サイバーセキュリティへの対応

当社は、サイバー攻撃によるリスクを重要リスクとして認識し、コンプライアンス統括部担当執行役をCISO（Chief Information Security Officer）とし、CISO主導のもと、不正アクセスや不正プログラムに対する防御・検知の仕組みを組み合わせた多層防御のリスク対策を実施しています。

管理体制

サイバーセキュリティ専門組織として、サイバーインシデントの予防および発生時の対応を担うCSIRT（Computer Security Incident Response Team）、セキュリティ機器やネットワーク機器等のログを監視し、サイバーインシデントの兆候を検知、分析するSOC（Security Operation Center）を設置し、日々、外部専門機関との連携による情報収集なども行い、サイバー攻撃の防衛に努めています。また、サイバーインシデント発生時の早期復旧に向けた事業継続計画（BCP）の整備も行い、事業への影響を最小限に抑える体制を構築しています。

人材育成・訓練

サイバーインシデント発生時に、被害拡大防止に向けた適切な対応等を行えるよう、定期的な訓練や演習に加え、内閣サイバーセキュリティセンターや金融庁主催の各種訓練・演習にも積極的に参加しています。さらに、全従業員を対象に、eラーニングや標的型メール訓練を定期的に実施し、サイバー攻撃への注意喚起と対応策※を周知することで、対応力の向上に継続的に取り組んでいます。

• サイバー攻撃が疑われる事案が発生した場合には、各部署に設置している情報保護責任者を通じて、CSIRTへの報告を実施

セキュリティ対策

脆弱性を悪用した攻撃による被害を抑止するため、定期的な脆弱性診断に加え、外部の専門家による脅威ベースのペネトレーションテストも実施し、セキュリティ対策を強化しています。

ガバナンス

これらの活動にあたっては、社内に情報セキュリティ委員会を設置し、経営陣のリーダーシップで対策を推進しているほか、「日本郵政グループサイバーセキュリティ経営宣言」に基づき、日本郵政グループ各社と連携しながら取り組んでいます。また、情報セキュリティ委員会での検討・協議の状況は、定期的に経営会議に報告するとともに、重要なものについては、経営会議で協議・決定のうえ、取締役会へ報告しています。
内部監査部はサイバーセキュリティを含む情報セキュリティ管理態勢について内部監査を実施し、その整備状況・運用状況を検証しています。

• 日本郵政グループサイバーセキュリティ経営宣言
• 日本郵政グループサイバーセキュリティ対策

• 一般社団法人 金融ISAC
• 一般社団法人 JPCERTコーディネーションセンター

個人情報保護の取り組み

当社は、個人情報保護に関する社会的要請の重要性を十分認識し、個人情報保護に関係する諸法令などに基づき、個人情報を適切に保護するための取り組みを推進しています。
個人データの安全管理を図るための内部管理体制として、個人情報保護に関する基本方針（プライバシーポリシー）（※1）を定め、公表するとともに会社全体の個人情報の保護に関する事務を統括する個人情報保護統括責任者（※2）等を配置し、個人情報の適切な保護と取り扱いを行っています。
また、当社のコンプライアンス関連規程やマニュアルにおいて、個人情報保護に関する内容を掲載するとともに、毎年度策定しているコンプライアンス推進に関する実践計画にも、個人情報保護に関する内容を選定し、計画に沿った各種研修を行っています。
なお、個人情報の漏えい等が発生した場合は、懲戒規程等に基づき、厳正に対処するとともに、再発防止に向けた取り組みを行います。
内部監査部は個人情報保護に関する基本方針の遵守を含む情報セキュリティ管理態勢について内部監査を実施し、その整備状況・運用状況を検証しています。

• プライバシーポリシーは、委託先を含む当社全体の業務に適用されます。
• コンプライアンス統括部担当執行役を個人情報保護統括責任者としています。

• プライバシーポリシー
• 日本郵政公社から承継した個人情報の利用目的

＜日本郵政グループにおけるお客さま情報の保護・管理の取り組み＞

2022年4月に施行された改正後の「個人情報の保護に関する法律」において、個人の権利利益を害するおそれが大きい個人データの漏えい等について報告義務が課されており、2024年度における同法等による分類に従った報告件数は38件となっています。
なお、各年度の内訳は下記一覧表に記載のとおりです。

【参考】日本郵政グループ 「個人情報の保護に関する法律」等による分類に従った各年度の内訳

• 日本郵政株式会社ウェブサイトより引用
  日本郵政グループ　グループ・コンプライアンス