サイバーセキュリティ・データ保護

サイバーセキュリティ

昨今、サイバー攻撃の高度化や巧妙化により、大規模なインシデントや、取引先を含めたサプライチェーンを狙う等のサイバー攻撃被害のリスクが高まっています。一方で、企業に対してエンタープライズでのサイバーセキュリティ対応の要求が高まり、セキュリティインシデント発生に対しても社会的に大きな責任が問われる状況になっています。

▪方針

パナソニックグループでは、お客様よりお預かりした情報や個人情報をサイバー攻撃等から保護し、当社の情報システムや設備、お客様に提供する製品・サービスの安定稼働を担保するため、全社でサイバーセキュリティ対策を推進しています。

具体的には、グループ全体に適用する「パナソニックグループ サイバーセキュリティ業務規程」を制定し、情報セキュリティ、製造システムセキュリティ、製品セキュリティの3つの観点で、ガイドライン等を定めて全従業員へ徹底しています。また、定期的に取り組みを評価し見直しています。

▪責任者・体制

サイバーセキュリティの責任者は、グループ・チーフ・インフォメーション・オフィサー (グループCIO)の執行役員です。また、製造システムセキュリティおよび製品セキュリティの責任者は、グループ・チーフ・テクノロジー・オフィサー(グループCTO)の執行役員です。(2024年8月現在)

パナソニック ホールディングス(株)(以下、PHD)に、グループCIOを最高責任者とするサイバーセキュリティ統括室を設置し、情報セキュリティ、製造システムセキュリティ、製品セキュリティの3つの取り組みを統括し、サイバー攻撃対策への加速と集中化を図り、サイバーハイジーン(平時の予防)とサイバーレジリエンス(有事の対応・復旧)の戦略的な実行を加速しています。

さらに、PHDおよび各事業会社に情報セキュリティ、製造システムセキュリティ、製品セキュリティの責任者を設置し、PHDが策定した基本方針および全社規程に基づき、各事業会社が、各機能のセキュリティ活動を推進しています。

▪主な取り組み

情報セキュリティ

当社グループの社内システムや社内外のWebサービス等の情報システムの停止や不正な動作、内容の改ざん等の被害発生を抑止するため、セキュリティ対策を踏まえたシステムの構築・更新や、定期的な脆弱性評価を実施するとともに、定期的な委員会等を通じてグループ会社の情報システム担当者への施策徹底を行うことで、情報システムの安定稼働に取り組んでいます。

製造システムセキュリティ

パナソニックは、工場へのサイバー攻撃対策をまとめた侵入防止、異常検知とインシデント対応のガイドラインを整備し、継続的に見直しを行っています。これらのガイドラインに従って、パナソニックのグローバル全拠点でサイバー攻撃へのリスク対策を進めています。また、現場において、工場の担当者に対し、セキュリティ事案発生を想定した対応訓練等を実施し、意識の向上を図っています。

製品セキュリティ

ソフトウェアを搭載した様々な製品をネットワークにつなげて便利にご利用いただく中で、情報の漏えいや改ざん、誤作動の誘発をねらった悪意ある第三者の攻撃による被害を防ぐことを目的として、製品のセキュリティ確保が必要とされています。当社グループでは、お客様に安心してパナソニック製品をご利用いただくために、セキュリティを意識した開発を進めるための指針を策定するなど、社内の体制・ルールを整備し、それらを定期的に見直しています。また、サイバー攻撃による被害を抑止するため、AIを活用した異常検知技術の研究開発を推進しています。また、製品企画検討時におけるリスク分析やセキュアコーディング等のスキルを身につける研修を実施しています。

共通取組み

上記3つに共通した取組みとして、専門チームによる脅威情報・脆弱性情報の定常的な収集・監視と、必要に応じた対応実施や、サイバー攻撃を想定した専門チームによるインシデント対応訓練を実施しています。

データ保護

企業は、事業活動を行う上で、お取引先様の情報資産やお客様の個人情報を取り扱うことがあり、これらの情報の不適切な管理によって、情報の盗用・漏えい・改ざんなどの負のインパクトをステークホルダーへ与える可能性があります。パナソニックグループも、共同研究やカスタマーサービスやマーケティングなどの過程で、お取引先様やお客様からお預かりした情報の保護が重要であることを認識し、情報の漏えいや改ざんなどを防止するため、全社で情報セキュリティの確保に取り組んでいます。

▪方針

当社グループは、製品やサービスによってお客様の満足と信頼を得るためには、お取引先様、お客様等ステークホルダーからお預かりしている情報や個人情報を、皆様の大切な財産であるとともに、当社グループにとっても価値ある経営資源と認識し、適切に保護し、取り扱うことが重要であると考えています。また、EU一般データ保護規則(GDPR)制定以降、各国で個人情報保護法制の制定・改定が進んでいることや、当社グループデータ利活用事業拡大等に伴い、その重要性はますます大きくなっています。

そこで、情報セキュリティに関する方針を含めた「パナソニックグループ コンプライアンス行動基準」、情報セキュリティにかかる管理規程・ガイドライン等、また、グループ内各社で制定した情報セキュリティ基本方針および個人情報保護方針に基づき、情報セキュリティの確保と個人情報の保護に努めています。組織的、技術的、物理的な安全管理策の導入により、情報の正確な記録、適正な管理・利用・廃棄、情報の盗用・漏えい・改ざんの防止等を行います。さらに、定期的な従業員教育により、従業員の意識向上を図り、内部監査の実施により、情報の取り扱い状況を確認、評価し、改善に努めています。

また、委託先等に対して提供した情報の適切な安全管理が図られるよう、適正管理の徹底と契約の締結等によって必要かつ適正な措置を講じています。

▪責任者・体制

情報セキュリティ・個人情報保護の責任者は、グループ・チーフ・インフォメーション・オフィサー(グループCIO)の執行役員です。(2024年8月現在)

PHDおよび各事業会社に情報セキュリティ・個人情報保護の責任者を設置し、PHDが策定した基本方針および全社規程に基づき、各事業会社が、情報セキュリティの取り組みを推進しています。

▪個人情報保護・コンプライアンス

近年、各国で個人情報保護法制が制定・改定され、個人情報保護コンプライアンスの徹底が重要であることを認識しています。

当社グループでは、昨今のIoT事業拡大等に伴い、お客様のライフログ等パーソナルデータの取り扱い機会がグローバルに増加するため、より一層プライバシー保護に配慮したデータ管理に努めています。また、EU一般データ保護規則(GDPR)等、各国法順守のため、対応マニュアル等を整備し、従業員教育等の取り組みを行い、コンプライアンスと社会への説明責任を果たす取り組みを強化しています。当社グループは、PHD同等の方針をベースに各社で制定した個人情報保護方針に基づき、個人情報の保護に努めています。

また、当社グループでは、個人情報を情報の機微度や漏えいした場合の影響等に照らして区分し、区分に応じた組織的、技術的、物理的な安全管理策を講じるなど、リスクに応じた取り扱いを行っています。個人情報の取り扱い実態を確認する仕組みを導入し、個人情報(プライバシー)に関するリスクを定期的に評価しています。

例)PHDの場合

▪事故への対応

事故が発生した場合に、被害を最小限にとどめることができるように、インシデント対応関連規程に報告および対応体制を定め、従業員教育を通じて徹底しています。また、万一事故が起こってしまった際は、事故の原因究明と再発防止に向けた取り組みを行います。

▪教育

当社グループは、従業員一人ひとりのセキュリティの意識を向上させ、行動変容を促進するため、必要なセキュリティ教育を毎年実施しています。入社時・昇格時等の階層別や全従業員向けなどの対象者ごとに適した内容で、適正な情報管理やサイバーセキュリティにかかる教育、標的型攻撃訓練等を行っています。

2023年度 全社研修実績

情報セキュリティ:
■研修内容:情報セキュリティ・個人情報保護ルールの徹底
■受講対象:当社グループ傘下会社の全従業員

サイバーセキュリティ:
■研修内容:サイバーセキュリティ教育・訓練
■受講対象:当社グループ傘下会社の全従業員