Japan

サイト内の現在位置を表示しています。

個人情報保護、プライバシー

ガバナンス
戦略
リスク管理(含む機会創出)
指標および目標

ガバナンス

個人情報保護、プライバシーに関する推進体制

当社では、CLCO(チーフリーガル&コンプライアンスオフィサー)を個人情報保護担当役員として定めるとともに、個人情報保護管理者および個人情報保護推進事務局を設置して会社として個人情報保護の推進をしています。

また、個人情報保護マネジメントシステムの運用責任者として、個人情報保護の主管部門長が個人情報保護管理者を務めるとともに、マイナンバーに関する対応についても、特定個人情報保護責任者としての役割を担っています。

そして、その管理者が選任した個人情報保護推進事務局長をリーダーとして、リスク・コンプライアンス統括部が中心となって、NECグループ全体の個人情報保護の推進に取り組んでいます。

一方、グループ内部監査部門には個人情報保護監査責任者を配し、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム—要求事項」(以下、JIS Q 15001)に規定されている個人情報保護に関する内部監査を定期的に実施しています。

各事業部門では、事業部門の長が部門の個人情報の保護を指揮するとともに、当該部門の個人情報保護マネジメントの実行責任者である部門個人情報保護管理者と個人情報保護に関する専門的知見を有する実務者である個人情報保護プロフェッショナルを任命し、各部門における人権・プライバシー問題を含む個人情報保護リスクの管理や個人情報の取り扱い状況の点検、点検結果に基づく個人情報取り扱いルールの改善を行わせることにより、個人情報保護マネジメントシステムを運用しています。

また、各プロジェクトなどの責任者が、個人情報の取り扱い担当者への個人情報保護の徹底を図っています。

個人情報保護に関する推進体制

個人情報保護に関する推進体制の図

連結子会社の管理体制

国内連結子会社において、個人情報保護法および行政手続きにおける特定の個人を識別するための番号の利用などに関する法律(いわゆる「マイナンバー法」)に準拠するための体制を構築するとともに、当社と同様にプライバシーマーク要求事項であるJIS Q 15001に準拠した個人情報保護マネジメントシステムを構築し個人情報保護を推進しています。なお、2023年3月末時点で、NECグループ会社31社がプライバシーマークを取得済みです。

海外連結子会社においても、各国・地域の法令を遵守することはもとより、主要な海外連結子会社には個人情報保護管理者を任命して個人情報保護の推進に取り組んでいます。

戦略

個人情報保護、プライバシーに関する方針

当社では、NECグループ行動規範「Code of Conduct」において、人権およびプライバシーの尊重ならびに個人情報の管理について定めるとともに、個人情報保護に対する取り組みを含む「人権尊重を最優先にしたAI提供と利活用(AIと人権)」をESG視点の経営優先テーマ「マテリアリティ」として特定し、個人情報の取り扱いによるプライバシー問題の発生防止に取り組んでいます。

個人情報保護について

当社は、JIS Q 15001に適合し、個人情報について適切な保護措置を講ずる体制を整備していると評価された事業者などに付与されるプライバシーマークを2005年10月に取得して以来、JIS Q 15001に準拠した個人情報の取り扱いを行うことなどを「NEC個人情報保護方針」に定めています。

また、当社の個人情報保護法およびJIS Q 15001に準拠した個人情報保護マネジメントシステムでは、個人情報管理マニュアルで以下を定めています。

  • 書面/メール/Webサイトなどから個人情報を取得する際は、あらかじめ書面によって本人に明示し書面によって本人の同意を得ること
  • 個人情報の安全管理措置
  • 本人の事前の同意を得ることなく個人情報を二次利用することを禁止すること
  • 本人のアクセス権や訂正権および消去権など権利を尊重すること

そして、データを共有またはその取り扱いを委託する第三者に対してもこれを遵守させる旨を定めた契約を締結しています。さらに、個人情報の漏えいや不適切な取り扱いなどの事案が発生した場合のエスカレーションルールおよび緊急時対応手順も定めています。なお、国内子会社は当社の個人情報保護方針を標準として各社で方針を策定しており、海外子会社は個社に適用される各国の法令に準拠した個人情報保護方針を設定し、当社がそれを確認しています。

リスク管理(含む機会創出)

個人情報の管理

社内の施策(個人情報の保護に関する規定類の整備を含む)

  • 個人情報を台帳管理し、管理状況を“見える化”する個人情報管理台帳システムを運用
    当社および国内連結子会社において標準手順を文書化して個人情報保護マネジメントシステムを運用。
    必要に応じて、各社単位、各事業部門単位、個人情報単位での運用ルールを制定し、その遵守を徹底
  • 個人情報を含む情報全般のセキュリティに関する意識向上を目的に、「お客様対応作業及び企業秘密取り扱いの遵守事項」を定め、当社の全従業員に周知徹底
  • 主管官庁である経済産業省や個人情報保護委員会、その他の第三者機関から、お客さまのプライバシー侵害に関する苦情なども未受理

国外における個人情報管理の取り組み

  • 海外連結子会社に個人情報保護管理者を設置してグローバルな管理体制を構築するとともに、各社で取り扱う個人情報について個人情報管理台帳を作成して個人情報の取り扱い内容とそのリスクを把握し、管理手順および遵守すべき共通の安全管理措置を周知徹底
  • 海外連結子会社に対して、当該国・地域の個人情報保護法令および域外適用を受ける外国の個人情報保護法令に準拠した個人情報の管理ルールの制定を求めるとともに、各国・地域の法令に基づいて従業員などの個人情報の越境移転を適法とするための従業員本人の同意の取得や、国内外のグループ会社間において個人情報の越境移転および個人情報の処理を可能にする契約を締結

お客さま・お取引先向けの施策

  • 当社と国内連結子会社では、個人情報を取り扱う業務を委託する際には、委託先に対しても取り扱いのリスクに応じた安全管理措置を定め、またデータを共有する者に対して契約により、これを遵守させる旨を定め、NECグループと同等の個人情報保護の管理・運用を要求
  • 当社または国内連結子会社の業務に従事するお取引先に対しても、「お客様対応作業における遵守事項」誓約書の提出を要請し、サプライチェーン全体で実施して個人情報保護を徹底
  • 特定個人情報であるマイナンバーは慎重に取り扱う必要があり、セキュリティを確保し運用。アクセス制御、外部からの不正アクセス防止、情報漏えいの防止などの技術的対策を実施するとともに、各システムにおけるプライバシー保護対策が十分なレベルになるよう取り組みを推進

モニタリングと改善

当社では、各種の点検活動を通じて自律的にPDCAサイクルを回し、個人情報を適切に管理しています。

また、当社と国内連結子会社ではJIS Q 15001の内部監査チェック項目に基づいて、定期的に内部監査を実施しています。さらに、マイナンバーを取り扱う業務については、マイナンバー法のガイドラインに基づき作成した安全管理措置チェックシートや再委託時のセルフチェックシートを使って、取り扱い部門および委託先をモニタリングしています。

情報セキュリティ対策の運用確認

  • 年1回、全従業員の情報セキュリティ施策の実施状況を確認。不備があれば、組織単位で改善計画を立案・遂行

個人情報の管理状況の確認

  • 個人情報管理台帳システムに登録された管理票を年1回以上見直すことで、管理状況を確認
  • 各部門長が部門ごとの管理状況を確認するマネジメントレビューを年1回実施することで、適宜・必要な是正処置を行い、適切な管理状態を維持

緊急時運用の確認

  • 個人情報の紛失・流出・漏えいなどの事件・事故が発生した場合には、随時上記運用の見直しを徹底

個人情報保護に関する事件・事故・苦情の内容および措置

2023年度は事業の遂行に重大な支障を及ぼす個人情報の紛失・流失・漏えいなどの事件・事故は未発生であり、本人の事前の同意を得ることなく個人情報を二次利用した事案も未発生です。

2023年度における個人情報に関する外部からの苦情は0件でした。

各国政府に個人情報の提供を求められた際の対応

当社の各事業部門に対して各国政府や法執行機関から当社の保有する個人情報の提供を求められた場合、要求を受けた各事業部門の長は必要に応じて個人情報保護管理者に報告・相談を行います。個人情報保護管理者は、個人情報保護担当役員に報告・相談を行い、本人の人権尊重を基本として、当社が適用を受ける法令に従って、その提供の必要性を判断し、また必要な手続きを行うなど適切な対応を行います。なお、2023年度において、各国政府や法執行機関から当社の保有する個人情報の提供の求めがあった件数は0件です。

事業活動におけるプライバシーへの対応

プライバシーマーク

2018年に欧州で施行されたGDPR(General Data Protection Regulation:EU一般データ保護規則)の例に見られるように、現在、世界中の多くの国・地域などでプライバシー保護法制が整備され、その執行も強化されつつあり、企業に求められるプライバシー保護に関する役割と責任はますます大きなものとなっています。

当社は、国・地域や文化によってとらえ方に違いのあるプライバシーや、AIの活用によって助長される可能性のある差別問題などの人権課題に配慮した製品・サービスを開発・提供することにより、社会への負の影響を最小化するだけでなく、その取り組みを社会価値の最大化にもつなげたいと考えています。このような考え方を明確化するために、当社は、NECグループ行動規範「Code of Conduct」や「NECグループ AIと人権に関するポリシー」において、ICTを活用した社会課題解決のための事業活動が、プライバシー侵害などを含めた人権問題を引き起こさないよう定めています。

当社は2005年10月にプライバシーマークを取得し、2023年10月には10回目のプライバシーマークの認証更新を行いました。NECグループ全体では、2024年3月末時点で当社を含む31社がプライバシーマークを取得済みです。また、口座番号、クレジットカード番号など経済的に影響を与える情報や、出生地など機微(センシティブ)情報や携帯電話番号などプライバシー性の高い情報は、本人の同意を得ない取得を原則禁止としています。

個人情報の漏えいなどの緊急時における対応

NECでは、個人情報の紛失・流出・漏えいなどの事件・事故の発生に備え、迅速な対応と情報公開を実施する体制を整備しています。万一、事件・事故が発生した場合には、標準化した手続きに従って迅速に組織的に対応します。

具体的には、個人情報に関連した事件・事故、またはその恐れのある事案が発生した場合には、まず当事者や発見者が、各部門の責任者およびNECグループ情報セキュリティインシデント対応窓口に報告します。

報告を受けた窓口部門は、関連する法令・省庁指針などに従い、本人の権利、利益の侵害リスクを勘案したうえで、個人情報保護推進事務局や関連部門と連携して本人への速やかな通知や公表および事案に応じた是正措置など、必要な対処を行います。

指標および目標

中長期目標/重点活動と進捗/成果/課題

(対象:特に記載のない場合は日本電気(株)、期間:2021年4月〜2026年3月)
M:マテリアリティに関わる主な非財務目標を示しています。

  1. データプライバシー・コンプライアンス分野における国内外連結子会社のガバナンス強化
  2. 部門長のリスクオーナシップに基づく個人情報取り扱いに関するリスク・マネジメントの深耕

2023年度の目標と進捗/成果/課題と2024年度の目標

2023年度の目標

  1. データプライバシー・コンプライアンス分野における国内外連結子会社のガバナンス強化
    • 主要海外連結子会社において、新たな個人情報保護管理台帳システムを導入
    • 海外連結子会社に設置したデータプライバシー・コンプライアンス管理者の育成教育を継続実施
    • 海外連結子会社の従業員向け教育を継続実施
    • 主要国内連結子会社に対する個人情報保護管理者および個人情報保護プロフェッショナルの設置および新たな個人情報保護管理台帳システムの導入完了
  2. 部門長のリスクオーナシップに基づく個人情報取り扱いに関するリスク・マネジメントの深耕
    • 全事業部門に設置した個人情報保護管理者および個人情報保護プロフェッショナルの育成教育の継続実施

進捗/成果/課題

  1. データプライバシー・コンプライアンス分野における国内外連結子会社のガバナンス強化
    • 主要海外連結子会社32社に対して、新たな個人情報保護管理台帳システムの導入完了
    • 海外連結子会社に設置したデータプライバシー・コンプライアンス管理者の育成を含む支援を継続実施
    • 海外連結子会社の従業員向け教育を継続実施
    • 主要な国内連結子会社(子会社13、孫会社5)に対する、NECと同等の管理体制構築と台帳システムの導入がほぼ完了。その他の国内子会社にもNECと同等の管理体制構築を拡大中
  2. 部門長のリスクオーナシップに基づく個人情報取り扱いに関するリスク・マネジメントの深耕
    • 全事業部門に設置した個人情報保護管理者および個人情報保護プロフェッショナルの育成教育を継続実施

2024年度の目標

  1. データプライバシー・コンプライアンス分野における国内外連結子会社のガバナンス強化
    • 未導入の主要海外連結子会社に対して新たな個人情報保護管理台帳システムを導入
    • 海外連結子会社に対する個人情報保護にかかるモニタリングを強化、およびルールを補充
    • 海外連結子会社の従業員向け教育を継続実施
    • 国内連結子会社全体にNECと同等の管理体制構築(個人情報保護管理者および個人情報保護プロフェッショナルの設置)の継続およびモニタリングを強化
  2. 部門長のリスクオーナシップに基づく個人情報取り扱いに関するリスク・マネジメントの深耕
    • 全事業部門に設置した個人情報保護管理者および個人情報保護プロフェッショナルの育成教育の継続実施

個人情報保護に関する指標

役員および派遣社員を含む従業員向け研修(当社向け)

毎年1回、個人情報保護を含む情報セキュリティ研修(Web研修)を実施。2023年度の全対象者の研修修了率:98.6%

個人情報保護プロフェッショナル向け教育(当社向け・全事業部門)

  • 個人情報の取り扱いにおけるリスク・マネジメントに関するテキストを作成し、教育(16講座)を実施
  • 個人情報保護士資格取得講座を実施
  • 事業ライン向け実務対応講座(4回)を実施
  • EUデータ保護規則(GDPR)基礎講座を実施
  • 実例をもとにした集合性の実務対応スキルアップ教育(2回)を実施

新卒採用者・キャリア採用者など向け研修(当社および国内連結子会社向け)

2023年度は、個人情報保護の導入研修用にテキストを作成し、研修を実施事業部門から要望のある場合や、個人情報保護推進事務局が必要と判断した場合には、適宜、国内連結子会社単位あるいは事業部門単位で啓発研修を実施