このページの本文へ移動

情報セキュリティ

JALグループでは2014年9月にJALマイレージバンクへの不正ログインと顧客情報管理システムへの不正アクセスによる個人情報漏えいが発生しました。多くのお客さまとご関係者の皆さまにご迷惑やご心配をおかけしましたことを深くおわび申し上げます。これを受け、情報セキュリティ強化を最重要課題と位置付け、「JALグループ個人情報保護ハンドブック」を策定し、「情報取扱区分」の改訂などを通じて、お客さま情報とそのほかの情報を厳格に分けて管理し、個人情報漏えいの再発防止に努めています。
また、グループリスクマネジメント会議と、その下部会議体であるリスクマネジメント・情報セキュリティ委員会が、個人情報の取り扱いおよび情報セキュリティに係る会議体を担い、交通ISAC*1やAviation-ISAC*2にも加盟し、情報セキュリティの強化および企業リスクの低減を実現する体制を整備しています。
今後も、ますます高度化・複雑化する外部からの攻撃に対して、十分な検知・監視体制を整えるとともに、予防対策を常に進化させ、万全な対策を講じていきます。

※1 交通・運輸分野の事業者の集団防御力の向上に資する活動を推進する体制
※2 航空会社、航空機メーカーなどで構成されるグローバルな情報共有組織

JALグループにおける情報セキュリティに関する基本方針

JALグループは、高度情報通信社会における情報セキュリティの重要性に鑑み、以下のグループ方針に基づき、会社が保有する情報の適正な管理と保護に努めます。

1. 法令等の遵守

法令および行政機関が定めた方針・ガイドライン等を遵守します。

2. 管理体制の確立

社内における管理体制を確立し、責任分担を明確にします。

3. 社内方針・規程・ガイドライン等の遵守

社内方針・社内規程・ガイドライン等を策定し、それを遵守します。

4. 安全対策の実施

安全対策を実施し、情報への不正アクセス、情報の紛失・破壊・改ざんおよび漏洩等に対する予防措置を講じます。

5. 教育・啓発活動の実施

社員に対する教育・啓発活動を推進し、情報管理に対する知識習得と意識向上を目指すとともに、情報が適正に管理されるよう周知徹底を図ります。

6. 業務委託先との連携

情報管理に関する業務を他社に委託する場合には、十分な経験・能力を有する者を選定するとともに、契約にあたって守秘義務に関する事項等を規定し、情報が適正に管理されることを担保します。

7. 業務改善への取り組み

情報が適正に管理されているか定期的にチェックし、継続的に業務改善への取り組みを実施します。

8. 事故発生時の対策

万一、事故が発生した場合には、被害を最小限に留めるとともに、速やかに必要な情報を公開し、再発防止策を含む適切な対策を講じます。

9. 相談窓口の明確化

お客さまからの問い合わせ、苦情や要望に対応するための相談窓口を定め、誠意をもって迅速に対応します。

10. 方針の公開

本方針を含む情報セキュリティに関する方針をホームページ等に掲載することにより、広く社会に公開します。

情報セキュリティの管理体制

情報セキュリティは、代表取締役社長を議長とし、各部門を統括する本部長を中心に構成されるグループリスクマネジメント会議を最上位の会議体と位置づけ、管理・推進しています。

グループリスクマネジメント会議の下部会議体として、総務本部長を委員長、IT企画本部長を副委員長とするリスクマネジメント・情報セキュリティ委員会が、情報セキュリティ強化を実現します。

また、IT企画本部長がCISO(Chief Information Security Officer)を担い、その配下で情報セキュリティを担う専門組織が、国土交通省が定めるガイドライン*3に則り、情報セキュリティ強化に必要な対策を推進しています。

※3 航空分野における情報セキュリティ確保に係る安全ガイドライン

主な取り組み

(1)情報収集

サイバーセキュリティの強化には事前の情報収集が不可欠であることから、交通ISACやAviation-ISACに参画し、得られた情報を情報セキュリティ対策の継続的な改善に活用しています。

(2)脅威の監視と脆弱性テストの実施

日頃よりインシデント発生時に備え、複数の社外専門機関と連携し、24時間365日体制で不正アクセスやウイルス感染などの脅威を監視しています。また、公開サーバについては、ペネトレーションテストを含む脆弱性の網羅的な確認を実施しています。

(3)リモートワークなどニューノーマルへの対応

新型コロナウイルス感染症拡大にともなう航空需要の急減により生じた人財の余力を最大限活用するべく、地上業務が行える環境を整備し、さらに感染防止のために出社を制限したため、在宅勤務の比率が他業界と比べて高くなっています。高い比率の在宅勤務は今後も続く可能性があり、新たに生じるサイバーリスクへの対策が必要となっています。具体的には、在宅勤務におけるサイバー攻撃などの被害が当社の運航を担う部門の業務に影響し、便の遅延や欠航につながるリスクがあります。また、在宅環境において個人情報等の重要情報を取り扱うことから、在宅環境におけるITセキュリティを強化しています。情報漏えい対策として、社外で重要情報を取り扱うためのルールを再整備し、社外で利用できる情報を明確にしました。また、サイバーリスクへの対策として、社外で安全に利用できる新しいセキュリティ対策を施した会社端末の導入も始めています。

(4)インシデント対応

インシデント発生時にはリスクマネジメントマニュアルに則り、情報セキュリティ専門組織を事務局とするCSIRT体制(サイバーインシデントへの対応体制)を構築し、迅速な対応と再発防止を行っています。また、インシデント発生に備え、年間2回以上のCSIRT訓練を計画・実施しています。サイバー事故を含む賠償リスクなどに対しては、これを補償するための保険にも加入しています。

(5)教育・訓練の実施

情報セキュリティに対する社員の意識を高め、情報流出などのインシデント発生を防止するため、全役員・社員を対象に情報セキュリティ研修を年間2回以上実施しています。また、ウイルスメールやビジネスメール詐欺による被害を防止するため、標的型メール訓練を毎年複数回実施しています。

(6)情報セキュリティリスクアセスメントの実施

専門組織による情報資産の管理状況の対面検査や情報セキュリティ規程への適合チェックをグループ会社も含め実施しています。
また、社外専門機関による年1回の監査を継続して実施しており、外部監査人の意見をふまえ、必要な改善を継続的に行っています。

(7)情報セキュリティに関する社員の評価

情報セキュリティに関しては、社員が遵守すべき事項を定めた情報セキュリティ規程に違反した場合に、懲戒を含む処分の対象としており、情報セキュリティは社員の評価の一部となっています。

ページの先頭へ移動