情報セキュリティ

JALグループでは2014年9月にJALマイレージバンクへの不正ログインと顧客情報管理システムへの不正アクセスによる個人情報漏えいが発生しました。多くのお客さまとご関係者の皆さまにご迷惑やご心配をおかけしましたことを深くおわび申し上げます。これを受け、情報セキュリティ強化を最重要課題と位置付け、「JALグループ個人情報保護ハンドブック」を策定し、「情報取り扱い区分」の改訂等を通じて、お客さま情報とその他の情報を厳格に分けて管理し、個人情報漏えいの再発防止に努めています。
また、グループリスクマネジメント会議と、その下部会議体である情報セキュリティ・個人情報保護委員会が、個人情報の取り扱いおよび情報セキュリティに係る会議体を担い、交通ISAC^＊1やAviation-ISAC^＊2にも加盟し、情報セキュリティの強化および企業リスクの低減を実現する体制を整備しています。
今後も、ますます高度化・複雑化する外部からの攻撃に対して、十分な検知・監視体制を整えるとともに、予防対策を常に進化させ、万全な対策を講じていきます。
なお、JALグループ全体のシステム基盤を担う部門、および業務システムを担う部門においてISO27001の認証を取得しています。

※1 交通・運輸分野の事業者の集団防御力の向上に資する活動を推進する体制
※2 航空会社、航空機メーカー等で構成されるグローバルな情報共有組織

※本認証書の無断転用・無断転載をお断りいたします。

JALグループは、旅客・貨物の航空輸送サービスなどの提供を確かなものとするために、高度情報通信社会における情報セキュリティと個人情報保護の重要性、ならびに情報セキュリティが安全運航に影響を与えるリスクの増大に鑑み、以下のグループ方針にもとづき、会社が保有する情報の適正な管理と保護に努めます。

• 法令および行政機関が定めた方針・ガイドライン等を遵守します。

• 社内における情報セキュリティおよび個人情報保護の責任者を任命し、管理体制を確立させ、責任分担を明確にします。

• 社内方針・社内規程・ガイドライン等を策定し、それを遵守します。

• 情報セキュリティ対策（情報資産の保護）を実施します。
• 情報への不正アクセス、情報の紛失・破壊・改ざんおよび漏洩等に対する予防措置を講じます。
• 情報の機密性・完全性・可用性を保護します。

• 情報セキュリティ・個人情報保護を確保するために社員が果たすべき役割と責任を明確にします。
• 社員に対する教育・啓発活動を推進し、情報管理に対する知識習得と意識向上を目指します。
• 公正な情報セキュリティ文化を醸成し、情報が適正に管理されるよう周知徹底を図ります。

• 情報管理に関する業務を他社に委託する場合や情報を取り扱うサプライヤーとの取引については、十分な経験・能力を有する者を選定します。
• 契約にあたって守秘義務に関する事項とJALグループの情報セキュリティ・個人情報保護の水準を維持するために必要な事項等を規定するとともに本方針への準拠を求め、情報が適正に管理されることを担保します。

• 情報が適正に管理されているか定期的にチェックします。
• 情報セキュリティシステムへの継続的な投資を含む業務改善の取り組みを実施します。

• 情報セキュリティの脅威を監視し、万一、事故が発生した場合には、被害を最小限に留めるともに、速やかに必要な情報を公開し、再発防止策を含む適切な対策を講じます。

• お客さまからの問い合わせ、苦情や要望に対応するための相談窓口を定め、誠意をもって迅速に対応します。

• 本方針は定期的な間隔で見直しするとともに、情報セキュリティおよび個人情報保護に関する方針をホームページ等に掲載することにより、広く社会に公開します。

JALグループ全体の情報セキュリティの管理体制は、鳥取三津子代表取締役社長、情報セキュリティを担うデジタルテクノロジー本部を管掌する青木紀将取締役副社長執行役員などで構成するグループリスクマネジメント会議において、JALグループ全体の情報セキュリティのリスクを管理・推進しています。

デジタルテクノロジー本部長は、CISO（Chief Information Security Officer）として、配下に情報セキュリティを担う組織を設置し、情報セキュリティの国際規格（ISO27001）や国土交通省が定めるガイドライン＊3に則り、情報セキュリティ強化に必要な対策を推進しています。

※3 航空分野における情報セキュリティ確保に係る安全ガイドライン

サイバーセキュリティの強化には事前の情報収集が不可欠であることから、交通ISACやAviation-ISACに参画し、得られた情報を情報セキュリティ対策の継続的な改善に活用しています。
加えて、日頃よりインシデント発生時に備え、複数の社外専門機関と連携し、24時間365日体制で不正アクセスやウイルス感染等の脅威を監視しています。また、公開サーバについては、ペネトレーションテストを含む脆弱性の網羅的な確認を実施しています。

また、在宅環境において個人情報等の重要情報を取り扱うことから、情報漏えい対策として、社外で重要情報を取り扱うためのルールを詳細化し、社外で利用できる情報を明確にしました。さらに、サイバーリスクへの対策として「ゼロトラスト」の考え方に基づき、社外で安全に利用できる新しいセキュリティ対策を施した会社端末を導入するとともに、利用が拡大しているクラウドサービスの網羅的なリスク評価を推進しています。

インシデント発生時にはリスクマネジメントマニュアルに則り、情報セキュリティ専門組織を事務局とするJALグループCSIRT体制（サイバーインシデントへの対応体制）を構築し、迅速な対応と再発防止を行っています。また、インシデント発生に備え、年間2回以上のJALグループCSIRT訓練を計画・実施しています。

情報セキュリティに対する社員の意識を高め、情報流出等のインシデント発生を防止するため、全役員・社員を対象に情報セキュリティ研修を年間2回以上実施しています。また、ウイルスメールやビジネスメール詐欺による被害を防止するため、標的型メール訓練を毎年複数回実施しています。

情報セキュリティに関しては、社員が遵守すべき事項を定めた情報セキュリティ規程に違反した場合に、懲戒を含む処分の対象としており、情報セキュリティは社員の評価の一部となっています。

専門組織による情報資産の管理状況の対面検査や情報セキュリティ規程への適合チェックをグループ会社も含め実施しています。
また、社外専門機関による年1回の監査を継続して実施しており、外部監査人の意見を踏まえ、必要な改善を継続的に行っています。