情報セキュリティ

基本的な考え方

昨今、インターネット空間におけるサイバー攻撃は世界的に高度化しており、コンピュータウイルスによるサイバーテロや大規模な情報漏えい、ビジネスメール詐欺などの脅威が高まっています。
当社では、航空運送事業という重要インフラを担う企業グループとして「ANAグループ情報セキュリティ管理規程」に基づき情報セキュリティ管理体制を構築し、日常的に情報システムの機能向上や多層防御によるセキュリティ対策を講じています。なお、ANAグループのシステムにおけるセキュリティ対策を担うANAシステムズ株式会社ではISO27001の認証を取得しています。

ANAグループ 情報セキュリティ宣言

ANAホールディングス株式会社とその関連会社(以下、「ANAグループ」といいます)は、お客様の個人情報をはじめとする情報資産を保護することの重要性を認識し、法令および技術標準を遵守し、それらの情報資産をリスクに応じて正確、安全かつ適正に取り扱い、利害関係者の皆様からの信頼に応えるべく以下の取り組みを実施します。

  1. ANAグループは、保有する情報資産の機密性、完全性、可用性の確保に努めます。
  2. ANAグループは、情報資産を、法的な要請等の合理的な必要性がない限り開示致しません。
  3. ANAグループは、情報資産の保護を目的に情報セキュリティ向上に取り組む専門組織を設け、情報セキュリティを確保するための施策を規程として定め、情報管理に関する教育、有効性の評価、監査および改善を行なうことによって、常に情報セキュリティの維持、向上に努めます。
  4. ANAグループは、全ての役職員が情報資産の機密性、完全性、可用性を損ねる行為を行った場合、所定の手続きに則り、厳格に対応します。

推進体制

取締役会で決定された基本方針のもと、ANAグループにおける情報セキュリティに関する基本的な考え方を宣言した「ANAグループ情報セキュリティ宣言」に基づき、「グループESG経営推進会議」にて基本政策の立案・発議を行っています。
グループ各社・各部署においては、ESGプロモーションオフィサー(EPO)を推進責任者、ESGプロモーションリーダー(EPL)を推進実行者として、情報セキュリティに取り組んでいます。

取締役会で決定された基本方針・行動原則のもと、「グループESG経営推進会議」にて基本政策の立案・発議を行っている。グループESG経営推進会議はチーフESGプロモーションオフィサー(グループリスク&コンプライアンス担当役員)に指示・監督を行う 。必要に応じて、ANAHDグループ監査部は、グループESG経営推進会議にオブザーバーとして出席する。事務局は、グループESG経営推進会議の全体調整・運営を行う。グループ総務部は、チーフESGプロモーションオフィサーを補佐する。また、システムに関連するインシデントの発生に備え、グループIT推進担当役員の下にCSIRT(セキュリティインシデントに対応するための専門チーム)を設置し、迅速な対応を図れるようにしている。ANAグループ各社においては、ESGプロモーションオフィサーのもとに、ESGプロモーションリーダーを配置する。さらに、ESGプロモーションリーダーと役職員の間には、情報オーナー(各部室長)・システムオーナーを配置し、情報セキュリティ推進体制を構築している。
取締役会で決定された基本方針・行動原則のもと、「グループESG経営推進会議」にて基本政策の立案・発議を行っている。グループESG経営推進会議はチーフESGプロモーションオフィサー(グループリスク&コンプライアンス担当役員)に指示・監督を行う 。必要に応じて、ANAHDグループ監査部は、グループESG経営推進会議にオブザーバーとして出席する。事務局は、グループESG経営推進会議の全体調整・運営を行う。グループ総務部は、チーフESGプロモーションオフィサーを補佐する。また、システムに関連するインシデントの発生に備え、グループIT推進担当役員の下にCSIRT(セキュリティインシデントに対応するための専門チーム)を設置し、迅速な対応を図れるようにしている。ANAグループ各社においては、ESGプロモーションオフィサーのもとに、ESGプロモーションリーダーを配置する。さらに、ESGプロモーションリーダーと役職員の間には、情報オーナー(各部室長)・システムオーナーを配置し、情報セキュリティ推進体制を構築している。

ANAグループの事業において、個人情報はサービスを提供するにあたって欠かせないものであり、お客様からお預かりした大切な資産と考えています。万一、個人情報の漏えいなど情報セキュリティに関わるインシデントが発生した場合には、発生部署のESGプロモーションリーダーを通じてグループ総務部に報告することとしています。
重大なインシデントの場合には、「Crisis Management Manual」に規定した危機対応体制を速やかに立ち上げ、社内外の関係先と連携しながら緊急事態に対応します。また、サイバーセキュリティの面では、CSIRT(セキュリティインシデントに対応するための専門チーム)を設置して、インシデント発生時には迅速な対応を図れるようにしています。

主な取り組み

個人情報保護

個人情報保護に関する国内外の法令を遵守するため、プライバシーポリシーや社内の関連規程の改定を行っており、日本の改正個人情報保護法や、諸外国(米国、欧州、中国、タイ等)の法改正にも適切に対応しています。また、社員一人ひとりに対しても、個人情報保護の重要性と厳正な取り扱いの必要性について社内教育を実施しています。2023年4月には「プライバシーガバナンスチーム」として専任の体制を構築し、今後、顧客データ資産を活用したプラットフォームビジネスの確立とともに、法令遵守はもとより、倫理的適切性の観点も踏まえたプライバシーガバナンスの強化に取り組んでいきます。

詳細はこちら プライバシーガバナンス

サイバーセキュリティ対策

ANAは内閣サイバーセキュリティセンターが指定する国の重要インフラ事業者に位置付けられており、関連省庁が定めたガイドラインに則って、多層防御を行い、その防御について24時間365日、監視しています。サイバー攻撃が高度化、巧妙化する中で、インテリジェンス(サイバー攻撃の早期警戒情報)の活用が非常に有効的であり、Aviation-ISAC(Information Sharing and Analysis Center)や交通ISAC、またダークウェブの調査などを含めて予防対策に活用しています。また防御においてもゼロトラストの考え方を導入し、「操作する人・通信を発生させる機器・システム処理のプロセス」の3点をチェックし、信頼性を確保しています。
また昨今の他社におけるサイバーセキュリティ事象から、ANAグループでのセキュリティ対策のみならず、サプライチェーン全体での防御力強化の必要性が高まっており、関係省庁や経団連等の関連団体との連携を強化し、当該の団体を通じて必要な働きかけを実施し、セキュリティ強化の普及啓発に協力しています。
一方、身近なサプライチェーンとしてのANAグループ会社においては、各社のIT資産の可視化を最重要課題として取り組んでいます。グループ各社における外部からの攻撃ポイントであるアタックサーフェスをマネジメントすることによって、発見された課題や脆弱性について、プライオリティ付けを行い、各グループ会社が必要な対策を行えるように周知・連絡・相談を密に行っています。
セキュリティ人財育成については定期的に社員向けウェブサイトへ情報セキュリティに関する注意喚起文書とそのリマインド教育資料を掲載しており、自らの業務に加えて、「+セキュリティ」の教育により、セキュリティへの気付きを高めています。一方、セキュリティ専門人財の育成は喫緊の課題であり、経験者採用を継続するとともに、他部署からの異動を募り、セキュリティ専門教育を受講してもらうことで、セキュリティ統括人財としての育成を進めています。
法令関連対応として、各国のプライバシー法令について順次対応しています。また国内において、経済安全保障推進法に伴う各種ITシステムおよびサイバーセキュリティに必要となる対応については、国・経団連など関連団体との密な連携により推進しています。

教育の実施

個人情報保護を含む情報セキュリティの重要性やサイバー攻撃の脅威を理解し、情報資産を守る行動を確実に実行するために、グループ社員を対象にした常設のeラーニングを整備すると共に、最新の事例などを取り込んだ知識付与を定期的に行っています。

情報セキュリティリスクアセスメントの実施

ANAグループでは、定期的に国内外の事業所に対して、専門チームによる情報セキュリティリスクアセスメントを実施し、第三者の視点から情報資産の管理状況を点検し、課題の抽出と改善を図っています。加えて、規程の順守状況を毎年振り返る自己点検制度を定めており、各組織の情報セキュリティ向上に取り組んでいます。

ページトップへ