「NTTグループ情報セキュリティポリシー」に基づき、お客さまや株主の個人情報の保護に関する方針や、
マイナンバー制度の導入にともなう特定個人情報等の保護に関する方針も策定しています。「お客様個人情報 の保護に関する方針」では、NTTグループがお預かりしているお客さまの個人情報については、開示・訂正・
利用停止などのお申し出に対応するための手続きについても定めています。
お客様個人情報の保護に関する方針 http://www.ntt.co.jp/kojinjo/okyaku.html 株主様個人情報の保護に関する方針 http://www.ntt.co.jp/kojinjo/kabu.html
お取引先等特定個人情報等の保護に関する方針 http://www.ntt.co.jp/kojinjo/okyaku-m.html 株主様特定個人情報等の保護に関する方針 http://www.ntt.co.jp/kojinjo/kabu-m.html
NTTグループは情報セキュリティリスクに対応するため、情報セキュリティマネジメント体制を構築して います。NTTは、2015年に「グループCISO委員会」を設置し、情報セキュリティに関する取り組み方針の 策定、各種施策の計画・実施、活動のレビューなど、情報セキュリティ管理を徹底できる体制を整備するとと もに、グループ横断的なワーキンググループを設置し、情報セキュリティに関する課題解決にあたっています。
NTTグループの情報セキュリティ管理の責任者は代表取締役副社長がCISO(Chief Information Security Officer)を担っており、担当組織として技術企画部門にグループCISO委員会事務局を設置するとともに、グ ループ会社においても同様に設置されています。
個人情報保護に関する方針
セキュリティマネジメント体制
情報への不正なアクセス、情報の紛失・改ざん・漏えいの防止、ウィルス対策や外部への情報持ち出しなどを管理 するセキュリティ対策システムを導入し、物理面、システム面での厳格なセキュリティ対策を実施するとともに、社 員教育を徹底し、委託先への適切な監督など、情報保護に向けた取り組みを継続的に実施しています。
情報セキュリティ・個人情報保護に向けた取り組み
▶ グループ各社の取り組み
◦ 「情報セキュリティ推進委員会」を定期的に開催し、グループ横断 的かつ統一的な情報セキュリティマネジメントを推進
◦ 法令やガイドラインの改正を踏まえ、特定個人情報の適正な取り 扱いや委託先会社の監督強化に向けた社内規程の見直しや業務 プロセスの整備、これらに関する社員教育の実施
◦ 標的型攻撃メールを受信した際の対応方法を理解するための演 習の実施
◦ セキュリティ人材育成に向けた、「模擬環境でのサイバー演習」や
「eラーニングによるセキュリティ講座の活用」などの実施
◦ 「お客様情報等保護強化期間」や「情報セキュリティ啓発期間」の 設定
◦ お客さま情報などを外部記録媒体へ抽出する重要端末設備の物 理的な隔絶処置を行い、カメラ設置や生体認証装置による入退 室規制を実施
◦ 標的型メール攻撃を想定した受信対応訓練を実施
◦ 「情報セキュリティ推進委員会」を定期的に開催設置し、情報セ キュリティに関する基本方針を審議
◦ グループ会社、海外現地法人のセキュリティ調査などを実施
◦ 顧客情報へのアクセスをする際は申請・承認制度を適用
◦ ソフトウェア脆弱性への対応、統合リスクマネジメントサービス
「WideAngle」の全社ITシステムの継続的適用、脆弱性判定情 報の配信プラットフォーム(ISMP)を利用した全社ITシステムの 一元管理によるインシデント対応プロセス整備
◦ 「情報セキュリティ部」を発足し、CSIRT機能を整備。サイバーセキュ リティを含む全社横断的なインシデント対応/統制、施策を推進
◦ 副社長(個人情報保護管理者・情報セキュリティ管理責任者)を委 員長とする「情報管理委員会」を定期的に開催
◦ サイバー攻撃に対するセキュリティ対策の全社統制
◦ お客さま情報管理システムを使用できる社員の制限(指紋認証)を 必須とし、利用履歴の定期チェック、管理情報の暗号化を実施
◦ 全社員向けに研修を年一回以上実施
◦ ドコモグループ全体で「情報セキュリティ月間」(11月)を制定
◦ 1998年12月から、情報資産を適切に取り扱い、情報セキュリティ を確保する「情報セキュリティポリシー」を制定
◦ 「情報セキュリティ委員会」を定期的に開催し、全社の活動状況 と課題点を把握した上で施策を決定。推進組織の「情報セキュリ ティ推進室」と職場ごとに配置された「情報セキュリティ推進者」
が決定した施策を実施
◦ 情報セキュリティインシデント防止とインシデント発生時の緊急 対応組織として2010年7月「NTTDATA-CERT」を設置
◦ 2015年4月「ICTシステム部」を発足し、ICTガバナンス強化
◦ 2015年10月「情報セキュリティ推進室」を新たに設立し、情報セ キュリティマネジメントを強化
◦ 標的型メール攻撃に対する体験型研修を実施
◦ ISO27001の認証を2006年から取得し、情報セキュリティマネ ジメントを推進
◦ 自社内およびグループ会社との間で「情報セキュリティ連絡会」
を設置し定期的に開催
◦ 各組織の長がセキュリティ実行管理責任者となり、情報セキュリ ティの管理体制を整備
◦ プライバシーマークを取得、また全社ISMS認証も取得
◦ Webアクセス証跡管理、メール証跡管理、ウィルス対策、不正通 信を検知する対策などを実施
◦ 「情報セキュリティ対策委員会」を設置し定期的に開催
◦ 各組織の長が情報セキュリティ管理責任者となり、情報セキ ュリティの管理体制を整備
◦ 「個人情報保護方針」を改訂、また不正なアクセスや情報の紛 失・改ざん・漏えい防止策の実施
◦ 情報セキュリティ意識向上定着活動の推進
NTTグループ各社の取り組み詳細は、各社のHPあるいは情報セキュリティ報告書を参照ください。
NTTデータ情報セキュリティ報告書 http://www.nttdata.com/jp/ja/corporate/csr/security/pdf/2016/rep2016_all.pdf
ディメンションデータでは、ICT装置の廃棄において、お客さまからご要望があった場合には、廃棄物から のデータ漏えいを防ぐために、英国のCESG IA5(CESG:通信電子セキュリティグループ)および米国の DoD5220.22-m(米国国防総省規格)に沿ってデータを破棄することを廃棄物処理業者に徹底させています。
NTTに「お客様個人情報対応窓口」を設けるとともに、NTTグループ各社に各種サービスなどの個人情報 に関するお問い合わせ窓口を設けています。なお、NTTは持株会社のため電気通信サービスの提供を行って おらず、サービスなどの提供などに係る個人情報に関するおよびお問い合わせについてはサービスを提供して いる各事業会社の窓口にお問い合わせいただいています。
日本電信電話株式会社 お客様個人情報対応窓口
電話番号 03-3201-1198 (営業時間 10時~12時、13時~17時 / 土曜・日曜・祝日・年末年始を除く)
http://www.ntt.co.jp/kojinjo/
【主な事業会社の個人情報に関するお問い合わせ先】
NTT東日本 http://www.ntt-east.co.jp/policy/
NTT西日本 http://www.ntt-west.co.jp/share/privacy.html
NTTコミュニケーションズ http://www.ntt.com/about-us/hp/privacy.html NTTドコモ https://www.nttdocomo.co.jp/utility/privacy/
NTTデータ http://www.nttdata.com/jp/ja/privacy_policy/index.html NTTファシリティーズ http://www.ntt-f.co.jp/policy/policy.html NTTコムウェア http://www.nttcom.co.jp/privacypolicy/
NTT都市開発 http://www.nttud.co.jp/statement.html
個人情報対応窓口
各事業会社の窓口に寄せられたお問い合わせ、相談、苦情は各社で管理しています。2015年度、NTTの個 人情報対応窓口に寄せられたお問い合わせは0件でした。またNTTに対する、総務省などの関連行政機関から の指導もありませんでした。
2015年度に確認されたNTTグループの個人情報漏えい、盗難、または紛失などの事故は9件ありました。
個人情報に関する苦情と漏えい等の実績 海外グループ会社の取り組み
重点活動項目とした背景
インターネット上の安全な商取引や機密情報の 流出防止など、情報セキュリティに対する重要性 は年々高まっています。このような中、高度化・
深刻化するセキュリティ脅威に対応し、お客さま の情報資産を守っていくことは、通信インフラを 提供するNTTグループの責務です。
とくに、中期経営戦略において事業の基軸に据 えているクラウドサービスでは、ネットワーク上 でお客さまの情報資産を管理するため、従来以上
のセキュリティ基盤の強化が必要と考えています。
また、国際的なイベントなどに合わせた大規 模・高度なサイバー攻撃に対する対策も重要であ り、NTTグループの真価が問われると考えます。
情報セキュリティの強化
重点活動項目サイバー攻撃による被害や情報漏えいなどの事件が社会問題となるなど、情報セキュリティに関する脅威が 高度化・多様化しています。一方で現在、国内企業において、情報セキュリティに従事する技術者約26.5万 人のうち、約16万人が業務遂行に必要なスキルが十分でないと推定され、さらにその人数自体が約8万人も不 足しているといわれています。このような背景を踏まえ、NTTグループはグループ内のセキュリティ人材の 強化をめざし、目標を掲げています。さらに国レベルでの取り組みも必要との考えから、政府や企業そして教 育機関と提携し、日本におけるセキュリティ人材育成にも貢献していきます。
セキュリティ人材の育成
サイバー攻撃のリスクが重大な課題となる中、NTTグループは、セキュリティ強化の根幹を成す「セ キュリティ人材」の育成に力を入れ、グループ全体で育成プログラムを整備、展開しています。
さらに、情報セキュリティ技術・サービスの開発や、セキュリティインシデントの予防と事後支援を実 施するNTT-CERTの設置など、サイバー攻撃に対して「装備」、「運用」、「対処」の観点から多層防御など の必要な対策を講じて、安心・安全なサービス提供に貢献しています。
マネジメントアプローチ
2015年度の実績
●セキュリティ人材 CSR定量指標