は 2005 年 10 月にプライバシーマークを取得し 2015 年 10 月にはプライバシーマークの認証を更新しました NEC グループでは 2016 年 3 月末時点で 29 社がプライバシーマークを取得済みですこれからも NEC グループ会社と連携して個人情報保護に取り組みマネジメントシステムの継続的改善に努めていきますプライバシーマーク制度推進体制当社では個人情報保護マネジメントシステムの運用に関する総括的な責任者として各部門の個人情報保護の主管部門長が個人情報保護管理者を務めていますさらに個人情報保護法よりも厳格な番号法に対応するためにマイナンバーに関する対応についても特定個人情報保護責任者としての役割を追加していますそしてその個人情報保護管理者が選任した個人情報保護推進事務局長をリーダーとして内部統制推進部顧客情報セキュリティ室が中心となって NEC グループ全体の個人情報保護の推進に取り組んでいますまた経営監査本部長を個人情報保護監査責任者として JIS Q に規定されている個人情報保護に関する内部監査を定期的に実施しています各事業部門では部門長を責任者として取り扱う個人情報ごとに取扱責任者や取扱担当者を置き個人情報を取り扱っている現場への個人情報保護の周知徹底をはかっていますそして各部門単位で個人情報保護推進者を任命し管理体制を確立して運用しています 56

2 NEC CSR レポート 2016 CSR 経営ガバナンス社会環境全社の管理体制個人情報保護管理者個人情報保護マネジメントシステムの実施及び運用に関する総括的な責任及び権限を持つ者 ( 特定個人情報保護責任者を兼ねる ) 特定個人情報保護責任者特定個人情報の取り扱いに関する責任および権限を持つ者個人情報保護推進事務局長 ( 個人情報保護管理者が選任 ) 個人情報保護推進事務局 ( 人事部総務部法務部カスタマーコミュニケーションセンター経営システム本部ソフトソリューション資材部営業企画本部内部統制推進部などのメンバーから構成 ) 個人情報保護管理者及び個人情報保護推進事務局長の指示に基づき全社における個人情報保護マネジメントシステムの推進その内容の従業員等への周知徹底教育の計画実施及び問合せ対応などを担当主管部門 = 内部統制推進部個人情報保護のための手順を確立し維持する個人情報保護監査責任者 ( 経営監査本部長 ) 個人情報保護に関する監査の計画実施及び報告を行う責任及び権限を持つ者監査部門 ( 経営監査本部 ) 個人情報保護マネジメントシステムの整備状況 (JISQ15001 への適合状況を含む ) 体制整備状況及び運用遵守状況を定期的に監査する ( 計画実施 ) 57

3 NEC CSR レポート 2016 CSR 経営ガバナンス社会環境事業部等の管理体制事業部等の長事業部等における個人情報保護に関する統括管理責任者取扱責任者具体的業務において個人情報保護に関する管理責任を負う ( 事務取扱責任者を兼務 ) 事務取扱責任者特定個人情報の事務ならびにそれらの事務を外部に委託する場合の指示および監督を行う者取扱担当者具体的業務において個人情報保護の管理を担当する事務取扱担当者特定個人情報の事務を行う者ならびに情報システムで特定個人情報を取り扱う者をいう個人情報保護推進者事業部等の長を補佐して事業部等において個人情報の管理体制の確立運用改善を推進しその徹底をはかる国内グループ会社においては 2005 年 4 月の個人情報保護法さらに 2015 年 10 月番号法の全面施行にあわせて同等の体制を構築し個人情報保護を推進していますまた海外グループ会社においても各国の法制度を遵守することにより個人情報保護の推進に取り組んでいます個人情報の漏えいなどの緊急時における対応 NEC では国内外のグループ会社における個人情報の紛失流出漏えいなどの事件事故の発生に備え迅速な対応と情報公開を実施する体制を整備しています万が一事件事故が発生した場合には標準化した手続きに従って対応しますまた個人情報に関連した事件事故またはそのリスクのある事案が発生した場合にはまず当事者や発見者が各部門の責任者ならびに情報セキュリティインシデント対応窓口に報告します報告を受けた窓口部門は関連する法令省庁指針等に従い本人の権利利益の侵害リスクを勘案したうえで個人情報保護推進事務局を構成する関連部門と連携して対処します 58

4 NEC CSR レポート 2016 CSR 経営ガバナンス社会環境 2015 年度の主な活動実績個人情報保護の重要性を認識し個人情報保護マネジメントシステムを運用するために NEC グループ企業行動憲章および NEC グループ行動規範に基づいた NEC 個人情報保護方針ならびに個人情報保護規程を NEC グループの共通ルールとして制定しています NEC グループ各社が自律的に PDCA サイクルを回すことで個人情報の適切な管理につなげていこうと考えています個人情報保護に関する教育 NEC では以下のような階層別教育を実施しています 1. 全従業者向け教育 ( 国内 NEC グループ会社向け ) 国内 NEC グループ会社の役員および従業員を対象に毎年 1 回情報セキュリティ教育と合わせた個人情報保護教育を Web 研修で実施しています 2015 年度も全対象者の教育修了率 100% を達成しましたまたマイナンバーに関する Web 研修も別途国内 NEC グループ会社の役員および従業員を対象に実施しました 2. 推進者向け教育 ( 国内 NEC グループ会社向け ) 個人情報保護推進の役割を担う情報セキュリティ推進者向けの集合教育を 2015 年度は 4 回実施しました 3. 新入社員転入社員向け研修 2015 年度は導入教育用として個人情報保護の小冊子を作成し新入社員転入社員向けに配付して新入社員転入社員研修を実施しましたまた事故発生部門からの要望がある場合や個人情報保護推進事務局が必要と判断した場合には適宜グループ会社単位あるいは事業部門単位で啓発教育を実施しています個人情報の管理 (NEC グループにおける取り組み ) NEC では各個人情報を台帳管理し管理状況を見える化する個人情報管理台帳システムを構築していますさらに標準手順を文書化し NEC グループ全体で個人情報保護マネジメントシステムを運用しています必要に応じて各事業部門単位個人情報単位での運用ルールを制定しこれを徹底していますまた個人情報を含む情報全般のセキュリティに関する意識の向上を目的にお客様対応作業及び企業秘密取り扱いの遵守事項を定め NEC グループの全従業員を対象に毎年電子誓約をするよう求めていますこのような取り組みの結果 2015 年度には個人情報の紛失流失漏えい等の事件事故は発生していませんまた主管官庁である経済産業省やその他の第三者機関から顧客のプライバシー侵害に関する苦情等も寄せられていません個人情報の管理 ( お客さま / お取引先向けの取り組み ) NEC では個人情報を取り扱う業務を委託する際には委託先に対しても NEC グループと同様の個人情報保護に関する適切な運用を依頼していますまた NEC グループの業務に従事するお取引先のみなさまに対してもお客様対応作業における遵守事項に関する誓約書を提出いただき Web による定期的な確認テストも実施して個人情報保護の推進を依頼していますこのような取り組みの結果委託先においても 2015 年度には個人情報の紛失流失漏えい等の事件事故は発生していませんマイナンバー制度 ( 社会保障税番号制度 ) は社会保障や税の給付と負担の公平性がはかれ行政機関に提出する添付書類などが不要になるなど手続きの効率性透明性を高めた行政サービスを受けることが可能となるものですがマイナンバーは特定個人情報として慎重に取り扱う必要がありますしたがってセキュリティを確保した運用のためにアクセス制御外部からの不正アクセス防止情報漏えいの防止等の技術的対策を実施するとともに各システムにおけるプライバシー保護対策が十分なレベルになるよう取り組んでいます 59

NEC CSR レポート 2016 CSR 経営ガバナンス会環境 31-32 コーポレートガバナンス 33-38 コンプライアンスとリスクマネジメント 39 税務に対する考え方 40-42 公正な取引の推進 43-48 事業継続

EXPLANNER/FL NEC マイナンバー対応 BPOサービス収集社 eトレーニングマシンルームマイナンバー専用オペレーションルームデータセンター個人番号管理保管 SDN カード認証マシンルーム個人番号管理システム

分析事務取扱担当者集合研修法定調書国自治体 NEC グループのマイナンバー制度対応システムの全体像また NEC ではマイナンバーの収集から管理保管提出に至る業務プロセスをトータルに実施するシステムを既存のソリューション

集約化された業務プロセスとそれを支えるシステムの提供が可能になりましたマイナンバー制度への対応を検討中のお客さまに向けて我々が試行錯誤を繰り返しながら培ってきた有形無形のノウハウをソリューションとして提供可能な体制を構築しました今後も

グループでは各種の点検活動を通じて自律的に PDCA サイクルを回し個人情報を適切に管理していますまた JIS Q15001 の内部監査チェック項目に基づいて定期的に内部監査を実施していますさらにマイナンバーを取り扱う業務については

各従業員における情報セキュリティ施策の実施状況を確認し不備があれば組織単位で改善計画を立案遂行する活動を実施しています 2 個人情報の管理状況の確認 NEC グループでは各組織で管理しているそれぞれの個人情報について管理状況の見直しを年

5 NEC CSR レポート 2016 CSR 経営ガバナンス会環境コーポレートガバナンスコンプライアンスとリスクマネジメント 39 税務に対する考え方公正な取引の推進事業継続情報セキュリティ個人情報保護サプライチェーンマネジメントイノベーションマネジメントスマートフォンでの収集ワークフローでの収集教育サービスマイナンバー制度対応業務システム NEC EXPLANNER/FL NEC マイナンバー対応 BPOサービス収集社 eトレーニングマシンルームマイナンバー専用オペレーションルームデータセンター個人番号管理保管 SDN カード認証マシンルーム個人番号管理システムカード認証持ち出し制御管理廃棄暗号化顔認証持ち出し制御教育サービスアクセス管理 eトレーニング集合研修提出システム管理者暗号化アクセス管理教育サービス不正アクセス防止改ざん防止 eトレーニングアクセスログ確認分析事務取扱担当者集合研修法定調書国自治体 NEC グループのマイナンバー制度対応システムの全体像また NEC ではマイナンバーの収集から管理保管提出に至る業務プロセスをトータルに実施するシステムを既存のソリューション要素技術の活用により構築しましたさらにマイナンバー制度対応において不可欠な従業員教育のための Web 研修などを整備しグループ会社も含めて実施しましたその結果マイナンバー制度に対応できる標準化集約化された業務プロセスとそれを支えるシステムの提供が可能になりましたマイナンバー制度への対応を検討中のお客さまに向けて我々が試行錯誤を繰り返しながら培ってきた有形無形のノウハウをソリューションとして提供可能な体制を構築しました今後も NEC では実際にマイナンバーの運用を行っていく中で新たに直面するさまざまな課題を着実にクリアしそこで得られた知見を適宜お客さま向けソリューションのさらなるブラッシュアップへ向けて活かしていく予定ですモニタリング改善 NEC グループでは各種の点検活動を通じて自律的に PDCA サイクルを回し個人情報を適切に管理していますまた JIS Q15001 の内部監査チェック項目に基づいて定期的に内部監査を実施していますさらにマイナンバーを取り扱う業務については国の安全管理細則に基づき作成した安全管理措置チェックシートや再委託時のセルフチェックシートを使って取り扱い部門委託先のモニタリングを実施しています 1 情報セキュリティ対策の運用の確認 NEC グループでは年 1 回各従業員における情報セキュリティ施策の実施状況を確認し不備があれば組織単位で改善計画を立案遂行する活動を実施しています 2 個人情報の管理状況の確認 NEC グループでは各組織で管理しているそれぞれの個人情報について管理状況の見直しを年 1 回以上実施しており個人情報管理台帳システムに登録された管理票の見直しを実施しています管理レベルが高い個人情報マイナンバー含むについてはシステムによって定期的に点検を行います半期に 1 回３緊急時運用の確認万一個人情報の紛失流出漏えい等の事件事故が発生した場合には随時上記の運用の再確認を実施します 60

6 NEC CSR レポート 2016 CSR 経営ガバナンス社会環境目標と成果中期目標 (2013~2015 年度 ) お客さまお取引先からお預かりした個人情報および当社の従業員情報を守り個人情報保護対策を実施しより安全で安心な信頼される製品サービスソリューションを提供することで社会に貢献する 2015 年度の目標成果進捗達成度 ( 達成度 : 目標達成〇目標ほぼ達成目標一部達成 X 進捗なし ) 目標成果進捗達成度 1. 国内グループ会社の統廃合に合わせた個人情報保護マネジメントシステムの再構築グループ会社統廃合にともなう個人情報保護のマニュアルの見直しを行いました標準ルールの見直しならびに実施基準の改訂個人情報保護のすべてのマニュアルにマイナンバー保護に関する対応事項を追記しました 2. NEC 個人情報保護管理基準の見直しによるマイナンバー制度への実務対応個人情報保護法および関係省庁ガイドライン改正にともなうルールの見直し NEC グループにおける運用の徹底支援マイナンバー追加にともない個人情報保護のマニュアル等の改訂新規作成を行いました NEC グループ会社に対し標準業務プロセスの徹底と各社へ規程の雛形提供相談対応教育の実施支援を行いました 3. 個人情報保護のグローバル展開の拡充個人情報保護に関する教育の実施情報発信の強化各地域における個人情報保護の運用徹底支援 Web 教育の中に個人情報保護のコンテンツを追加しました各国の個人情報保護法の動向について各地域の法務部門長との情報共有をはかりました新中期目標 (2016~2018 年度 )(2016 年度の目標含む ) お客さまお取引先からお預かりした個人情報および当社の従業員情報を守り個人情報保護対策を実施しより安全で安心な信頼される製品サービスソリューションを提供することで社会に貢献する 2016 年度から 18 年度まで主に以下 3 点について対応し実施する 1. 個人情報保護のグローバルな対応海外の法令について現地法人と連携し対応海外現地法人海外協力会社への遵守事項の誓約 2016 年度からアジア圏中心に拡充 2. 個人情報保護 ( マイナンバー含む ) の法令改正対応国内外の法令改正にともなう社内ルールを 2016 年度から検討 2017 年度再整備周知 2018 年度再度周知徹底 3. 個人情報保護マネジメントシステムの再構築マイナンバー制度の運用実施状況のモニタリング実施現場の改善指導を 2016 年度から毎年実施 61

NEC サステナビリティレポート 2018 サステナブル経営ガバナンス社会環境人権の尊重個人情報保護プライバシーダイバーシティ & インクルージョン多様な働き方への環境づくり人財開発育成安全と健康

NEC サステナビリティレポート 2018 サステナブル経営ガバナンス社会環境人権の尊重個人情報保護プライバシーダイバーシティ & インクルージョン多様な働き方への環境づくり人財開発育成安全と健康個人情報保護プライバシー取り組み方針 ICT の急速な進展によりインターネット普及に加えスマートフォン等が急速に拡大しており個人情報保護やプライバシーへの配慮への関心が高くなっています特に欧州においては基本的人権の保護という観点から EU 基本権憲章でプライバシーなどの保護を基本権として定めていますさらに年 5 月からスタートした EU の一般データ保護規則 (GDPR) は個人のプライバシーの権利の保護と確立を目的として