このページの本文へ移動
メニュー 閉じる

情報セキュリティ

JALグループでは2014年9月にJALマイレージバンクへの不正ログインと顧客情報管理システムへの不正アクセスによる個人情報漏えいが発生しました。多くのお客さまとご関係者の皆さまにご迷惑やご心配をおかけしましたことを深くおわび申し上げます。これを受け、情報セキュリティ強化を最重要課題と位置付け、「JALグループ個人情報保護ハンドブック」を策定し、「情報取り扱い区分」の改訂等を通じて、お客さま情報とその他の情報を厳格に分けて管理し、個人情報漏えいの再発防止に努めています。
また、グループリスクマネジメント会議と、その下部会議体であるリスクマネジメント・情報セキュリティ委員会が、個人情報の取り扱いおよび情報セキュリティに係る会議体を担い、交通ISAC*1やAviation-ISAC*2にも加盟し、情報セキュリティの強化および企業リスクの低減を実現する体制を整備しています。
今後も、ますます高度化・複雑化する外部からの攻撃に対して、十分な検知・監視体制を整えるとともに、予防対策を常に進化させ、万全な対策を講じていきます。
なお、JALグループ全体のシステム基盤を担う部門、および業務システムを担う部門においてISO27001の認証を取得しています。

※1 交通・運輸分野の事業者の集団防御力の向上に資する活動を推進する体制
※2 航空会社、航空機メーカー等で構成されるグローバルな情報共有組織

※本認証書の無断転用・無断転載をお断りいたします。

ISO27001認証登録証明書1

JALグループにおける情報セキュリティに関する基本方針

JALグループは、高度情報通信社会における情報セキュリティの重要性に鑑み、以下のグループ方針にもとづき、会社が保有する情報の適正な管理と保護に努めます。

1. 法令等の遵守

法令および行政機関が定めた方針・ガイドライン等を遵守します。

2. 管理体制の確立

社内における管理体制を確立し、責任分担を明確にします。

3. 社内方針・規程・ガイドライン等の遵守

社内方針・社内規程・ガイドライン等を策定し、それを遵守します。

4. 安全対策の実施

安全対策を実施し、情報への不正アクセス、情報の紛失・破壊・改ざんおよび漏洩等に対する予防措置を講じます。

5. 教育・啓発活動の実施

社員に対する教育・啓発活動を推進し、情報管理に対する知識習得と意識向上を目指すとともに、情報が適正に管理されるよう周知徹底を図ります。

6. 業務委託先との連携

情報管理に関する業務を他社に委託する場合には、十分な経験・能力を有する委託先を選定するとともに、契約にあたって守秘義務に関する事項等を規定し、情報が適正に管理されることを担保します。

7. 業務改善への取り組み

情報が適正に管理されているか定期的にチェックし、継続的に業務改善への取り組みを実施します。

8. 事故発生時の対策

万一、事故が発生した場合には、被害を最小限に留めるとともに、速やかに必要な情報を公開し、再発防止策を含む適切な対策を講じます。

9. 相談窓口の明確化

お客さまからの問い合わせ、苦情や要望に対応するための相談窓口を定め、誠意をもって迅速に対応します。

10. 方針の公開

本方針を含む情報セキュリティに関する方針をホームページ等に掲載することにより、広く社会に公開します。

情報セキュリティの管理体制

JALグループ全体の情報セキュリティの管理体制は、鳥取三津子代表取締役社長、情報セキュリティを担うデジタルテクノロジー本部を管掌する青木紀将取締役副社長執行役員などで構成するグループリスクマネジメント会議において、JALグループ全体の情報セキュリティのリスクを管理・推進しています。

デジタルテクノロジー本部長は、CISO(Chief Information Security Officer)として、配下に情報セキュリティを担う組織を設置し、情報セキュリティの国際規格(ISO27001)や国土交通省が定めるガイドライン*3に則り、情報セキュリティ強化に必要な対策を推進しています。

※3 航空分野における情報セキュリティ確保に係る安全ガイドライン

主な取り組み

(1)サイバーセキュリティ対策

サイバーセキュリティの強化には事前の情報収集が不可欠であることから、交通ISACやAviation-ISACに参画し、得られた情報を情報セキュリティ対策の継続的な改善に活用しています。
加えて、日頃よりインシデント発生時に備え、複数の社外専門機関と連携し、24時間365日体制で不正アクセスやウイルス感染等の脅威を監視しています。また、公開サーバについては、ペネトレーションテストを含む脆弱性の網羅的な確認を実施しています。

また、在宅環境において個人情報等の重要情報を取り扱うことから、情報漏えい対策として、社外で重要情報を取り扱うためのルールを詳細化し、社外で利用できる情報を明確にしました。さらに、サイバーリスクへの対策として「ゼロトラスト」の考え方に基づき、社外で安全に利用できる新しいセキュリティ対策を施した会社端末を導入するとともに、利用が拡大しているクラウドサービスの網羅的なリスク評価を推進しています。

(2)インシデント対応

インシデント発生時にはリスクマネジメントマニュアルに則り、情報セキュリティ専門組織を事務局とするJALグループCSIRT体制(サイバーインシデントへの対応体制)を構築し、迅速な対応と再発防止を行っています。また、インシデント発生に備え、年間2回以上のJALグループCSIRT訓練を計画・実施しています。

(3)教育・訓練の実施

情報セキュリティに対する社員の意識を高め、情報流出等のインシデント発生を防止するため、全役員・社員を対象に情報セキュリティ研修を年間2回以上実施しています。また、ウイルスメールやビジネスメール詐欺による被害を防止するため、標的型メール訓練を毎年複数回実施しています。

(4)情報セキュリティに関する社員の評価

情報セキュリティに関しては、社員が遵守すべき事項を定めた情報セキュリティ規程に違反した場合に、懲戒を含む処分の対象としており、情報セキュリティは社員の評価の一部となっています。

(5)情報セキュリティリスクアセスメントの実施

専門組織による情報資産の管理状況の対面検査や情報セキュリティ規程への適合チェックをグループ会社も含め実施しています。
また、社外専門機関による年1回の監査を継続して実施しており、外部監査人の意見をふまえ、必要な改善を継続的に行っています。

ページの先頭へ移動
COPYRIGHT © JAPAN AIRLINES. ALL RIGHTS RESERVED.
採用情報
航空券予約
お問い合わせ
サイトマップ
one world
English