情報セキュリティ

基本的な考え方

昨今、インターネット空間におけるサイバー攻撃は世界的に高度化しており、コンピュータウイルスによるサイバーテロや大規模な情報漏えい、ビジネスメール詐欺などの脅威が高まっています。
当社では、航空運送事業という重要インフラを担う企業グループとして「ANAグループ情報セキュリティ管理規程」に基づき情報セキュリティ管理体制を構築し、日常的に情報システムの機能向上や多層防御によるセキュリティ対策を講じています。なお、ANAグループのシステムにおけるセキュリティ対策を担うANAシステムズ株式会社ではISO27001の認証を取得しています。

ANAグループ 情報セキュリティ宣言

ANAホールディングス株式会社とその関連会社(以下、「ANAグループ」といいます)は、お客様の個人情報をはじめとする情報資産を保護することの重要性を認識し、法令および技術標準を遵守し、それらの情報資産をリスクに応じて正確、安全かつ適正に取り扱い、利害関係者の皆様からの信頼に応えるべく以下の取り組みを実施します。

  1. ANAグループは、保有する情報資産の機密性、完全性、可用性の確保に努めます。
  2. ANAグループは、情報資産を、法的な要請等の合理的な必要性がない限り開示致しません。
  3. ANAグループは、情報資産の保護を目的に情報セキュリティ向上に取り組む専門組織を設け、情報セキュリティを確保するための施策を規程として定め、情報管理に関する教育、有効性の評価、監査および改善を行なうことによって、常に情報セキュリティの維持、向上に努めます。
  4. ANAグループは、全ての役職員が情報資産の機密性、完全性、可用性を損ねる行為を行った場合、所定の手続きに則り、厳格に対応します。

推進体制

取締役会で決定された基本方針のもと、ANAグループにおける情報セキュリティに関する基本的な考え方を宣言した「ANAグループ情報セキュリティ宣言」に基づき、「グループESG経営推進会議」にて基本政策の立案・発議を行っています。
グループ各社・各部署においては、ESGプロモーションオフィサー(EPO)を推進責任者、ESGプロモーションリーダー(EPL)を推進実行者として、情報セキュリティに取り組んでいます。

ANAグループの事業において、個人情報はサービスを提供するにあたって欠かせないものであり、お客様からお預かりした大切な資産と考えています。万一、個人情報の漏えいなど情報セキュリティに関わるインシデントが発生した場合には、発生部署のESGプロモーションリーダーを通じてグループ総務部に報告することとしています。
重大なインシデントの場合には、「Crisis Management Manual」に規定した危機対応体制を速やかに立ち上げ、社内外の関係先と連携しながら緊急事態に対応します。また、サイバーセキュリティの面では、CSIRT(セキュリティインシデントに対応するための専門チーム)を設置して、インシデント発生時には迅速な対応を図れるようにしています。

主な取り組み

個人情報保護

近年、個人情報やプライバシーに関する法令が国内外で次々と制定されており、当社でもこれまで、欧州の一般データ保護規則(GDPR)、中国のサイバーセキュリティ法(CCSL)・個人情報保護法(PIPL)、米国のカリフォルニア州消費者プライバシー法(CCPA)、日本の改正個人情報保護法、タイの個人情報保護法(PDPA)に準拠する取り扱いを行うべく、プライバシーポリシーや社内の関連規程の改定を行いました。また、これらの法令や社内の関連規程の教育を行うなど、お客様、株主様、取引先、従業員の個人情報を適切に取り扱うための取り組みを強化しています。

サイバーセキュリティ対策

ANAは内閣サイバーセキュリティセンターが指定する国の重要インフラ事業者に位置付けられており、関連省庁が定めたガイドラインに則って、多層防御を行い、その防御について24時間365日、監視しています。ANAグループとしても、セキュリティ専門人財の育成を行うとともにCSIRT(セキュリティインシデントに対応するための専門チーム)を設置して、インシデント発生時には迅速な対応を図れるようにしています。
また、サイバーセキュリティにはサイバー攻撃の早期警戒情報の活用が効果的であることから、航空会社や航空機メーカー等で構成されるAviation-ISAC(Information Sharing and Analysis Center)や交通ISAC等の情報共有組織に加盟し、業種内外から情報を早期に取得し予防対策に活用しています。
サイバーセキュリティにおいてインシデントは必ず起こるという前提に立って対策に取り組む一方で、ANAグループのサービスや商品においても、MaaS(Mobility as a Service)やANAスーパーアプリ等のデジタルトランスフォーメーションを推進していく上で、従来のセキュリティ対策から「TRUST」(=認証をベースとした信頼できる人・物との通信・プロセスの信頼性チェック)をベースとしたZero-Trustの考え方を導入しています。あらゆる業種・業界とつながる社会におけるサプライチェーン間でのセキュリティ向上に向けて、関係省庁、経団連等の経済団体、ISAC等の民間のセキュリティ団体との連携を強化していきます。

専門人材の育成

外部機関と連携したセキュリティ専門人材の育成や、他企業との情報共有などを積極的に行い知見の向上を図るとともに、問題が発生した場合に備え、速やかに初動体制を構築し、各部署と連携して対策をとることで影響を最小限に留めるよう対応演習を行っています。

教育の実施

個人情報保護を含む情報セキュリティの重要性やサイバー攻撃の脅威を理解し、情報資産を守る行動を確実に実行するために、グループ社員を対象にした常設のeラーニングを整備すると共に、最新の事例などを取り込んだ知識付与を定期的に行っています。

情報セキュリティリスクアセスメントの実施

ANAグループでは、定期的に国内外の事業所に対して、専門チームによる情報セキュリティリスクアセスメントを実施し、第三者の視点から情報資産の管理状況を点検し、課題の抽出と改善を図っています。加えて、規程の順守状況を毎年振り返る自己点検制度を定めており、各組織の情報セキュリティ向上に取り組んでいます。

ページトップへ