跳到正文

Hitachi

关于日立 企业社会责任

风险管理体制的强化

  日立为应对近年来日益复杂化的全球风险,一直在努力加强整个集团的风险管理体制。
  在统管日立集团风险管理的管理董事(日立集团风险管理负责人)的领导下,各事业单位设定管理层级别的风险管理负责人,以合规、出口管理和危机管理为重点,采取相互合作的体制进行应对。今后,日立将针对企业可能涉及的各类风险,就标准和体系进行客户评估,构建起综合全面的风险管理体制。

提供稳定的产品和服务

制定全球主要据点的业务持续性计划

  日立集团与社会基础设施建设息息相关,为了避免因风险造成事业中断,对社会造成重大影响,日立正致力于充实业务持续性计划(以下简称为BCP)。2006年12月,日立制定了"日立集团BCP制定指南(导入篇)"。2010年,日立将指南译成英文和中文,提供给全球各集团公司,以应对大规模灾害等风险。
2011年3月,日本东部大地震发生后,日立集团根据BCP迅速进行了初期应对和决策。但在另一反面,也出现了对二级、三级供应商的把握、生产信息的云迁移和多重化、替代运输手段和燃料确保等课题。
  日立吸取了从大地震中获得的经验教训,2011年10月制定并发放了"日立集团BCP制定指南(各部门的BCP制定篇)",进一步充实了BCP。到2011年底,日立在日本国内制定并修订完成了分别适用于各个事业的BCP。目前,日立制作所的49家事业所和96家集团公司正在制定应对大型地震以及新型流感的BCP。
  从1998年开始,日立每年都会在日本国内的主要基地进行大型地震对策模拟训练。2015年11月,在风险对策担当委员的指挥下,针对日立汽车系统,日立制作所以及3家事业所(佐和、厚木和福岛)联动,由各部门的负责人及工作人员依据BCP,确认了当紧急情况发生时的行动计划。
  2013年度,日立在主要海外基地也成立了风险对策负责人,约300家公司进行了BCP的制定。由此加强应对大型灾害、新型流感、政变、暴乱、恐怖事件等事业风险的能力。今后,日立仍将继续扩展BCP的制定。


日立集团BCP制定指南(各部门)


地震对策模拟训练

制定采购BCP

  日立的事业与社会基础设施密切相关,当大型地震等自然灾害发生导致日立事业的共同运营者即供应商受灾时,不仅影响日立和供应商的事业活动,也可能会对社会造成巨大的冲击。日本国内的社内公司和主要集团公司的采购部门,为了将灾害发生时的冲击降到最低,制定并完善了采购的业务持续性计划(BCP):①使用标准化和通用零部件,使采购风险降到最低;②推进供应商多样化;③生产基地的多处分散化;④战略库存的预算化;⑤研究寻找替代品等。为了确认制定的采购BCP是否有效,日立通过进行桌面演练(假设发生了地震,就集团部门应该采取的行动进行讨论的演习),进一步完善了采购BCP。
  2015年,日立在118家日本以外的集团公司也实施了以上措施以加强采购BCP,为日立集团的事业在全球的持续开展做出贡献。

向危险地区派遣员工时的安全对策强化

  2013年1月,发生了阿尔及利亚人质事件*1,日立吸取教训,于2013年2月再次强化了保证派遣员工安全的社长方针。在需要向发生战乱或存在恐怖主义等高风险地区派遣员工时,须事先由公司内外的专家进行实地调查。此外,在派遣员工到达当地后,日立还会每半年再次进行实地调查,以确认安全对策的有效性。2014年,日立在中东和非洲的多个国家进行了实地调查。鉴于2015年1月发生的日本人质劫持事件,日立迅速向员工发布了安全提示信息等,努力确保在全球开展活动的工作人员的安全。
  日立制作所还参加了由日本外务省主办的有关日本以外地区安全的政府与民间合作会议,自2014年以后,日立通过参加政府与民间共同开展的有关恐怖绑架对策的实地训练等活动,不断加强与政府和民间合作,举办日本企业在日本以外地区的安全对策相关活动。

*1
阿尔及利亚人质劫持事件:2013年1月,武装分子袭击了阿尔及利亚天然气田,造成了包括10名日本人在内30多人死亡

推进信息安全

信息安全的强化

  日立成立了"信息安全委员会",委员长是信息安全总负责人。该委员会负责决定信息安全和个人信息保护的方针和各种措施。通过"信息安全推进会议"等向公司各事业所及集团公司传达上述决定事宜,由信息安全负责人在工作场所贯彻执行。
  日立在信息安全和个人信息保护方面尤为重视以下两点。

1. 完善预防体制,在事故发生时迅速对应

明确应该保护的信息资产,根据脆弱性评估与风险分析结果,采取防止信息泄漏的措施。将"可能会发生事故"的想法转变为"一定会发生事故",并以此为前提,制定发生紧急情况时的应急手册,依次应对。

2. 提高员工的道德观和安全意识

开展面向负责人和管理人员等不同级别的培训课程,以在线学习的方式,对全体员工展开教育培训,从而提高员工的道德观和安全意识。同时,通过监查尽早发现问题并做出改善。

信息安全负责人寄语和第三者评估认证等详细内容见"信息安全报告书"。

保护信息资产的基本构想

信息安全教育的实施

  要保护信息安全,就需要每一名员工掌握处理日常信息的相关知识,具备较强的意识。日立每年面向所有管理人员、员工及派遣员工等,就信息安全和个人信息保护进行在线培训。日立制作所约有4万人接受了该培训,受训率接近100%。面向不同对象、针对不同目的,日立准备了多种教育课程,开展信息安全培训。例如分别面向新员工、新任管理人员、信息系统管理员等不同人群举办的讲座培训等。此外,日立从2012年开始举办"锁定目标攻击邮件模拟培训",针对日益增多的锁定目标攻击邮件等网络攻击进行了培训,培训期间向员工发送了设计成攻击邮件的模拟邮件,通过攻击邮件的实际接收体验提高员工的安全警惕性。
  日立将日立制作所的教育内容在全球各集团公司共享,积极促进日立整体的信息安全、个人信息保护教育工作。

防止信息泄露

  为了防止信息泄漏,日立制作所制定了"防止机密信息泄漏三原则",谨慎处理机密信息,努力防止事故发生。万一发生事故,日立会迅速与客户取得联系,向监督机关提交报告,同时查明事故原因,并采取措施防止同类事故再次发生,努力把损失控制在最低限度。
  为防止信息泄露,日立采取以下具体措施:使用加密软件,使用安全的电脑,使用电子文档的访问限制/失效处理软件,构建认证基础进行ID管理和访问限制,使用针对邮件和网站的过滤系统等实施IT通用措施。针对近来多发的锁定目标攻击邮件等网络攻击,与政府相关部门联手,共享信息,同时加强多层防御措施(入口、出口措施)。
  在需要与供应商共同合作确保信息安全的情况下,在委托含有机密信息业务时,会依据日立制定的信息安全要求标准,确认审查供应商的信息安全保护情况。此外,为了防止供应商泄漏信息,日立为供应商提供了信息设备内的业务信息检查工具和安全教材,要求对个人所有的信息设备进行业务信息的检查和清除。

防止机密信息泄漏三原则

原则1 机密信息原则上不允许带出公司。
原则2 出于业务需要将机密信息带出公司时,必须经过信息资产管理员的批准。
原则3 出于业务需要将机密信息带出公司时,必须采取有效的防止信息泄漏对策。

在全球范围内开展信息安全管理

  日立在日本以外的集团公司依据ISO/IEC27001国际标准制定了《全球信息安全管理规定》,努力加强信息安全管理。日本国内的总公司在扩展海外集团公司业务渠道的同时,也通过加强美洲、欧洲、东南亚、中国、印度等地区总公司的支持与安全管理服务共享,促进信息安全对策的贯彻执行。

贯彻信息安全管理的监督检查

  通过日立制作所制定的信息安全管理系统的PDCA循环推动信息安全管理。日立每年都会针对所有集团公司及部门进行一次关于信息安全管理和个人信息保护的监督检查。
  由首席执行官任命的监察负责人独立负责日立制作所的监督检查工作。并规定监察员不能监察自己所属的部门,以确保监察工作的公平性和独立性。
  日立对日本国内的(238家)集团公司实施与日立制作所同等的监督检查,并由日立制作所来确认其结果。针对日立海外的集团公司实行全球共通的自查,促进整个日立的监督检查。同时,作为职场的自主检查,全部门每年进行一次"个人信息保护和信息安全管理运用的确认"。并且每个月就处理重要个人信息的业务(453项业务*1)进行一次"个人情报保护运用的确认",定期确认安全管理措施及其运用情况。

*1
截止到2016年3月的登记业务数量