サイト内の現在位置を表示しています。

個人情報保護、プライバシー

取り組み方針

インターネットの普及とICTの急速な進展に伴い、スマートフォンなどの電子情報機器の保有が急速に拡大しています。加えて、AIの利活用による新サービスやイノベーションの創出が進み、個人情報保護やプライバシーへの配慮への関心がますます高くなってきています。特に欧州では、基本的人権の保護という観点から、EU基本権憲章において個人情報の保護を基本権として定めています。さらに、2018年5月からスタートしたEU一般データ保護規則(GDPR)では、個人情報やプライバシーの権利の保護と確立などを目的として、個人情報を管理および保護する方法などの要件を定めています。

安全・安心・公平・効率という社会価値の創造と実現を目指したサービス・ソリューションを提供する当社にとって、これらへの配慮を欠くことは大きなリスクともなります。一方、これらに配慮したサービス・ソリューションを提供することで、お客さまをはじめとする社会に信頼性の高い価値を提供することができると考えています。

当社では、「NECグループ行動規範」(Code of Conduct)において、秘密情報の管理と個人情報の管理について定めるとともに、個人情報保護に対する取り組みや、「社会受容性に配慮したプライバシー」をESG視点の経営優先テーマ「マテリアリティ」として特定しています。
新しい法令の枠組みなどの動向を把握しながら、個人情報保護やプライバシー課題に対し、以下の方針で取り組みを進めています。

<個人情報保護について>
個人情報とは、特定個人の識別情報であり、番号などの識別子単体の情報もこれに該当します。当社は、株主・投資家、お取引先、従業員などの個人番号を含む個人情報を適切に保護することが社会的責務と考え、日本の個人情報保護法および企業等組織が業務上取り扱う個人情報を安全で適切に管理するための日本産業規格であるJIS Q 15001(個人情報保護マネジメントシステム―要求事項)に準拠した個人情報の取り扱いをすることなどを「NEC個人情報保護方針」に定め、これを実行し、かつ、維持しています。当社が本方針を変更した場合は、JIS Q 15001に従って速やかに当社の社外向けWebサイトにて通知するとともに、すべての従業員に通知しています。

また、当社では、国内外の連結子会社と連携して個人情報保護推進体制を構築し、個人情報保護法およびJIS Q 15001に準拠した個人情報保護マネジメントシステムを確立しています。当社の個人情報保護マネジメントシステムには、個人情報の漏えいなどの事案が発生した場合の緊急時対応手順も含まれています。

プライバシーマーク

<プライバシーについて>
当社は2005年10月にプライバシーマークを取得し、2019年10月にはプライバシーマークの認証を更新しました。プライバシーマークは、JIS Q 15001に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者であることを第三者機関が認定した場合に、当該事業者に対して付与されるものです。NECグループ全体では、2020年3月末時点で当社を含む29社がプライバシーマークを取得済みです。また、口座番号、クレジットカード番号など経済的に影響を与える情報や、出生地など機微(センシティブ)情報や携帯電話番号などプライバシー性の高い情報は、本人の同意を得ない取得を原則禁止としています。

GDPRの例に見られるように、世界的な潮流として、プライバシー法制が整備されつつあり、企業に求められる役割と責任はますます大きなものとなってきています。当社は、国・地域や文化によってとらえ方に違いのあるプライバシーや、AIの活用によって助長される可能性のある差別問題などの人権課題に配慮した製品・サービスを開発・提供することをとおし、社会への負の影響を最小化するだけでなく、その取り組みを社会価値の最大化にもつなげたいと考えています。

このような考えを明確化するために、2019年4月には、「NECグループ AIと人権に関するポリシー」を策定し、発表しました。本ポリシーは、NECグループがAIの社会実装や生体情報をはじめとするデータの利活用(以下、AIの利活用)に関する事業を推進する際、従業員一人ひとりが企業活動のすべての段階において人権の尊重を常に最優先なものとして念頭に置き、それを行動に結びつける指針となるものです。

また、ICTを活用した社会課題解決のための事業活動が、プライバシー侵害などを含めた人権問題を引き起こさないよう、「NECグループ行動規範」(Code of Conduct)においても定めています。

推進体制

当社では、個人情報保護マネジメントシステムの運用責任者として、個人情報保護の主管部門長が個人情報保護管理者を務めています。さらに、厳格に対応するために、マイナンバーに関する対応についても、特定個人情報保護責任者としての役割を追加しています。
そして、その管理者が選任した個人情報保護推進事務局長を リーダーとして、コンプライアンス推進部顧客情報セキュリティ室が中心となって、NECグループ全体の個人情報保護の推進に取り組んでいます。
また、経営監査本部長を個人情報保護監査責任者とし、JIS Q 15001に規定されている個人情報保護に関する内部監査を定期的に実施しています。

各事業部門では、各部門の個人情報保護管理者である事業部門の長が、当該部門の個人情報保護マネジメントの実行責任者である部門個人情報保護管理者と個人情報保護に関する専門的知見を有する実務者である個人情報保護プロフェッショナルを任命し、各部門における個人情報保護リスクの管理や個人情報の取り扱い状況の点検、点検結果に基づく個人情報取り扱いルールの改善を行わせることにより、個人情報保護マネジメントシステムを運用しています。また、各プロジェクトなどの個人情報取扱責任者が、個人情報の取り扱い担当者への個人情報保護の徹底を図っています。

連結子会社の管理体制

国内連結子会社においては、個人情報保護法および、国民一人ひとりに番号を割り振り社会保障や納税に関する情報を一元的に管理するための法律である、いわゆるマイナンバー法に準拠するための体制を構築し、個人情報保護を推進しています。

当社の海外連結子会社においても、各国の法制度を遵守することはもとより、主要な海外連結子会社には個人情報保護管理者を任命して個人情報保護の推進に取り組んでいます。

個人情報の漏えいなどの緊急時における対応

NECグループでは個人情報の紛失・流出・漏えいなどの事件・事故の発生に備え、迅速な対応と情報公開を実施する体制を「JIS Q 15001」に従って整備しています。万が一、事件・事故が発生した場合には、標準化した手続きに従って迅速に組織的に対応します。

具体的には、個人情報に関連した事件・事故、またはそのリスクのある事案が発生した場合には、まず当事者や発見者が、各部門の責任者およびNECグループ情報セキュリティインシデント対応窓口に報告します。報告を受けた窓口部門は、関連する法令・省庁指針などに従い、本人の権利、利益の侵害リスクを勘案したうえで、個人情報保護推進事務局や関連部門と連携して本人への速やかな通知や公表および事案に応じた是正措置など、必要な対処を行います。

各国政府に個人情報の提供を求められた際の対応

当社の各事業部門に対して各国政府が個人情報の提供を求めた場合、当該要求を受けた各事業部門の長がその対応責任を負います。各事業部門の長は必要に応じて個人情報保護管理者に報告・相談を行い、同管理者は個人情報保護担当役員に報告・相談を行います。各事業部門の長は要求元の利用目的を確認したうえで、当該国の法令に従い提供の要否を判断します。提供にあたっては、事前に本人から同意を取得し提供の記録を残すことを原則としていますが、当該国の法令に従い同意を取得しない場合や提供の記録を残さない場合があります。各国の法令等の立法趣旨に鑑み、NECは政府がNECに個人情報の提供を要求した件数の公表は行いません。

2019年度の主な活動実績

個人情報保護に関する研修

当社では、以下のような階層別研修を実施しています。

  1. 役員および従業員向け研修(当社向け)
    当社役員および従業員を対象に、毎年1回、個人情報保護の内容を含んだ情報セキュリティ研修をWeb研修で実施しています。2019年度の全対象者の研修修了率は98%でした。
  2. 推進者向け研修(当社および国内連結子会社向け)
    個人情報保護の推進を担う情報セキュリティ推進者向けの集合研修を、2019年度は2回実施しました。
  3. 新入社員・転入社員など向け研修(当社および国内連結子会社向け)
    2019年度は、導入研修用に個人情報保護のテキストを作成し、新入社員・転入社員に研修を実施しました。また、事業部門から要望のある場合や、個人情報保護推進事務局が必要と判断した場合には、適宜、国内連結子会社単位あるいは事業部門単位で啓発研修を実施しています。

個人情報の管理

当社における取り組み

当社では、個人情報を台帳管理し、管理状況を“見える化”する個人情報管理台帳システムを運用しています。
また、標準手順を文書化して個人情報保護マネジメントシステムを運用しています。必要に応じて、各事業部門単位、個人情報単位での運用ルールを制定し、これを徹底しています。
さらに、個人情報を含む情報全般のセキュリティに関する意識向上を目的に、「お客様対応作業及び企業秘密取り扱いの遵守事項」を定め、当社の全従業員を対象に誓約するよう進めています。

このような取り組みの結果、NECでは、2019年度には個人情報の紛失・流失・漏えいなどの事件・事故は発生していません。また、主管官庁である経済産業省や個人情報保護委員会、その他の第三者機関から、顧客のプライバシー侵害に関する苦情なども寄せられていません。

お客さま/お取引先向けの取り組み

当社と国内連結子会社では、個人情報を取り扱う業務を委託する際には、委託先に対してもNECグループと同等の個人情報保護の管理・運用を依頼しています。また、当社または国内連結子会社の業務に従事するお取引先に対しても、「お客様対応作業における遵守事項」誓約書の提出を要請し、定期的な確認テストも実施して個人情報保護を徹底しています。このような取り組みの結果、委託先においても、2019年度は、個人情報の紛失・流失・漏えいなどの事件・事故は発生していません。

特定個人情報であるマイナンバーは、慎重に取り扱う必要があり、セキュリティを確保した運用を行っています。アクセス制御、外部からの不正アクセス防止、情報漏えいの防止などの技術的対策を実施するとともに、各システムにおけるプライバシー保護対策が十分なレベルになるよう取り組んでいます。

国外における個人情報管理の取り組み

近年、欧州をはじめとする世界各国で、個人情報に関する厳しい法律の制定が進んでいます。こうした状況の中、NECでは、AI、ビッグデータ、IoT、顔認証など、個人情報に関係する事業を世界各国で展開しているため、個人情報の管理をグローバルで徹底して進めています。海外連結子会社に個人情報の管理者を設置してグローバルな管理体制を構築するとともに、各社で個人情報管理台帳を作成し、その管理手順および遵守すべき共通の情報セキュリティルールを周知徹底しています。また、GDPRに関しては、国内連結子会社および欧州地域の連結子会社に同規則に準拠した個人情報の管理ルールを制定するとともに、欧州の従業員などの個人情報の越境移転を適法とするための移転契約をグループ全体で締結しています。そのほか、カリフォルニア州消費者プライバシー法(CCPA)やタイ国のプライバシーデータ保護法(PDPA)など関係各国の法律制定状況の確認を行い、必要な対応準備を行っています。

モニタリング・改善

当社では、各種の点検活動を通じて自律的にPDCAサイクルを回し、個人情報を適切に管理しています。
また、当社と国内連結子会社ではJIS Q 15001の内部監査チェック項目に基づいて、定期的に内部監査を実施しています。さらにマイナンバーを取り扱う業務については、国の安全管理細則に基づき作成した安全管理措置チェックシートや再委託時のセルフチェックシートを使って、取り扱い部門および委託先をモニタリングしています。

  1. 情報セキュリティ対策の運用確認
    当社では、年1回、従業員一人ひとりの情報セキュリティ施策の実施状況を確認し、不備があれば、組織単位で改善計画を立案・遂行しています。
  2. 個人情報の管理状況の確認
    当社では、各組織で管理しているそれぞれの個人情報について、管理状況を確認するため、個人情報管理台帳システムに登録された管理票を年1回以上見直しています。
  3. 緊急時運用の確認
    万一、個人情報の紛失・流出・漏えいなどの事件・事故が発生した場合には、随時、上記運用の見直しを徹底して行います。