情報セキュリティ

当社グループでは、情報セキュリティやサイバーセキュリティを経営の最重要課題の一つと位置付けております。このため、お客さまに関わる情報資産を含む当社が保有する情報資産を、さまざまなセキュリティ上の脅威から保護することが当社の社会的責務であると認識し、情報セキュリティ方針を定め、役員・社員一同がこれを遵守することによって、情報資産の機密性、完全性、可用性の維持・向上に万全を尽くしています。
詳細については以下をご参照ください。

当社グループは、保有する全ての情報資産をさまざまなセキュリティ上の脅威から保護するため、実効性のある情報セキュリティ管理態勢・ルールの確立に努めています。当社は常務執行役員であるリスクマネジメント本部長（CISO）のもと、組織横断型チームの「MHC-SIRT（Security Incident Response Team）」を設置し、サイバー攻撃等の未然防止や定期的な社内教育・訓練、インシデント発生時の対応検討・原因調査等を行っています。また、部店毎に情報セキュリティ管理者および担当者を設置し、組織全体としての情報セキュリティ管理態勢を整えています。

国内外で発生するサイバー攻撃の情報や脆弱性情報等は、MHC-SIRTが外部のセキュリティ専門機関の協力のもと、日次で情報を収集・評価・共有し、迅速かつ適切に対策を講じています。

当社は、サイバー攻撃への備えとして、EDR^※1による機器の動作監視やソフトウェア脆弱性対策、Webフィルタリングや多要素認証等、多層的な技術的対策を実施しています。また、個人情報等の重要情報を管理する社外公開のWebサイトに対しては、WAF^※2や改ざん検知システムを導入し技術的な対策を講じるとともに、新規構築時に加え毎年1回以上定期的に脆弱性診断サービスを活用して検査を行い、脆弱性の深刻度に応じて、是正対策を実施しています。
ヒューマンエラーへの備えとして、メール誤送信対策システムにより、社外メール送信時のセルフチェックや添付ファイルを自動的にパスワード保護する仕組みを導入しています。また、リスクの高い情報等を含んだ添付ファイルについては、システムが自動検知し、役職者の再鑑を経ないと送信できない制御を講じています。

当社は、全ての役職員を対象に情報セキュリティおよびサイバーセキュリティについて、eラーニングによる教育を毎年実施しています。入社時には情報セキュリティ研修を実施するとともに、業務に従事する役職員が守るべきセキュリティルールを定めた誓約書を徴求することで、情報セキュリティ管理を徹底しています。当社の教育コンテンツ等はグループ会社に共有し、当社グループ全体で情報セキュリティ教育に積極的に取り組んでいます。また、当社グループでは、標的型攻撃メールやフィッシングメール等に対する教育として、実際に攻撃メールを装った模擬メールを役職員に送付し、受信体験を通してセキュリティ感度を高める標的型攻撃メール訓練を毎年実施しています。
MHC-SIRTでは、ランサムウェア感染や不正アクセス等の複数のシナリオに基づいたシナリオ型訓練や当社グループ内での合同訓練を毎年1回実施しています。更に、日本シーサート協議会と内閣サイバーセキュリティセンターの主催する全国シーサート合同演習にも毎年参加することで、サイバー攻撃対応の実効性向上に取り組んでいます。

当社は、情報セキュリティ事故等が発生した場合に備え、エスカレーションルールやインシデント対応手順を定めており、有事はMHC-SIRTが中心になって、初動対応・影響範囲の特定・復旧・再発防止措置等を実施します。重大なインシデントは、リスクマネジメント本部長（CISO）等に報告され、経営主導のもと、対応します。
また、外部SOC（Security Operation Center）による24時間365日のセキュリティ監視を行い、異常を検知した場合は、端末を隔離するなど、被害拡大防止と早期復旧するための態勢を整えています。

当社は、外部委託先の選定および管理の手続きを定めており、外部委託する際に情報セキュリティ要求事項等に基づき、委託先の情報セキュリティ対策状況等を評価しています。委託先の管理状況は毎年1回棚卸および点検を実施しています。

当社の一部部署（公共営業部）では、一般財団法人日本品質保証機構（JQA）による審査を受け、情報セキュリティマネジメントシステム国際規格（ISO／IEC27001）に基づくISMS認証を取得しています。