1. ホーム
  2. サステナビリティ
  3. 社会への取り組み
  4. データ活用・セキュリティ

データ活用・セキュリティ

ヤマトグループは、多くのお客さまの大切な個人情報をお預かりしています。今後も持続的に事業を営んでいくためには、情報セキュリティの確保は必須と考えています。グループ企業理念・企業姿勢に「個人情報の保護」を掲げ、個人情報の漏洩防止に努めています。また、情報セキュリティの確保と共に、全国の走行車両から得られるビッグデータを活用することにより、社会課題の解決に繋げ、新しい価値を提供していきます。

関連するSDGs
  • 9 産業と技術革新の基盤をつくろう
  • 11 住み続けられるまちづくりを
  • 12 つくる責任つかう責任
  • 17 パートナーシップで目標を達成しよう

サステナビリティの指標と目標(2026年度)

  • 全社員を対象とした情報セキュリティ教育受講率:100%
  • 情報セキュリティ重大事故:0件
  • 社員へのメール訓練の実施と情報共有:100%

その他の詳細の目標や進捗実績はサステナビリティ戦略・目標と実績をご参照ください。

情報セキュリティに関する基本方針

ヤマトグループは、お客さまの大切な個人情報をお預かりしているため、情報資産を守ることは社会的責務と考えています。以下の通り、情報セキュリティに関する基本方針を策定しています。
この基本方針は、役員・社員・アルバイト・派遣社員など、情報資産を取り扱う全ての関係者を対象としています。また、対象となる情報は、ヤマトグループが企業活動においてお預かりした個人情報のほか、知りえた情報・業務上保有するすべての情報資産です。

情報セキュリティの推進体制

ヤマトグループは、情報セキュリティの確保に向けて、セキュリティ対策組織であるデジタル部門が中心となり、情報セキュリティ関連事項を継続的に統括および推進する体制を確立しています。また、コンプライアンス・リスクマネジメントを担当する役員を委員長とするコンプライアンス・リスク委員会へ報告する体制を整えています。
情報資産を取扱う部門ごとの責任者が管理責任者となり、安全管理の徹底を行います。情報セキュリティインシデントの発生時や、法令や取扱規程に違反している事実または兆候を把握した場合、発生した各部門より速やかに上部組織へ報告し、関係者と連携する体制を整えています。

サイバーセキュリティ

サイバーセキュリティ対策を経営の課題と考え、専任組織(YAMATO-CSIRT)を設置しています。

ISO27001(ISMS)の取得

ヤマトグループにおいて、機密情報を取り扱う頻度が特に高い事業部門においては、ISO27001(ISMS)認証を取得しています。
認証取得状況は「ESGに関するデータ類」をご参照ください。

情報セキュリティ基本方針に基づく運用

情報セキュリティに関する内部規程の整備

情報セキュリティにおける管理体制や安全管理策を定めた規程類を策定し、個人情報のみならず情報資産全ての取扱いについて明確な方針を示すとともに、情報漏えいなどに対しては厳しい態度で臨むことを、情報資産を取り扱う全ての従業員に周知徹底しています。
また、情報技術の発展や社会的要請の変化などを踏まえ、年1回以上見直しを行い、管理体制や取り組みの内容について継続的な改善に努めています。

監査体制の整備・充実

情報セキュリティの基本方針および規程類への準拠性、システムの信頼性などに対する内部監査の実施と必要な体制を維持しています。また、より客観的な評価を得るための外部監査を継続することに努めています。
これらの監査を計画的に実施し、従業員が情報セキュリティの基本方針を遵守していることを証明します。

情報セキュリティ対策を徹底したシステムの実現

情報資産に対する不正な侵入、漏えい、改ざん、紛失、破壊、利用妨害などが発生しないよう、適切なアクセス権の管理をはじめとする物理的・技術的対策を講じています。

  • 建物や施設の重要情報運用区画(セキュリティエリア)を定義し、従業者の入退館(室)管理および持ち込む機器などの制限を行う
  • ファイアウォールによる外部からのアクセス制限、不正アクセスの定期的監視、ウイルス対策ソフトの導入、パターンファイルの随時更新、アプリケーションインストールの管理、URLフィルタリングなどの実施

脆弱性分析

ヤマトグループは、情報システムに対する不正な侵入や情報漏えいを防ぐため、年1回以上の定期的な脆弱性診断や脅威情報の継続的な監視を行うとともに、対策の優先順位付けと実施を通じて、情報資産の保護を強化し、お客様や取引先の皆様に安全なサービスを提供できるよう努めています。

情報セキュリティの脅威の監視と対応

ヤマトグループは、専任組織であるYAMATO-CSIRTが中心となり、情報資産に対する継続的な脅威監視と分析によりインシデントの兆候を早期に検知・対応する体制を構築するとともに、インシデント発生時の対応のフローや体制を確立し年1回以上の演習も通じて、被害の拡大防止、原因究明、復旧措置などを速やかに実行する体制を整えています。

情報セキュリティリテラシーの向上

ヤマトグループは、従業員などに対し情報セキュリティ教育・訓練を徹底し、情報資産に関わる全員が情報セキュリティに関する高い意識と知識をもって業務を遂行できるようにしています。教育に実施状況については「ESGに関するデータ類」をご参照ください。
また、従業員が情報セキュリティリスクに気づき、適切な対応を取れるように、以下の取り組みを徹底しています。

インシデント報告体制の周知徹底

全従業員を対象とした情報セキュリティ教育では、情報セキュリティインシデント、脆弱性、または疑わしい活動を認識した場合に、速やかにデジタル部門やコンプライアンス・リスク部門へ報告するためのエスカレーション手順を周知しています。全従業員が年1回以上受講することを義務付けており、従業員一人ひとりのリスク意識を高め、組織全体でのセキュリティ体制を強化しています。

情報セキュリティ意識の継続的な向上

定期的な教育や社内通知などを通じて、最新のサイバー攻撃の傾向や注意喚起を随時共有し、従業員が日常的に情報セキュリティに対する意識を高く持てるように努めています。

情報セキュリティ事故の報告

ヤマトグループは、情報セキュリティ重大事故の発生件数を公表しています。詳細は「ESGに関するデータ類」をご参照ください。

サプライチェーンの管理体制の強化

ビジネスパートナーに対し遵守を求める「PDFファイルを開きますヤマトグループ ビジネスパートナーガイドライン」にも、個人情報・機密情報の厳密な管理をに明記しています。業務委託契約などを締結する際には、取引先としての適格性を十分に審査し、当社と同等以上のセキュリティレベルを維持するよう要請しています。
また、特に業務委託先において、これらのセキュリティレベルが適切に維持されていることを確認し続けるために、業務委託先の継続的な見直し、契約の強化に努めています。

データ活用の取り組み

データマネジメントの強化

データ・ドリブン経営の実現を推進するためには、人材の育成に加え、データの品質管理も重要であると考え、これを担うデータマネジメントも強化しています。
その一環として、社内のデータ利活用時のリーガルチェックやレピテーションリスクのチェック機能として「データ利活用相談窓口」を設置しました。

デジタルトランスフォーメーション銘柄への選定

ヤマトホールディングスは、経済産業省と東京証券取引所および独立行政法人情報処理推進機構が共同で主催する「デジタルトランスフォーメーション銘柄2024」において、「デジタルトランスフォーメーション注目企業」に選定されました。

DX銘柄 Digital Transformation