富士ゼロックス 情報セキュリティ報告書 · 情報セキュリティガバナンス...
20
第 11版 富士ゼロックス 情報セキュリティ報告書
Transcript of 富士ゼロックス 情報セキュリティ報告書 · 情報セキュリティガバナンス...
第 11版
富士ゼロックス
情報セキュリティ報告書
2
トップメッセージ 3
情報セキュリティガバナンス 4
お客様への安全のご提案 7
社内の情報セキュリティ 11
第三者評価・認証 18
Contents基本情報富士ゼロックスが本報告書を発行している目的と対象期間、対象範囲などは、以下のとおりです。
本報告書の目的
本報告書は、富士ゼロックス株式会社(以下、富士ゼロックス)の情報セキュリティへの取り組みをステークホルダー 1)の皆様に説明し、事業への信頼性を高めていただくことを目的として発行しています。本報告書の内容は、情報セキュリティの効果を阻害しない範囲で、ステークホルダーの皆様に開示することが適当であると判断した情報を記載しています。
本報告書の対象期間
本報告書が対象とする期間は、2018年4月1日~ 2019年3月31日です。(期間外を対象とする場合は、日付を記載しています。)
1)本報告書における「ステークホルダー」とは、お客様、従業員、パートナー企業、株主、地域住民、そのほかの利害関係者とします。
2) 「関連会社」とは、富士ゼロックスが議決権の過半数を直接または間接に保有する会社とします。個々の関連会社については、下記のURLをご参照ください。国内関連会社http://www.fujixerox.co.jp/company/profile/group-japan/
海外関連会社http://www.fujixerox.co.jp/company/profile/group-worldwide/
本報告書の責任部署・お問い合わせ先
〒107-0052 東京都港区赤坂九丁目7番3号富士ゼロックス株式会社CP&RM部 情報セキュリティセンターTEL : 03-6271-5145 (代表)
本報告書の対象範囲
本報告書が対象とする組織は、富士ゼロックスおよび関連会社2)(以下、全社)とします。
1.情報セキュリティの目的 お客様・お取引先様からお預かりした情報や自社の技術情報をはじめ、重要な情報を、漏えい・改ざん・消失などにつながるさまざまな脅威から守り、適切に取り扱うことを、 情報セキュリティの目的とします。 特に、お客様の機密情報および個人情報を扱う場合は、より厳しい管理・運用をすることにより、情報漏えい防止に万全を期します。
2.情報セキュリティの運用 全社統制のもと、法令、契約および社内規程を遵守し、情報セキュリティを適切に管理・運用します。具体的には、リスクアセスメントをもとに各種施策の実施、点検、改善を行うとともに、教育・啓発により、従業者の意識醸成を図ります。
3.情報セキュリティ事故の管理 万一、事故が発生した場合には、被害拡大防止等の初動対応および経営層・関連組織へのエスカレーションを迅速に実施することで、影響を最小限に抑えるとともに再発防止に努めます。
富士ゼロックスおよび関連会社は、お客様をはじめとしたステークホルダーの皆様にご安心いただける企業を目指すため、 情報セキュリティの維持・強化を図るとともに、継続的な改善に努めます。
情報セキュリティ基本方針
3
2019年4月富士ゼロックス株式会社代表取締役社長
玉井 光一
トップメッセージ
当社における情報セキュリティの位置づけ
当社は、創業して以来、より良いコミュニケーションを通じてお客様や社会の相互理解を促進することを基本的な理念としています。多様化する社会環境の中で、ステークホルダーの皆様から、さらに信頼頂ける企業を目指すべく、現在、コンプライアンス経営のもと、事業変革に取り組んでいます。 当社は2018年3月にSmart Work Innovationを発表しました。Smart Work Innovationは、当社独自のDocument AI技術、次世代セキュリティ技術、IoT・IoH1) 技術などを活用し、お客様の課題を解決するものです。具体的には、「繰り返し作業」をはじめとするさまざまな制約から働く人々を解放したり、専門知識が必要な業務をより多くの人々が遂行できるよう仕組みを整えたりすることを目指します。これらによって、生産性の向上と同時に、創造性を発揮できる職場環境の構築に貢献します。 Smart Work Innovationにより、お客様の課題解決を実現するにあたっては、お客様が当社の製品・サービスを安心してご利用頂ける状態でなければなりません。そのためには、お客様の個人情報や機密情報を、漏えい、改ざん、利用不能などにつながる脅威から確実に保護できる環境をご提供することが不可欠です。当社にとって情報セキュリティは極めて重要な経営のテーマと捉えています。
変革を支える情報セキュリティ対策
当社では、現在、社内情報システムおよび当社製品・サービスにおいて、さまざまな情報セキュリティ対策に力を注いでいます。 情報セキュリティ対策のさらなる強化に向け、組織力を高めるため、コンプライアンス&リスクマネジメント部(以下、CP&RM部)に情報セキュリティセンターを設置しました。当センターでは、サイバーセキュリティの脅威に対応するため、Fuji Xerox CERT(フジゼロックスサート)と呼ぶ組織横断活動を推進しています。
一方、当社製品・サービスでは、サイバーセキュリティの脅威からお客様を守り、お客様の事業継続を支援するため、新しいサイバーセキュリティ基準NIST SP800-1712) への対応に取り組んでいます。 Smart Work Innovation戦略のフラッグシップモデルとなるApeosPort-VII C / DocuCentre-VII Cシ リ ー ズ で はTPM3) チップを採用することで、お客様の情報資産をセキュリティの脅威から守ります。さらに、次世代暗号の楕円曲線暗号に対応することで、これまで標準的に利用されていたRSA暗号と比較してより高い安全性を確保しています。 これらの情報セキュリティ対策を進めるにあたっては、統合マネジメントシステム4) をコンプライアンス経営のツールとして活用することで、業務プロセスを継続的に改善しています。
安心いただける企業を目指して
当社では、情報セキュリティ基本方針を拠りどころとし、さまざまな対策に取り組んでいます。国内、海外を含め全社を挙げて情報セキュリティ活動に取り組むとともに、パートナー企業との連携による対策も推進し、お客様をはじめ社会から信頼される会社を目指します。 富士ゼロックスの情報セキュリティ活動を掲載した本報告書をご覧いただきますようお願い申し上げます。
1) IoT: Internet of Things、IoH: Internet of Humans2) NIST SP800-171: 米国連邦政府外のシステムと組織における管理された非格付け情報の保護に関する規格3) TPM: Trusted Platform Module。このチップ内にルート暗号化鍵を格納し保護することでセキュリティを強化4) 統合マネジメントシステム: 情報セキュリティ、品質、環境、労働安全衛生等のマネジメントを統合的に運営する仕組み
富士ゼロックスが考える情報セキュリティ
4
情報セキュリティガバナンス富士ゼロックスはこれまで、お客様に安心して当社の商品・サービスをご利用いただけるよう、さまざまな情報セキュリティの取り組みを行ってきました。本章では、情報セキュリティの考え方、ガバナンス体制についてご紹介します。
規程
ガイドライン
マニュアル・解説書類
・ 情報セキュリティ規程・ 会社情報取扱規程・ 個人情報管理規程
…
・ 情報セキュリティ事故対応手順・ 個人情報保護ハンドブック
…
情報セキュリティガイドライン・ 基本・行動編・ 情報システム編・ 顧客接点業務編
…
社会に対する責任を重視する経営(CSR経営)を目指す富士ゼロックスは、外部の脅威や内部の脆弱性への組織的な対応を行うリスクマネジメントを重要な経営テーマの一つと捉えています。そして、情報セキュリティをリスクマネジメントの一環と位置づけて、さまざまな活動に取り組んでいます。 富士ゼロックスが考える最も重要な情報セキュリティリスクは、
富士ゼロックスの情報セキュリティへの考え方
個人情報やお客様からお預かりする機密情報などの漏えいです。お客様に当社のソリューション・サービスをご利用いただく際に、安心して情報資産を預けていただけるよう、社内における情報セキュリティ体制を整備し、PDCAサイクルを回すことで、情報セキュリティ事故の撲滅と、マネジメントの維持向上に努めています。
富士ゼロックスは、情報の機密区分、コンプライアンス、情報倫理など、さまざまな観点から情報セキュリティに関わる全社共通ルールを制定しています。 具体的には、情報セキュリティの方針および普遍的なルールを定めた「規程」、具体的な管理策を定めた「ガイドライン」、ならびに「マニュアル・解説書類」の3つから構成されています。 いずれも、定期的に見直しを行い、最新の状況を取り入れ、更新しています。
情報セキュリティに関わるルール体系
社長
情報セキュリティ担当役員
CP&RM部情報セキュリティセンター
サイバーセキュリティ対応組織(Fuji Xerox CERT)
国内販売会社
海外販売会社
生産・開発関連会社
国内営業
海外営業
研究・開発・生産
全社の情報セキュリティ 本部・部門および関連会社の情報セキュリティ
情報通信システム部/FXIS
関連会社
2018年4月にCP&RM部に情報セキュリティセンターを設置し、 全社の情報セキュリティを統轄・推進する体制を構築しました。またサイバー攻撃対策を担当するサイバーセキュリティ対応組織、
情報セキュリティ推進体制
ITガバナンスを担当する情報通信システム部およびITインフラの構築・運用を担当する富士ゼロックス情報システム株式会社(FXIS)との連携を通じて、全社の情報セキュリティを推進しています。
5
富士ゼロックスは、日本国内のみならず、グローバルに商品・サービスを提供しています。これらを安全にお客様に提供するためには、サイバー攻撃など、情報ネットワークに存在するさまざまなセキュリティ上の脅威への対応が必要となります。富士ゼロックスでは、これら情報ネットワーク上の脅威に対処するための専門組織を設置しています。
富士ゼロックスは、2015年から全社活動としてサイバーセキュリティに対するインシデント対応組織(CSIRT1))を設置し、「Fuji Xerox CERT」の名称で活動を開始しました。 Fuji Xerox CERTは、サイバー攻撃などに関わる情報収集と社内関連部門への展開、攻撃者によるネットワークやシステムへの不正侵入の検知、侵害事故発生時の被害拡大防止や証拠保全、再発
防止対策などを行う専門チームです。 万が一、侵害事故が発生した場合は、迅速な対応により被害を最小限に抑える活動をしています。 また、組織的な枠組みを超えて連携し、サイバー攻撃の予兆検知、攻撃に悪用される可能性がある脆弱性情報の共有、攻撃に関与している外部サーバーへのアクセス遮断などの対応を行っています。
社長
管掌役員(リスク、セキュリティ担当)
現場対応
商品開発部門生産部門研究部門
国内営業部門海外営業部門
Fuji Xerox CERTコーポレート対応
商品系対応
海外関連会社 国内関連会社海外関連会社
国内販社国内関連会社
社内IT基盤対応 生産系対応
Fuji Xerox CERTの活動体制
Fuji Xerox CERTは、商品/サービス、社内IT基盤、生産など社内のさまざまな部門のメンバーで構成される部門横断の仮想組織です。右図に示すように、全社レベルでのサイバーセキュリティ対策を行う本社ガバナンス機能として、情報セキュリティ上の安全性確保のための活動を行っています。
1) CSIRT : Computer/Cyber Security Incident Response Teamの略
Fuji Xerox CERTの組織体制
サイバーセキュリティ対応組織 導入前 サイバーセキュリティ対応組織 導入後
サイバーセキュリティ対応組織を導入することで迅速な対応により、被害を最小限に抑えることができる
事前対応
事後対応
被害が拡大するおそれ
最小限の被害で封じ込め
侵害事故発生 侵害事故発生
インシデント対応(拡大防止・原因調査・復旧)
インシデントの発生に備えた対応体制の準備
攻撃の予兆を検知(情報収集、監視)
インシデント対応(拡大防止・原因調査・復旧)
インシデント後の対応
インシデント発生を認識
インシデント対応体制の設置
インシデント後の対応
情報不足により発見が遅れるおそれ
社内調整により事故対応への着手が遅れるおそれ
サイバーセキュリティに対する富士ゼロックスの活動
サイバーセキュリティへの対応
6
インシデント対応マニュアル
実施計画作成
関係者への計画説明&承認/承諾
日程、会場の調整と確保
訓練シナリオ作成
予行演習、想定Q&A作成
訓練実施&振り返り
事後アンケート
結果報告
開始
終了
インシデント発生の連絡受信
二次被害(被害拡大)
一次被害
原因を示唆する情報の受信
区分 活動内容
予防
● インシデント対応体制の整備● 脆弱性情報や脅威情報の入手と展開● 脆弱性検査の支援と検査スキル開発、脆弱性対応の管理● 訓練(インシデント対応訓練、不審メール対応訓練)
検知● マルウェア感染などの異常検知● 侵入検知(検知環境と対応フローの整備)● 内部不正検知(検知環境と対応フロー整備)
事後対応
● 対外的セキュリティインシデント対応窓口● インシデント対応支援(証拠保全、関係者との連携支援など)● 対応事例・ノウハウ蓄積と再発防止対策検討支援
現在、Fuji Xerox CERTでは、以下の活動を進めています。 外部インシデント対応組織との連携
日々変化するサイバーセキュリティのリスクに対応していくためには、さまざまな組織のサイバーセキュリティ対応組織が互いに協力し合い、最新の脅威情報や脆弱性情報を共有するとともに、インシデント対応を図る上でのノウハウを交換、対応スキルを向上させていく必要があります。このため、Fuji Xerox CERTは、国際的なサイバーセキュリティ対応チームのコミュニティーであるFIRST1)や、日本シーサート協議会2)に加盟し、外部との協力体制を構築するとともに、これらコミュニティーが運営する各種ワーキングループ活動への積極的な参加により、自社のみならず、ネットワーク社会全体の情報セキュリティの安全性向上に努めています。
1) FIRST : Forum of Incident Response and Security Teamsの略 http://www.first.org/ 富士ゼロックスは2015年6月加盟。日本からのチームとしては24番目。2) 日本シーサート協議会 : http://www.nca.gr.jp/ 富士ゼロックスは2014年3月加盟。
サイバー攻撃発生時には対応手順に沿い、迅速かつ漏れのない対応を図れる必要があります。そのため、Fuji Xerox CERTでは、サービス商品などの現場部門との合同による、サイバー攻撃への 対応訓練(机上訓練)を定期的に実施しています。ここでは、実際の
机上訓練実施手順 訓練シナリオテンプレート
インシデント発生時に利用するインシデント対応マニュアルを、 訓練シナリオの実施を通じて改善していく活動を進めています。 また、訓練シナリオは、訓練シナリオテンプレートを用いて、さまざまな種類の攻撃を想定して作成しています。
インシデント対応訓練(机上訓練)
7
お客様への安全のご提案
ネットワークの普及、IoTの進展、デジタル化の推進を背景に、お客様ビジネスにおけるサイバー空間の重要度が増し、業務で活用する情報資産に対するセキュリティ脅威が拡大しています。欧米では、サイバーセキュリティ脅威の高まりに備えて、特に国防産業や重要インフラ産業などを対象にセキュリティ要件の具体化・制度化が進んでいます。一企業に対するサイバー攻撃被害が複数の企業に拡大することが想定され、企業内だけでなく、一企業を超えるサプライチェーン全体を守ることが重要となっています。 例えば、米国では2013年2月に大統領令13636号が発布され、米国国立標準技術研究所(NIST)が中心となり、セキュリティ対策を5つの機能(①特定、②防御、③検知、④対応、⑤復旧)に分類し、サイバーセキュリティフレームワークを策定しました。これまでは、①特定・②防御までの事前対策に着目してセキュリティ対策が施されてきました。しかし、サイバー攻撃が巧妙化し気がつかないうちに侵入されているケースが増えており、如何に侵入をいち早く③検知・④対応し⑤復旧するかということが事業継続の
視点から重要になってきています。 そうした背景から、米国国防総省(DoD)は、調達応札事業者およびその下請け業者(サプライチェーン)に対して、NISTが定めるセキュリティ要件 SP800-171(連邦政府外のシステムと組織における管理された非格付け情報の保護)を2017年12月31日までに遵守することを義務化しています。 富士ゼロックスでは「Smart Work Innovation(スマートワークイノベーション)」によって、よりイノベーティブな仕事に専念できる環境をクラウドネットワークで構築することを目指しています。それを担保するためには、今まで以上に高度なセキュリティが不可欠です。 富士ゼロックスでは、商品提供を通して強化してきた次世代セキュリティ技術によって、ソリューション・サービスの提供価値を向上させ、お客様の事業継続を可能とする商品を提供することで、Society5.0の実現を目指します。
サイバー空間におけるセキュリティ脅威への対策
2020年~
2019年● 防衛省の調達新基準 (SP800-171相当)
Smart WorkInnovation
Society 5.0の実現安心・安全なデータの活用
(Trustworthinessの実現)
データの活用を促すデジタル技術の革新
セキュリティに関する政策·法律
● 改正サイバーセキュリティ基本法● サイバーフィジカルフレームワーク● サイバーセキュリティ協議会発足● 改正不正競争防止法2018年
● 産業競争力強化法「産業データ共有事業の認定制度」● GDPR(EU一般データ保護規則、2018年施行)● NIST SP800-171(米国、2018年1月適用)
2016-17年 ● 官民データ活用推進基本法(2016年12月)● 改正個人情報保護法(2017年5月、全面施行)
2014-15年 ● サイバーセキュリティ基本法● 米国SP800シリーズ
8
ハードウェア 複合機のソフトウェアが改ざん・破損してしまう恐れのある、不正なソフトウェアや追加型アプリケーションが複合機にインストールされてしまう脅威に対して、ソフトウェアを不正な書き込みから保護する機能やコードサイニングによる不正インストール防止機能があります。
ネットワーク ネットワーク上のクライアント/サーバー端末と複合機の間でやり取りされる通信データは、政府の調達条件の暗号化基準を満たした強固な技術により暗号化し、通信データを保護できます。
データ(ドキュメント) 複合機のHDD/SSD等の記憶媒体に一時的または継続的に保存されるデータ(ドキュメント)は、データ保存時の暗号化機能と上書き消去機能により保護されます。
運用(人) 複合機操作時のユーザー認証を有効にすることで、利用者個人の識別管理とユーザーに対するアクセス権付与が可能です。 管理者やエンドユーザーのうっかりミスを抑制するために、グローバルIPアドレス設定の警告、ファックス送信時の宛先入力の限定(アドレス帳利用)や宛先の再入力といったファックス誤送信抑制機能を提供しています。 管理者パスワードが初期値のままの場合は警告を表示し、連続してログインに失敗したらアカウントをロックするといった管理機能の保護が可能です。 また、複合機の停止・起動や設定変更は監査ログに記録され、不正行為発生時の追跡に活用できます。
ISO/IEC 15408認証の取得 富士ゼロックスの複合機は、セキュリティの信頼性を保証すべく、情報技術セキュリティの設計や運用などの国際標準規格「ISO/IEC15408 Common Criteria」の認証を取得しています。https://www.fujixerox.co.jp/product/multifunction/promotion/security_measure/isoiec.html
複合機はお客様業務における重要な情報資産となるデータ(ドキュメント)を出力し、紙ドキュメントを取り込む情報機器です。 日本セキュリティネットワーク協会(JNSA)の2017年情報セキュリティインシデントに関する調査報告書で発表されている漏えい媒体別件数によると、電子媒体による情報漏えいが2014年の24%に対して2017年は 61%と大幅に割合が高くなっています。一方で、未だに紙媒体による情報漏えいが39%も発生しています。 ICTが進展し電子媒体(サイバー)に対する情報セキュリティ対策が進む中、電子媒体と共に紙媒体(フィジカル)に対しても対策を実施していかなければ、お客様の情報資産であるデータ(ドキュメント)のセキュリティ脅威を拭い去ることができません。 これまで、富士ゼロックスはお客様のデータ(ドキュメント)を保護できるセキュリティ機能の拡充、ITセキュリティ評価および認証制度
(JISEC)の認証取得を通じて、お客様のセキュリティ課題にお応えしてきました。
富士ゼロックスが提供するデータセキュリティ
これまでお客様のデータ保護を支援するために、国際標準ISO/IEC 15408認証を取得した商品を提供
これから脅威を増すサイバーセキュリティリスクを回避するために、新サイバーセキュリティ基準に準拠した商品 ·サービスを提供(NIST SP800-171基準への対応)
運用(人)
● 他利用者による不正な操作の防止● 管理機能への不正なアクセスからの保護● うっかりミスによる情報漏えいの抑制● 監査ログの改ざん/不正な削除の防止
● 侵入後対応のために監査ログの拡張● セキュリティ運用ルールに合わせたユーザー管理の強化● 多要素認証機能の提供
データ(ドキュメント) ● 複合機内に保存された文書データの保護 ● データ機密性強化(NIST FIPS140-2対応)
ネットワーク ● 通信データの盗聴/改ざんの防止● SMB3.0への対応● TLS10./1.1の工場出荷時の無効化
ハードウェア ● 複合機ソフトウェアの改ざん/破損の防止 ● TPMチップの採用によるルート暗号鍵の管理強化
9
企業が事業活動をする上で求められるセキュリティ要件はグローバルレベルで高度化・複雑化の一途をたどっており、セキュリティ対策は企業にとってITを活用する上で最大のテーマとなっています。 富士ゼロックスは、セキュリティに対するさまざまな課題やニーズを抽出および分析しています。 「Smart Work Innovation」の提供価値を具現化するため、クラウド時代における新たなセキュリティ対策として、インターネット接続はもとより、モバイル通信やIoT機器など、さまざまな接続構成に柔軟に対応し、信頼性と安定性に優れた次世代のセキュリティサービスを拡張していきます。 また、富士ゼロックスの製品・サービスでは、新しいサイバーセキュリティ基準NIST SP800-171の対応に取り組むなど、お客様に満足いただけるだけでなく、お客様がそのお客様より必要とされる高いセキュリティ要件を満たした商品を提供し、特に重要データを扱うお客様のサプライチェーン全体を通じて安全・安心なデータ環境の構築に貢献していきます。
今後の取り組み
ナレッジ体系化 情報抽出
Office/Human
1 Smart Work Intelligence
2 Smart Work Security
3 Smart Work Gateway
Document AI
次世代セキュリティ
IoH
Intelligent Portal
Technology
Cyberサイバー
Networkネットワーク
Physicalフィジカル
Smart Work IoHSmart Work MPS4 Smart Work IoH5
Smart Work Innovation
① 複合機 (MFP)
②ネットワークセキュリティ(beat)
10
beat全体像
主なセキュリティ機能
富士ゼロックスは、お客様に安心して当社のサービスをご利用いただくため、ご提供する各種サービスにも、さまざまな情報セキュリティ対策を実施しています。 2002年にブロードバンド時代において強固なセキュリティを持つITアウトソーシング&サポートサービスを調達容易な価格で提供することを基本理念とし、beatサービス(安心・簡単・便利なセキュアネットワークアウトソーシングサービス)の提供を開始しました。 この「beat」の利用により、中小企業のお客様はITへの投資リスクを最小限に抑えることができる上、あたかも専任のシステム管理者がいるかのような強力なサポートにより、業務に適した最新のブロードバンド・ネットワーク環境を実現することが可能になります。
beat:Broadband Extensible and Attractive Technology
オフィス
安全な通信
24時間365日監視
アラート通知
オペレーターが電話で対応
ソフトウェアの自動アップデート
検知・遮断beat-box beat-noc
beat コンタクトセンター
インターネットからの脅威
(beatネットワークオペレーションセンター)
● ファイアウォール● ウイルス・スパイウェア対策(POP3、SMTP、HTTP、FTP)● 迷惑メール判定機能● IPS(侵入防止システム)/通信アプリケーション利用制限● 自己監視とnocへの通知● コンテンツフィルタ(オプション)
● beat-boxとbeat-noc間接続障害● beat-boxインターネット接続障害● beat-boxのハードウェア障害● beat-boxのHDDシステム領域の使用率● ウイルス検知アラートの取得● 重要な更新変更エラーの取得
● ヘルプデスク(利用方法の問い合わせ)● 障害切り分けと障害時の修理手配● 富士ゼロックスグループのサービス網によるオンサイト保守
WAN側からLAN側の通信を遮断。
Firewall不正な通信を監視し、検知時にはブロック。
IPS (不正侵入防止システム)
メール送受信でのウイルスチェックを行い、不審メール検知時にはブロック。
アンチウイルスメール受信時に、迷惑(スパム)メールかどうか判定し、タグ付けを行う。
迷惑メール対策
お客様のネットワーク環境を守るセキュリティ対策
11
富士ゼロックス内で実施している情報セキュリティ施策について、継続して取り組んでいる事項、海外販売会社での取り組み、パートナー企業との連携、個人情報保護への取り組みなどについてご紹介いたします。
社内の情報セキュリティ
富士ゼロックスは、情報管理の考え方に基づき、人的・組織的対策、物理的対策、技術的対策の観点で、さまざまな情報セキュリティ対策を行い、情報資産の適切な保護・管理に努めています。
継続して取り組んでいる主な情報セキュリティ施策
情報セキュリティ対策の3つの側面
ID CARD
123456
富士 太郎Taro Fuji
人的・組織的対策● 情報セキュリティに関する規程、ガイドラインの整備● ルールを解説したハンドブック、事故事例のビデオ教材の展開● 各社、各部門から選出されたキーパーソンによる情報セキュリティガバナンス● 情報セキュリティ、個人情報保護に関する教育の定期的な実施● 情報セキュリティ事故発見から即日、速やかな報告(第一報)の徹底● サイバーセキュリティ訓練の実施
物理的対策● 主要拠点での従業員証(ICカード)による入退室管理● ワイヤーロックによるPCの固定● 携帯電話やUSBメモリーへのストラップの取り付け● 高セキュリティエリアへの対策(ゾーニングの設定/カメラによる
監視/私物機器持ち込みの禁止および抜き打ち点検)● 機密文書のキャビネットにおける施錠管理および鍵管理
技術的対策
● サーバー、システムへのユーザー単位でのアクセス制御● 従業員のPC操作ログの取得・管理● 私物などの未登録デバイスへの書き出し制御、ログ管理● インターネット通信(Webアクセス、メール送受信)の監視● 社外持出しPCの全体暗号化● PC管理ツールによる使用禁止ソフトの適正利用監視● アクセス禁止カテゴリーや悪性サイトに対するWebアクセスの
フィルタリング● ドキュメント(紙)出力時のICカード認証● 機密文書(紙)への複製禁止コードの埋め込み● 不正通信のモニタリング、遮断
未登録デバイスへの書き出し制御
書き込み禁止
未登録のUSBメモリー
12
中国・アジアパシフィック地域の販売会社を統轄するアジアパシフィック営業本部(以下、APO)における情報セキュリティ活動は、2006年に開始され、傘下の全販売会社が参加しています。
海外販売会社における情報セキュリティ
APO内の販売会社における 情報セキュリティ
現在のハイテク環境では仕事の方法が変化し、私たちはますます情報システムに依存するようになっています。技術によって私たち全員に恩恵がもたらされる一方、大きな課題も生まれています。アジアパシフィック地域の販売会社を統轄するAPOは継続して富士ゼロックス本社と協力し、活動を実施しています。
情報セキュリティマネジメントシステム (ISMS)
2015年度、APOではソリューションおよびサービスビジネスの推進のため業務全体にISMSを導入する方針を決定しました。トップマネジメントは、自ら情報セキュリティに対するリーダーシップとコミットメントを表明するとともに、お客様の情報を保護してお客様の利益を守ることを明らかにしています。 また、組織全体で情報セキュリティの包括的なリスクマネジメントプログラムを確立しました。同時に業務の既存プロセスを見直し、2016年度に認証を取得しました。 情報セキュリティルールをISO/IEC 27001:2013の規格に合わせて修正すると同時に、全事業に関して機能ごとのセキュリティ方針を設定しました。文書を作成、改訂し規格要件を満たしています。また各国でのISMS理解を促進するため、文書は英語に加えて各国の言語に翻訳されています。
情報セキュリティ事故報告
情報セキュリティ事故は、完全に避けられるものではありません。海外関連会社はすべてのセキュリティ関連事故について、富士ゼロックス本社への報告が義務付けられています。 事故発生時には、富士ゼロックス本社で運用するシステムで報告を行います。システムを活用して事故の発生状況を時系列で把握し、報告内容は都度レビュー、分析し、マネジメントに報告、さらに情報セキュリティ活動の計画や改善、教育内容の開発などの従業員啓発にも役立てています。
情報セキュリティ教育
従業員は情報セキュリティにおける最良の防御です。富士ゼロックスでは、従業員の防御力強化のため、セキュリティ教育をはじめとしたさまざまな啓発活動に取り組んでいます。教育内容は、現在のセキュリティの脅威や内容に合わせて制作されています。習熟度ロードマップを作成し、役割に応じた教育を実施することにより、効果を高めています。チェックポイントを作成し、全従業員がスケジュールどおりに教育を受講するようにしています。
アジアパシフィック地域における管理と取り組み
その他、情報セキュリティニュースの配信やポスター、リーフレット、ステッカーによる最新の脅威や対策の周知・啓発を続け、半年ごとにフィッシング詐欺に関する訓練を実施し、従業員の認識および対応力を高めています。
サイバーセキュリティアセスメント
サイバー攻撃は大きな事故につながる可能性があり、今日では最大の懸念事項となっています。そのため、サイバー攻撃による影響を評価しました。現在のセキュリティコントロールの充足度と効果を測定するため、ネットワークにおけるセキュリティアーキテクチャーの確認、情報システムにおけるセキュリティ構成のレビュー、継続的脅威の事前分析、インターネットゲートウェイへの侵入テストを行い、現状アセスメントを実施しました。 今後のサイバー攻撃へのリスクを軽減し、対策を強化するため、戦略および実施のロードマップを作成中です。
情報セキュリティアセスメント
2015年度から情報セキュリティの自己監査活動を強化しています。監査内容はすべての機能をカバーするものとし、情報管理、ガバナンス、および業務内容をレビューするための効果的な枠組みを確立しました。その成果は、セキュリティ強化の計画と管理のためのPDCA改善活動に取り入れられています。 APOは、情報セキュリティ・リスクアセスメントおよび年次監査を強化するプロセスを開始しました。 また、APOは情報システム全体に脆弱性アセスメントプロセスを実施し、ポリシーで設定された要件および社内標準がシステムで遵守されるようにしています。
個人情報保護
過去数年間、アジアパシフィック地域の国々では個人情報保護関連法の制定や見直しが行われ、企業コンプライアンスとしてデータ保護責任者の責任や、個人情報保護方針の公表が必要とされています。それに伴いAPOでは既存ルールや法令遵守状況の見直しを行いました。 シンガポールには、APO本部および富士ゼロックスシンガポールがあり、シンガポールの個人情報保護法 (PDPA, Personal Data Production Act)の適用下にあります。APO情報管理部門は、監視プロセスを確立し、この法律遵守を徹底しています。要件や監査実施について他のAPO部門とも協力しながら、APOの国々は継続して法律遵守に努めてまいります。 またPDPAに従い、データ保護責任者を任命しました。関連方針、苦情処理手順やコンプライアンス監査手順を定めて対応しています。
13
富士ゼロックスは、商品開発、ソリューション・サービスの提供、社内の基幹業務など、さまざまなパートナー企業(業務の委託先)とともに事業活動を行っています。業務内容によっては、お客様からお預かりする大切な情報をパートナー企業が扱うことがありますので、パートナー企業と緊密に連携して情報セキュリティを確保することにより、品質の一部として、お客様に安全・安心をお届けできるよう努めています。 また、パートナー企業からさらに別会社に業務の委託を行う場合には、再委託先まで富士ゼロックスの管理範囲とみなし、活動を行っています。
富士ゼロックスでは、これまでパートナー企業にお客様や自社の重要な情報を預ける際のガイドラインを整備し運用していました。しかし、他社の大規模な個人情報漏えい事故をきっかけに、重要な情報をグループ外に委託している業務に関するセキュリティの状況
全社の取り組み
業務を委託する際には、業務委託の内容に対応した調査票への回答をお願いしています。それぞれ「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」の観
取り組み事例
パートナー企業の委託業務従事者からの誓約書取得
富士ゼロックスでは、当社拠点内に勤務する社員外従業員、派遣社員、およびパートナー企業の従業員から、「情報資産、設備などの適正利用についての誓約書」を取得しています。この誓約書は全社におけるセキュリティの維持徹底を狙いとしており、具体的には右記を目的としています。
1. 秘密保持契約としての位置づけによる情報漏えいの防止2. 富士ゼロックスの施設、設備などの適正利用3. 情報資産を含む当社資産の保全4. 富士ゼロックスの事業所における入退管理ルールの徹底5. 社内ネットワークおよび社内情報システムの適正利用6. IDカードの貸与
富士ゼロックスの管理範囲
富士ゼロックス 委託先 再委託先お客様
パートナー企業と連携した情報セキュリティ
調査を行いました。その結果、セキュリティの担当部門だけでなく、購買部門も加わったタスク活動により案件に応じた適切なパートナー企業選定プロセスの効率化とガバナンスを強化、調査と改善依頼のプロセスが正しく行われるようガイドラインを修正しました。
点からセキュリティ状況についての設問を構成しており、その結果をコーポレートに集約して情報を一元管理しています。
パートナー企業の管理監督強化プロセス
情報セキュリティ調査票
監査実施計画
監査結果報告書
パートナー企業評価データベース
情報セキュリティ調査票
②契約交渉
①パートナー企業の選定
③委託業務 開始前準備
④委託業務の実施
⑤委託業務の 終了
14
現在、企業におけるPCは会社業務を進めるうえで必要不可欠なツールになっています。このPCをとりまくさまざまなセキュリティの脅威から、PCで扱われる情報を守り、また、PCを利用する業務の継続性と、企業の信用やコンプライアンスを守る観点から、PCのセキュリティ対策は年々重要性を増しています。 富士ゼロックスではこれまでも、会社全般の業務で使用しているPCのセキュリティ強化に取り組んでおり、全社ISMS活動を通した従業員に対するセキュリティ教育/啓発活動、またPCセキュリティの技術的対策として、マルウェア対策ソフトの自動更新やセキュリティパッチの自動適用、情報漏えいにつながりかねないPC外部記憶媒体の接続制御などを行ってきました。 またPCを接続する社内ネットワーク環境では、無許可のPCの接続制限、送受信メールのマルウェア検査、不正Webサイトへのアクセス制限などのセキュリティ対策を実施しています。 特に社外に持ち出すPCではPCの紛失や盗難などの事故に備え、PC全体の暗号化を行うとともに、リモートアクセスとクラウドサービスを使うことでPC内にデータを極力保存しないデータレスPC環境を構築し、いつでもどこでも安全に働ける環境を使用しています。
現 在、富 士ゼロックスでも、会 社の標 準PCで使用しているMicrosoft社 Windows 7 OSが2020年1月にサポート終了するため、この対応として、Windows 10 OSへの移行を全社で進めています。 そして、これ を 契 機 に 富 士 ゼ ロックスで は、Smart Work Innovationの実践として、Windows 10 OSに搭載されている様々な機能と、すでに全社グローバルで導入済みのMicrosoft Office 365クラウド環境を組み合わせることで、これまで社外持出し用PCで実施していたデータレスPCを拡大し、社内用PCにも適用することで、社内/社外のどこでも一台のPCで業務が可能なPC環境の構築を進めています。
社内外のどこでも同じPCで業務を行う環境を実現するためには、これまでのPCのセキュリティレベルをさらに強化することが必要であると考えています。 そのため、新しいPCでは、セキュリティ向上のための様々な施策の導入を進めています。● PC単体のファイアウォール機能の実施● 未知のマルウェアにも強い新たなマルウェア対策ソフトへの移行● PCの操作ログ収集による不正動作のモニタリング● ファイル毎に情報漏えいを防ぐ仕組み また、従業員のPC管理工数とリスクの低減、情報セキュリティレベルの向上のため、以下のようなセキュリティ対策を集中管理で実施しています。● セキュリティパッチの適用やセキュリティ更新プログラムのアッ
プデートなどの脆弱性対応● ユーザPC操作の一部制限● PC管理ツールの強化
PCを利用した変革への取り組み PCセキュリティの強化と管理
Windows 10 PC導入によるセキュリティ強化
インターネット
社内ネットワーク 集中管理
センターからの監視/自動配信
Cloud Service�
データレス
Office等
OSパッチ/DAT
アクセス制御
PC暗号化
Fire Wall
データレス社内システム
15
個人情報保護の推進体制
富士ゼロックスでは、個人情報保護の推進を国内ISMS(ISO/IEC 27001)の推進体制と一体化しています。 例えば、年1回の自己点検・内部監査に使用するチェックシートに個人情報保護に関する項目を盛り込んでいます。チェックシートは毎年見直し、随時新たな要素を盛り込んでいます。
社内規程等の整備
富士ゼロックスでは、以下に挙げるとおり、個人情報保護に関する基本規程の他、ガイド類を制定・発行し、従業員への必要な知識の浸透を図っています。
● 個人情報管理規程
● 特定個人情報管理規程 … マイナンバーの管理に関する規程
● 情報セキュリティガイドライン:情報システム編 … マイナンバーを取り扱うシステムに対する高セキュリティ要件
を規定
● 個人情報保護ハンドブック … 図版を多用し個人情報保護法等について平易に解説した全従
業員向けの冊子
● 個人情報に関する問合せ対応マニュアル … ご本人からの問合せ、各種請求への対応手順
● フェア&セミナー開催/展示会出展時における個人情報取扱いガイド
● 人事機能における個人情報取扱ガイドライン
また、個人情報を機微度により3つのレベルに区分し、メリハリの利いた管理を行っています。
個人情報データベースの台帳管理システム
富士ゼロックスでは、個人情報データベースの台帳管理を適切に行うため、独自のWebシステムを構築し、国内の全関連会社で利用しています。 担当者や管理責任者の異動・退職への対応機能、1年以上更新のなかった個票について確認操作をメールでリマインドする機能など、登録内容を最新の状態に保つために工夫された機能を有しています。
個人情報保護への取り組み
個人情報の取扱いの委託先管理
個人情報の取扱いを外部のパートナー企業に委託する場合には、当該パートナー企業の個人情報保護および情報セキュリティのレベルを独自の調査シートに基づいて客観評価し、特にお客様からお預かりした個人情報は最高レベルの評価を得たパートナー企業でなければ委託できないルールになっています。(詳しくは、P.13の「パートナー企業と連携した情報セキュリティ」をご参照ください。)
GDPRへの対応
2018年5月に施行された「EU一般データ保護規則」(General Data Protection Regulation; GDPR)に対応するため、富士ゼロックスおよび全子会社でデータマッピング(欧州在住の方の個人情報の棚卸し)を実施しましたが、元々アジアパシフィック/オセアニア地域を商圏としているため、基本的には適用を受ける個人情報の取扱いはないことがわかりました。 しかしながら、近時、富士ゼロックスが提供するサービスに対し、グローバルに事業展開するお客様からのGDPRに関する対応の要請が高まっていることから、必要な措置に着手しました。 また、プリンターと連携するクラウドサービスを富士ゼロックスが開発し間接的に欧州に提供していることから、当該サービスおよび複合機について、欧州の定評ある審査機関のアセスメントを受け、GDPR対応のための改善を実施しました。
グローバルコンプライアンスへの対応
GDPRの影響を受け、世界各国で新たな個人情報保護法制の整備が進みつつあります。 このため、富士ゼロックスでも世界各国の個人情報保護やサイバーセキュリティに関する法制をウォッチし、APOおよび当該国の現地法人と協力して、遵法のための活動を行っています。
16
新規案件(サービス提供前) 既存案件(サービス提供中)
目的 ・情報セキュリティ事故の未然防止・サービス開始後の品質維持向上・セキュリティリスクの低減・事故発生時の再発防止
実施内容・過去の事例に基づく各組織の実施ノウハウの共有と集約・「標準リスク管理項目表」の作成·展開
・定期監査を通じた運用品質・セキュリティ施策の維持向上・日々の品質維持改善
富士ゼロックスのビジネスプロセスアウトソーシングサービス(BPOサービス)では、お客様からお預かりした情報を漏えいのリスクから守り、お客様に安心してサービスをご利用いただけるようにセキュリティ事故未然防止活動に取り組んでいます。
全社横断の品質保証プロジェクトの推進
プロジェクトの発足
富士ゼロックスでは、関連会社を含め、BPOサービスを提供している組織横断でプロジェクトを結成し、事故発生リスクの低減活動を行っています。今まで各組織個別で蓄積してきたリスク低減のノウハウや経験してきたヒヤリハットとその再発防止策の情報を共有することで、共通して発生するリスクに備え、未然防止を図っています。
ビジネスの事前審査
お客様にサービスを提供する前に各組織にてビジネスの審査を実施しています。これまで各組織別に確認していたリスク項目を集約し、「標準リスク管理項目表」として共通化しました。これにより、ビジネスとしての規模や必要スキルに対するリソースの質と量、スケジュール、契約条件、提案価値、体制など様々な共通の視点で確認をしています。その中の一つの項目であるセキュリティでは個人情報・機密情報等に対するルールの確認、教育・監査の実施、脆弱性対応、委託先のセキュリティ評価、入退出認証、アクセス権・廃棄管理など
多岐に渡る項目でセキュリティ強度の確認を実施しています。 実際のビジネス審査でこの「標準リスク管理項目表」を活用し、そこでの気づきを都度管理項目表に反映させています。事故の未然防止とリスク軽減を図り、より安全なサービスをお客様にご提供できるようにしています。
監査の強化
リスクの高い案件については事故未然防止や事故発生案件の再発防止のため、複数の組織による運用中や新規の案件監査を実施しています。複眼での監査により、異なる視点での気づきを通じて、セキュリティリスクを低減しています。監査後は改善活動を継続的にウォッチし、指摘事項に対しての取り組みを確認しています。 海外におけるBPOサービスについても同様に各国の個人情報やセキュリティの法令も考慮しながら対応を進めています。同時に情報セキュリティリスクの特定や低減を行うことができる人材の育成も進めています。
品質保証プロジェクト活動内容
契約/構築構築·準備見積り·提案
契約 開始判断
運用/保守運用·保守
17
方針展開と施策の周知徹底
情報セキュリティの各種施策を徹底するために、国内各部門、関連会社の担当者を対象にリスクマネジメント連絡会を開催しています。最新の事故事例紹介と類似事故の予防策に関する情報、事故発生時のエスカレーションなどについて情報提供と現場との情報交換を行っています。 海外の販売会社に関しては、2017年度にすべての海外販売会社のリスクマネジャーが参加するリスクマネジメントカウンシルを日本で開催しました。国内と同様に情報セキュリティを含めたリスクに対して情報交換を行い、連携強化を進めています。
ヒューマンエラーへの対応
お客様とのコミュニケーションツールとして重要な役割を果たす電子メールは、その重要性とともに使用頻度の増加による誤送信や添付文書間違いなどのリスクも増加しています。 当社ではメール誤送信未然防止のため、以下のような対策に取り組んでいます。● メール誤送信抑止アドイン機能の利用● ファイル受渡しサービスの積極活用● 従業員向け教育の実施● ファイル送信時の一時保留機能の活用
内部不正への対策
富士ゼロックスではサイバー攻撃などによる会社情報の漏えいや会社情報の不正/不適切な持出しの検知と阻止を目的として電子メール/ITログの監視・調査を実施しています。● 不適切な情報持出し等、内部のポリシー違反の監視・調査● 退職予定者を対象とした監視・調査● すべての電子メール/通信ログ/操作ログを対象として、ログ管理
システムにより疑わしい事象をピックアップし、人による評価も加えて絞り込んだ不審案件に対する監視・調査
2019年度の情報セキュリティ計画について
2019年度も引き続き、情報セキュリティのガバナンス強化と生産性向上の両立を目指し、主に次の活動を実施する予定です。
日本で開催されたリスクマネジメントカウンシルの様子
2017年度・2018年度のその他の取り組み
取り組み事例活動内容
● コンプライアンスにかかわる内部要因の事案/事故を大幅に削減するとともに再発防止を徹底します。
● 成長企業であり続けるうえで阻害要因となるリスクを重点管理し、予防保全を図るリスクマネジメント運用を強化します。
● サイバー攻撃への対応力を高めるため、情報セキュリティ緊急対応体制を強化し課題対応を推進するとともに、インシデント発生時における迅速な対応および攻撃への検知能力を高める施策を導入します。
● 個人情報を適切に管理するため、教育・啓発、点検などを計画的に推進し、グローバルでコンプライアンスを維持できるようにします。
● 内部不正、ヒューマンエラーなどによる従業員や業務委託先からの情報流出を防ぐための対策を一層推進します。
● 海外関連会社のセキュリティガバナンスの強化と迅速なエスカレーションを推進します。
18
取得組織名称 登録範囲 認証登録番号
富士ゼロックス本社部門研究・技術・開発&生産部門国内営業部門
・複写機 、プリンター 、ファクシミリ、スキャナー 、それらの複合機、プロダクションプリンター、パブリッシャーシステム、およびそれらの付属機器(自動原稿送り装置 、ソーター 、ステープラー 、フィニッシャー 、スタンパー等)並びに画像形成材料(現像剤 、感光体)の研究 ・技術 ・設計 ・開発および生産 ・製造および営業 ・保守 、 並びに医療機器およびそれらの部品の製造および販売・ドキュメントサービスソフトウエア製品 、ICT系サービス、ドキュメントアウトソーシングサービス、並びにシステムソリューションビジネス案件に関わる受託開発ソフトウエア製品 、コンサルティングサービス、設計 ・ 構築サービスおよび運用 ・ 保守サービスのソリューション営業および設計 ・構築 ・運用・ビジネスソリューションおよびネットワーク&セキュリティソリューションの受託開発・保守・運用、並びに各種 ICT系サービスの設計・移行・運用・経営者 ・管理者 ・一般従業員に対する教育 、並びに研修所等教育施設の運営 ・受託管理およびコンサルティング・複合機 ・複写機 ・ファクシミリ・プリンター等に使用される富士ゼロックス株式会社ブランドPPC用紙 、推奨PPC用紙 、および事務用機械器具 、事務用家具 、文房具のeコマースサイト「イー ・クイックス」を通した電子商取引・印刷 /複写 /スキャニング /複合機管理 /マニュアル・各種資料執筆のドキュメント関連アウトソーシングサービスの営業および設計・構築・運用
・販売活動に伴う契約・請求・代金回収に関する事務サービス、コールセンターサービス、会計・経理に関するファイナンスサービス、営業バックオフィスサービス・オフィス向けレーザープリンター 、複合機およびそれらの付属機器(オプション品)、カートリッジ(トナー 、ドラム等)の卸販売・公共および民間BPO(ビジネス・プロセス・アウトソーシング)サービスおよびシステムソリューションの設計 ・開発 、運用 、保守
IC03J0033
国内販売会社
富士ゼロックス北海道、富士ゼロックス岩手、富士ゼロックス宮城、富士ゼロックス福島
富士ゼロックス新潟、富士ゼロックス群馬、富士ゼロックス埼玉、富士ゼロックス茨城、富士ゼロックス栃木、富士ゼロックス長野、富士ゼロックス千葉
富士ゼロックス神奈川、富士ゼロックス東京、富士ゼロックス多摩
富士ゼロックス北陸、富士ゼロックス静岡、富士ゼロックス愛知、富士ゼロックス愛知東、富士ゼロックス三重、富士ゼロックス岐阜
富士ゼロックス京都、富士ゼロックス大阪、富士ゼロックス兵庫、富士ゼロックス四国、富士ゼロックス岡山、富士ゼロックス広島、富士ゼロックス山口
富士ゼロックス福岡、富士ゼロックス熊本、富士ゼロックス長崎、富士ゼロックス鹿児島
国内関連会社
富士ゼロックス情報システム
富士ゼロックスシステムサービス
富士ゼロックス総合教育研究所
富士ゼロックスプリンティングシステムズ
富士ゼロックスインターフィールド
富士ゼロックスマニュファクチュアリング
富士ゼロックスサービスクリエイティブ
富士ゼロックスサービスリンク
海外関連会社
富士ゼロックスハイフォン
富士ゼロックス上海(中国) プリンター、複合機、消耗品と備品の設計および製造など全般的な業務
32968-2010-AIS- RGC-UKAS
富士ゼロックス深圳(中国)レーザープリンター、複写機、複合機(コピー、ファクシミリ、プリンター)、レーザースキャナーと関連部品、消耗品の設計および製造などの業務
139524-2013-AIS- RGC-UKAS
富士ゼロックスエコマニュファクチャリング(中国) 新造CRU生産と再利用再資源化事業78839-2010-AIS- RGC-UKAS
富士ゼロックスエコマニュファクチャリング(タイ) プリンター、複写機部品および複写機の分離、組立、再製造、再調整、再改造などの業務 IS693668
富士ゼロックスビジネスフォース(豪州)※ 2012 年 10月に子会社化した富士ゼロックスドキュメントマネジメントソリューションズ(豪州)の100%子会社
BPO(ビジネス・プロセス・アウトソーシング)に関連した技術情報、インフラ、運用、データセンター機器管理サービスなどの提供業務
ITGOV40016
ISO/IEC 27001認証取得状況
富士ゼロックスおよび関連会社では、情報セキュリティに関連する第三者評価・認証の取得に積極的に取り組んでいます。
第三者評価・認証
2002年 にBS 7799-2:1999(ISO/IEC 27001の 前 身である英国の情報セキュリティマネジメントシステム規格)をユーザー認証サービスにおいて取得して以来、認証取得の範囲
ISMS認証取得状況
(組織、業務など)をお客様接点に関する業務を中心に拡大してきました。現在では、下記の組織において認証取得しています。
19
商品名 認証年月日富士ゼロックスApeosPort-VI C7771/C6671/C5571/C4471/C3371/C2271DocuCentre-VI C7771/C6671/C5571/C4471/C3371/C2271 シリーズコントローラソフトウェア
2017/5/25
取得組織名称 認定番号富士ゼロックスシステムサービス 11820092(09)
取得組織名称 登録範囲 認証登録番号富士ゼロックスタイランド
富士ゼロックスの、ドキュメントテクノロジー、保守サービス、消耗品供給および文書取扱い業務アウトソーシングの営業・サービスの管理を支える経営と事業のプロセス全般
TH17/10073
富士ゼロックスオーストラリア ITGOV40091
富士ゼロックスアジアパシフィック 12 310 57188/01 TMS
富士ゼロックスコリア 150156-2017-AIS-KOR-UKAS
富士ゼロックスミャンマー 12 310 57188/05 TMS
富士ゼロックスシンガポール 12 310 57188/02 TMS
富士ゼロックス香港 CC 6225
富士ゼロックスニュージーランド C38749
富士ゼロックスチャイナ 208061-2016-AIS-RGC-UKAS
富士ゼロックスマレーシア IND16.0721/U
富士ゼロックスベトナム VN17/00023
富士ゼロックス台湾 TW17/00069
富士ゼロックスフィリピン 12 310 57188/ 06 TMS
Fuji Xerox Malaysia Sdn Bnd 12 310 57188/ 04 TMS
Fuji Xerox Global Services 12 310 57188/ 03 TMS
2018年12月1日現在
お客様および社内の個人情報を適切に保護し、その運用がマネジメントシステムとして定着するよう継続的な改善に取り組んでいます。
プライバシーマーク認証取得状況
富士ゼロックスおよび関連会社は、2007年2月より、複合機、プリンターなどの商品において、ISO/IEC 15408の認証を取得しています。 2016年7月1日から2018年12月1日までに認証取得した当社商品を、下記にご紹介します。
ISO/IEC 154081)認証取得状況
2016年6月30日までに認証取得した商品については、独立行政法人 情報処理推進機構のホームページ(http://www.ipa.go.jp/security/jisec/certified_products/cert_listv31.html)でご確認ください。
1) 「ISO/IEC 15408」とは、情報技術セキュリティの観点から、情報技術に関連した商品およびシステムが適切に設計され、かつその設計が正しく実装されているかどうかを評価するための国際的なセキュリティ基準です。
2018年12月1日現在
プライバシーマーク認証取得状況
2018年12月1日現在
ISO/IEC 15408認証取得状況
Xerox、Xeroxロゴ、Fuji Xeroxロゴは、米国ゼロックス社の登録商標または商標です。
