サイト内の現在位置を表示しています。

個人情報保護、プライバシー

ガバナンス

個人情報保護、プライバシーに関する推進体制

当社では、CLO(チーフリーガルオフィサー)を個人情報保護担当役員として定めるとともに、個人情報保護管理者および個人情報保護推進事務局を設置して会社として個人情報保護の推進をしています。

また、個人情報保護マネジメントシステムの運用責任者として、個人情報保護の主管部門長が個人情報保護管理者を務めるとともに、マイナンバーに関する対応についても、特定個人情報保護責任者としての役割を担っています。

管理者が選任した個人情報保護推進事務局長をリーダーとして、リスク・コンプライアンス統括部を中心にNECグループ全体の個人情報保護の推進に取り組んでいます。

グループ内部監査部門では個人情報保護監査責任者がし、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム—要求事項」(以下、JIS Q 15001)に規定されている個人情報保護に関する内部監査を定期的に実施しています。

各統括部では、部門長が部の個人情報の保護を指揮するとともに、各統括部の個人情報保護マネジメントの実行責任者である個人情報保護管理者と個人情報保護に関する専門的知見を有する実務者である個人情報保護プロフェッショナルを任命し、各部門における人権・プライバシー問題を含む個人情報保護リスクの管理や個人情報の取り扱い状況の点検、点検結果に基づく個人情報取り扱いルールの改善を行わせることにより、個人情報保護マネジメントシステムを運用しています。

また、各プロジェクトなどの責任者は個人情報の取り扱い担当者への個人情報保護の徹底を図っています。

個人情報保護に関する推進体制

個人情報保護に関する推進体制の図

プライバシーマークについて

当社は、JIS Q 15001に適合し、個人情報について適切な保護措置を講ずる体制を整備していると評価された事業者などに付与されるプライバシーマークを2005年10月に取得しています。

連結子会社の管理体制

国内連結子会社において、個人情報保護法および行政手続きにおける特定の個人を識別するための番号の利用などに関する法律(いわゆる「マイナンバー法」)に準拠するための体制を構築しています。加えて、当社と同様にJIS Q15001に準拠した個人情報保護マネジメントシステムを構築し個人情報保護を推進しています。2024年3月末時点で、NECグループ(国内)の27社がプライバシーマークを取得しています。

海外連結子会社においても、主要な海外連結子会社には個人情報保護管理者を任命して個人情報保護の推進に取り組んでいます。また、共通の個人情報保護ガイドラインを展開したうえで、各社にて適用を受ける各国・各地域の個人情報保護法等の法令・規則に準拠した個人情報保護ルールを導入しています。

戦略

個人情報保護、プライバシーに関する方針

当社では、NECグループ行動規範「Code of Conduct」において、人権およびプライバシーの尊重ならびに個人情報の管理について定めるとともに、個人情報保護に対する取り組みを含む「人権尊重を最優先にしたAI提供と利活用(AIと人権)」をESG視点の経営優先テーマ「マテリアリティ」として特定し、個人情報の取り扱いによるプライバシー問題の発生防止に取り組んでいます。

また、JIS Q 15001に準拠した個人情報の取り扱いを行うことなどを「NEC個人情報保護方針」に定めています。国内連結子会社では当社の個人情報保護方針を標準として各社で方針を策定しています。

海外連結子会社では個社に適用される各国の法令に準拠した個人情報保護方針を設定し、NECが内容を確認しています。

指標および目標

中長期目標/重点活動と進捗/成果/課題

(対象:特に記載のない場合は日本電気(株)、期間:2021年4月〜2026年3月)

  1. データプライバシー・コンプライアンス分野における国内外連結子会社のガバナンス強化
  2. 部門長のリスクオーナーシップに基づく個人情報取り扱いに関するリスクマネジメントの深耕

2024年度の目標と進捗/成果/課題と2025年度の目標

2024年度の目標

  1. データプライバシー・コンプライアンス分野における国内外連結子会社のガバナンス強化
    • 未導入の主要海外連結子会社に対して新たな個人情報保護管理台帳システムを導入
    • 海外連結子会社に対する個人情報保護にかかるモニタリングを強化、およびルールを補充
    • 海外連結子会社の従業員向け教育を継続実施
    • 国内連結子会社全体にNECと同等の管理体制構築(個人情報保護管理者および個人情報保護プロフェッショナルの設置)の継続およびモニタリングを強化
  2. 部門長のリスクオーナーシップに基づく個人情報取り扱いに関するリスクマネジメントの深耕
    • 全統括部に設置した個人情報保護管理者および個人情報保護プロフェッショナルの育成教育の継続実施

進捗/成果/課題

  1. データプライバシー・コンプライアンス分野における国内外連結子会社のガバナンス強化
    • 主要海外連結子会社45社に対して個人情報管理台帳システムを導入完了
    • 海外連結子会社に対して、各国法令の施行状況および各社のデータプライバシー・コンプライアンス体制の点検と改善指導を実施
    • 海外連結子会社の従業員向けデータプライバシー教育を実施
    • 新たに国内連結子会社(子会社21社、孫会社7社)に対し、NECと同等の管理体制を導入
    • 国内連結子会社のデータプライバシー・コンプライアンス体制の点検と改善指導を実施
  2. 部門長のリスクオーナーシップに基づく個人情報取り扱いに関するリスクマネジメントの深耕
    • 個人情報保護管理者および個人情報保護プロフェッショナル向け教育を実施
    • 個人情報保護管理者および個人情報保護プロフェッショナル向けに、個人情報保護に関するトピックや実務対応ツールを紹介するメールマガジンを月次で発行

2025年度の目標

  1. データプライバシー・コンプライアンス分野におけるガバナンス強化
    • 国内連結子会社および海外連結子会社に対する個人情報保護にかかるモニタリングを継続実施
    • 国内連結子会社、海外連結子会社を含む全従業員向け教育を継続実施
    • 国内連結子会社全体にNECと同等の管理体制構築(個人情報保護管理者および個人情報保護プロフェッショナルの設置)の継続
  2. 部門長のリスクオーナーシップに基づく個人情報取り扱いに関するリスクマネジメントの深耕
    • 全統括部に設置した個人情報保護管理者および個人情報保護プロフェッショナルの育成教育の継続実施
    • 国内連結子会社および海外連結子会社の個人情報保護担当者向け教育の実施

主な取り組み

個人情報保護に関する取り組み

個人情報の保護・管理に関する取り組み

個人情報保護マネジメントシステム

当社および国内連結子会社では、標準手順を文書化して個人情報保護マネジメントシステムを運用しています。必要に応じて、各社、各統括部、個人情報のそれぞれの単位で運用ルールを制定し、遵守を徹底しています。

また、個人情報保護マネジメントシステムでは、個人情報管理マニュアルで以下を定めています。

  • 書面/メール/Webサイトなどから個人情報を取得する際は、あらかじめ書面によって本人に明示し書面によって本人の同意を得ること
  • 個人情報を提供する際は、法令による場合を除いて、本人の同意を得ること。
  • 個人情報の安全管理措置を取ること
  • 本人の事前の同意を得ることなく個人情報を二次利用することを禁止すること
  • 本人のアクセス権や訂正権および消去権など権利を尊重すること

データを共有またはその取り扱いを委託する第三者に対しても上記のルールを遵守させる旨を定めた契約を締結しています。個人情報の漏えいや不適切な取り扱いなどの事案が発生した場合のエスカレーションルールおよび緊急時対応手順も定めています。

個人情報の管理

  • 個人情報を管理し、管理状況を見える化するための個人情報管理台帳システムを運用しています。
    各海外連結子会社においても、取り扱う個人情報について個人情報管理台帳を作成して個人情報の取り扱い内容とそのリスクを把握し、管理手順および遵守すべき共通の安全管理措置を周知徹底しています。

個人情報の越境移転に対する取り組み

  • 海外連結子会社に対して、各国・地域の法令に基づいて従業員などの個人情報の越境移転を適法とするための従業員本人の同意の取得や、国内外のグループ会社間において個人情報の越境移転および個人情報の処理を可能にする契約を締結しています。

お客さま・お取引先向けの取り組み

  • 当社と国内連結子会社では、個人情報を取り扱う業務を委託する際には、委託先に対しても取り扱いのリスクに応じた安全管理措置を定め、またデータを共有する者に対して契約により、これを遵守させる旨を定め、NECグループと同等の個人情報保護の管理・運用を要求
  • 当社または国内連結子会社の業務に従事するお取引先に対しても、「お客様対応作業における遵守事項」誓約書の提出を要請し、サプライチェーン全体で実施して個人情報保護を徹底
  • 特定個人情報であるマイナンバーは慎重に取り扱う必要があり、セキュリティを確保し運用。アクセス制御、外部からの不正アクセス防止、情報漏えいの防止などの技術的対策を実施するとともに、各システムにおけるプライバシー保護対策が十分なレベルになるよう取り組みを推進

モニタリングと改善

当社では、各種の点検活動を通じて自律的にPDCAサイクルを回し、個人情報を適切に管理しています。
また、当社と国内連結子会社ではJIS Q 15001の内部監査チェック項目に基づいて、定期的に内部監査を実施しています。さらに、マイナンバーを取り扱う業務については、マイナンバー法のガイドラインに基づき作成した安全管理措置チェックシートや再委託時のセルフチェックシートを使って、取り扱い部門および委託先をモニタリングしています。

情報セキュリティ対策の運用確認

  • 年1回、全従業員の情報セキュリティ施策の実施状況を確認。不備があれば、組織単位で改善計画を立案・遂行

個人情報の管理状況の確認

  • 個人情報管理台帳システムに登録された管理票を年1回以上見直すことで、管理状況を確認
  • 各部門長が部門ごとの管理状況を確認するマネジメントレビューを年1回実施することで、適宜・必要な是正処置を行い、適切な管理状態を維持

緊急時運用の確認

  • 個人情報の紛失・流出・漏えいなどの事件・事故が発生した場合には、随時上記運用の見直しを徹底

個人情報保護に関する事件・事故・苦情の内容および措置

2024年度は事業の遂行に重大な支障を及ぼす個人情報の紛失・流失・漏えいなどの事件・事故は未発生であり、本人の事前の同意を得ることなく個人情報を二次利用した事案も未発生です。

2024年度における個人情報に関する外部からの苦情は0件でした。
主管官庁である経済産業省や個人情報保護委員会、その他の第三者機関から、お客さまのプライバシー侵害に関する苦情なども受理していません。

各国政府に個人情報の提供を求められた際の対応

当社の各統括部に対して各国政府や法執行機関から当社の保有する個人情報の提供を求められた場合、要求を受けた各統括部の長は必要に応じて個人情報保護管理者に報告・相談を行います。個人情報保護管理者は、個人情報保護担当役員に報告・相談を行い、本人の人権尊重を基本として、当社が適用を受ける法令に従って、その提供の必要性を判断し、また必要な手続きを行うなど適切な対応を行います。なお、2024年度において、各国政府や法執行機関から当社の保有する個人情報の提供の求めがあった件数は0件です。

事業活動におけるプライバシーへの対応

プライバシーマーク

2018年に欧州で施行されたGDPR(General Data Protection Regulation:EU一般データ保護規則)をはじめ、世界中の多くの国・地域などでプライバシー保護法制が整備され、執行が強化されていく中、企業に求められるプライバシー保護に関する役割と責任はますます大きなものとなっています。

当社は、国・地域や文化によってとらえ方に違いのあるプライバシーやAIの利活用によって助長される可能性のある差別などの人権課題に配慮した製品・サービスを開発・提供することにより、社会への負の影響を最小化するだけでなく、その取り組みを社会価値の最大化にもつなげたいと考えています。このような考え方を明確化するために、当社は、NECグループ行動規範「Code of Conduct」や「NECグループ AIと人権に関するポリシー」において、ICTを活用した社会課題解決のための事業活動が、プライバシー侵害などを含めた人権問題を引き起こさないよう定めています。

また、連結子会社の管理体制に記載のとおり、当社およびNECグループ(国内)の27社がプライバシーマークを取得しています。また、口座番号、クレジットカード番号など経済的に影響を与える情報や、出生地など機微(センシティブ)情報や携帯電話番号などプライバシー性の高い情報は、本人の同意を得ない取得を原則禁止としています。

個人情報の漏えいなどの緊急時における対応

NECでは、個人情報の紛失・流出・漏えいなどの事件・事故の発生に備え、迅速な対応と情報公開を実施する体制を整備しています。万が一、事件・事故が発生した場合には、標準化した手続きに従って迅速に組織的に対応します。

個人情報に関連した事件・事故、またはその恐れのある事案が発生した場合には、まず当事者や発見者が、各部門の責任者およびNECグループ情報セキュリティインシデント対応窓口に報告します。

報告を受けた窓口部門は、関連する法令・省庁指針などに従い、本人の権利、利益の侵害リスクを勘案したうえで、個人情報保護推進事務局や関連部門と連携して本人への速やかな通知や公表および事案に応じた是正措置など、必要な対処を行います。

個人情報の保護に関する研修・啓発

当社の従業員に対し、個人情報を含む情報全般のセキュリティに関する意識向上を目的に「お客様対応作業及び企業秘密取り扱いの遵守事項」を定め、周知徹底しています。

また、全従業員を対象にさまざまな研修を行っています。

役員および派遣従事者を含む従業員向け研修(当社向け)

毎年1回、個人情報保護を含む情報セキュリティ研修(Web研修)を実施しています。2024年度の全対象者の研修修了率は94.3%です。

個人情報保護プロフェッショナル向け教育(当社向け・全統括部)

個人情報保護プロフェッショナル向けの教育として下記を実施しています。

  • 個人情報の取り扱いにおけるリスクマネジメントに関するテキストを作成し、教育(15講座)を実施
  • 個人情報保護士資格取得講座を実施
  • 事業ライン向け実務対応講座(3回)を実施
  • 実例をもとにした集合性の実務対応スキルアップ教育(2回)を実施

新卒採用者・キャリア採用者など向け研修(当社および国内連結子会社向け)

2024年度は、個人情報保護の導入研修用にテキストを作成し、研修を実施しています。

また、統括部から要望を受けた場合や個人情報保護推進事務局が必要と判断した場合には、国内連結子会社あるいは統括部ごとに啓発研修を実施しています。