情報セキュリティ

基本的な考え方

昨今、インターネット空間におけるサイバー攻撃は世界的に高度化しており、コンピュータウイルスによるサイバーテロや大規模な情報漏えい、ビジネスメール詐欺などの脅威が高まっています。
当社では、航空運送事業という重要インフラを担う企業グループとして「ANAグループ情報セキュリティ管理規程」に基づき情報セキュリティ管理体制を構築し、日常的に情報システムの機能向上や多層防御によるセキュリティ対策を講じています。なお、ANAグループのシステムにおけるセキュリティ対策を担うANAシステムズ株式会社ではISO27001の認証を取得しています。

ANAグループ 情報セキュリティ宣言

ANAホールディングス株式会社とその関連会社(以下、「ANAグループ」といいます)は、お客様の個人情報をはじめとする情報資産を保護することの重要性を認識し、法令および技術標準を遵守し、それらの情報資産をリスクに応じて正確、安全かつ適正に取り扱い、利害関係者の皆様からの信頼に応えるべく以下の取り組みを実施します。

  1. ANAグループは、保有する情報資産の機密性、完全性、可用性の確保に努めます。
  2. ANAグループは、情報資産を、法的な要請等の合理的な必要性がない限り開示致しません。
  3. ANAグループは、情報資産の保護を目的に情報セキュリティ向上に取り組む専門組織を設け、情報セキュリティを確保するための施策を規程として定め、情報管理に関する教育、有効性の評価、監査および改善を行なうことによって、常に情報セキュリティの維持、向上に努めます。
  4. ANAグループは、全ての役職員が情報資産の機密性、完全性、可用性を損ねる行為を行った場合、所定の手続きに則り、厳格に対応します。

推進体制

ANAグループでは、リスクマネジメントの一部として情報セキュリティに取り組んでおり、チーフESGプロモーションオフィサー(CEPO)が最高責任者として統括しています。CEPOを議長とする「グループESG経営推進会議」にて基本施策の立案・発議を行い、取締役会で決定された基本方針に則って業務を遂行しています。

ANAグループの事業において、個人情報はサービスを提供するにあたって欠かせないものであり、お客様からお預かりした大切な資産と考えています。万一、個人情報の漏えいなど情報セキュリティに関わるインシデントが発生した場合には、発生部署のESGプロモーションリーダーを通じてグループ総務部に報告することとしています。
重大なインシデントの場合には、「Crisis Management Manual」に規定した危機対応体制を速やかに立ち上げ、社内外の関係先と連携しながら緊急事態に対応します。また、サイバーセキュリティの面では、CSIRT(セキュリティインシデントに対応する ための専門チーム)を設置して、インシデント発生時には迅速な対応を図れるようにしています。

主な取り組み

個人情報保護

近年、個人情報やプライバシーに関する法令が国内外で次々と制定されており、当社でも2018年に欧州の一般データ保護規則(GDPR)、2020年に中国サイバーセキュリティ法(CCSL)や米国カリフォルニア州消費者プライバシー法(CCPA)に準拠する取り扱いを行うべく、プライバシーポリシーや社内の関連規程の改定を行いました。

サイバーセキュリティ対策

ANAは内閣サイバーセキュリティセンターが指定する国の重要インフラ事業者に位置付けられており、経済産業省が定めたガイドラインに則って、入口対策、出口対策、ウイルス侵入対策を行い、その防御について24時間365日、監視しています。
また、サイバーセキュリティにはサイバー攻撃の早期警戒情報の活用が効果的であることから、航空会社や航空機メーカー等で構成されるAviation-ISAC(Information Sharing and Analysis Center)や交通ISAC等の情報共有組織に加盟し、業種内外から情報を早期に取得し予防対策に活用しています。2019年秋には経団連より「取締役向けのサイバーリスクハンドブック」が発行されました。インシデントは必ず起こるという前提に立って対策に取り組む一方で、デジタル技術の活用は企業を成長させる重要な手段であることからバランス感のある対策が望まれます。ANAグループでは、これからもサイバーセキュリティをグループ全体のリスク管理の課題と理解して、取締役会も含めて対応していきます。

専門人材の育成

外部機関と連携したセキュリティ専門人材の育成や、他企業との情報共有などを積極的に行い知見の向上を図るとともに、問題が発生した場合に備え、速やかに初動体制を構築し、各部署と連携して対策をとることで影響を最小限に留めるよう対応演習を行っています。

教育の実施

個人情報保護を含む情報セキュリティの重要性やサイバー攻撃の脅威を理解し、情報資産を守る行動を確実に実行するために、グループ社員を対象にした常設のeラーニングを整備すると共に、最新の事例などを取り込んだ知識付与を定期的に行っています。

情報セキュリティリスクアセスメントの実施

ANAグループでは、定期的に国内外の事業所に対して、専門チームによる情報セキュリティリスクアセスメントを実施し、第三者の視点から情報資産の管理状況を点検し、課題の抽出と改善を図っています。加えて、規程の順守状況を毎年振り返る自己点検制度を定めており、各組織の情報セキュリティ向上に取り組んでいます。

ページトップへ