情報セキュリティ報告書 2012年度

Transcription

1 富士ゼロックス 情報セキュリティ報告書 2012 年度

2 CONTENTS トップメッセージ... 2 富士ゼロックスと情報セキュリティ... 3 特集 統合認証基盤によるセキュリティ強化と利便性向上の実現... 5 情報セキュリティガバナンス... 7 社内の情報セキュリティ 海外営業本部における情報セキュリティ お客様への安全のご提供 パートナー企業と連携した情報セキュリティ 第三者評価 認証 基本情報 富士ゼロックスが本報告書を発行している目的と本報告書の対象期間 対象範囲などは 以下の通りです 本報告書の目的 本報告書は 富士ゼロックス株式会社 ( 以下 富士ゼロックス ) の情報セキュリティへの取り組みをステークホルダー 1) の皆様に説明し 事業への信頼性を高めていただくことを目的として発行しています 本報告書の内容は 情報セキュリティの 本報告書の対象範囲 本報告書が対象とする組織は 富士ゼロックスおよび関連会社 2) ( 以下 全社 ) とします 本報告書の責任部署 お問い合わせ先 効果を阻害しない範囲で ステークホルダーの皆様に開示す 東京都港区赤坂九丁目 7 番 3 号 ることが適当であると判断した情報を記載しています 本報告書の対象期間 富士ゼロックス株式会社 総務部リスクマネジメントグループ TEL : 総務部 ( 代表 ) 本報告書が対象とする期間は 2011 年 4 月 1 日 ~2012 年 3 月 31 日とします 1) 本報告書における ステークホルダー とは お客様 従業員 パートナー企業 株主 地域住民 その他の利害関係者とします 2) 関連会社 とは 富士ゼロックスが議決権の過半数を直接または間接に保有する会社とします 個々の関連会社については 下記のURLをご参照ください 国内関連会社 : 海外関連会社 : 1

3 トップメッセージ トップメッセージ 富士ゼロックスが考える情報セキュリティ 情報セキュリティは CSR 経営における重要テーマ 2011 年は ニュージーランド地震 東日本大震災 タイの洪水など 大規模な自然災害が発生し さらには欧州の金融危機や急激な円高など かつてないほどの激しい環境変化に見舞われた年でした このように地球や企業を取り巻く環境がグローバルレベルで激しく変化するなか 富士ゼロックスは 2012 年 2 月に創業 50 周年を迎えました さらにこの先の 50 年に向けて Document Service & Communicationの分野でエクセレントカンパニーを目指してチャレンジを進めていきます エクセレントカンパニーとは 継続的な高い成長性は当然のこととして お客様から信頼され 地域 社会から尊敬され 従業員がいきいきと働ける会社です このような企業の社会に対する責任を重視する経営 (CSR 経営 ) を目指していくなかで 情報セキュリティは重要なテーマになっています 特に富士ゼロックスが D o c u m e n t S e r v i c e & Communicationの分野で成長していくためには お客様が安心して重要な情報資産をお預けいただける会社で 事故を年々減少させています また 2011 年度は サービスビジネスにおける情報セキュリティ事故を防ぐための活動を 商品品質部門や事業部門 本社などの組織を横断して進めてきました ICTの本格的な活用という点では ソーシャルメディアの安全な活用を国内のみならず グローバル視点を取り入れて展開してきました 2012 年度は これまでのセキュリティ対策のさらなる強化に加え 従業員の新しい働き方実現に向けたスマートフォン タブレット PC クラウドの活用と安全の両立策の具体化など 新たな課題対応を進めていきます より社会から信頼される組織を目指して国内外の関連会社を含めたオール富士ゼロックスで 一致団結した情報セキュリティ施策を実践するとともに パートナー企業との協働によるセキュリティ対策も推進し お客様から信頼される組織を目指します 本報告書では 富士ゼロックスの情報セキュリティに対する考え方や実践事例を掲載しておりますので ご覧いただき 忌憚ないご意見をお聞かせください なければなりません そのためには 個人情報や機密情報を漏えいや改ざんなどの脅威から確実に保護することが最も重要です また スマートフォンやタブレット PCなどの情報通信機器の多様化 普及に伴い 多様な働き方が選択できるなかで 従業員の生産性向上と安全性確保の両立も重要な課題だと認識しています これまでの情報セキュリティ活動と今後の取り組み富士ゼロックスは 情報セキュリティを PDCAサイクルに沿ってマネジメントすることによって 情報セキュリティ 富士ゼロックス株式会社取締役常務執行役員 柳川勝彦 2

4 富士ゼロックスと情報セキュリティ 富士ゼロックスは 社会に存在するさまざまな情報セキュリティ上の脅威に対応できる商品 サービスを提供することを通じて お客様 そしてその先にある社会に貢献し続けたいと考えています また 安心して商品 サービスをお使いいただくために 富士ゼロックスとしてもパートナー企業や販売会社 関連会社を含めて情報セキュリティの維持 改善に努めています ホームページ 情報の改ざん 誤操作 誤送信 お客様 お客様は ドキュメントのライフサイクルにおける多くのセキュリティ課題に直面しています 富士ゼロックスは そうした課題を解決するソリューションを商品やサービスを通して提供しています お客様へのセキュリティと提案 p5 特集 統合認証基盤によるセキュリティ強化と利便性向上の実現 p15 お客様への安全のご提供 富士ゼロックス 出力文書の置忘れ 富士ゼロックスは 情報セキュリティのガバナンス体制を整えて 販売会社 関連会社と一体となり情報セキュリティ推進活動を行うとともに 継続的な改善に取り組んでいます 社内のセキュリティの確保 p7 p11 p14 情報セキュリティガバナンス 社内の情報セキュリティ 海外営業本部における情報セキュリティ ウイルス マルウェア 3

5 富士ゼロックスと情報セキュリティ サイバー攻撃 不正な 情報の 持ち出し 不正侵入 情報機器等の 盗難 パートナー企業 安全 安心なソリューションを提供するために 富士ゼロックスではパートナー企業の選定 管理を適切に行うとともに パートナー企業と連携し サプライチェーン全体での情報セキュリティ確保に努めています 情報機器の 紛失 パートナー企業とのセキュリティの連携 p19 パートナー企業と連携した 情報セキュリティ インターネット への情報流出 内部犯罪 不正行為 さまざまなセキュリティ上の脅威 4

6 特集 統合認証基盤によるセキュリティ強化と利便性向上の実現 昨今の情報通信技術 (ICT 1) ) の著しい発展に伴い 企業 組織内にはさまざまな情報システムが導入され ICT 環境は複雑化しています その一方で 社会的なセキュリティ意識の向上により 企業 組織の社会的責任の一環としてセキュリティ対策が求められています 情報化によってもたらされる利便性と それに見合った適切なレベルのセキュリティ対策が必要とされています そこで 企業や組織におけるセキュリティ基盤として またコンプライアンス対応として統合認証基盤が注目されています 統合認証基盤は ICT 環境におけるセキュリティの中核となる 識別 認証 認可 という 3つの機能を提供します 富士ゼロックスにおける統合認証基盤によるセキュリティ強化の事例 (ICT 環境におけるアクセス管理統制レベル向上 ) 統合認証基盤の構築は 一般的には企業や組織のセキュリティ強化や情報システムの運用管理コスト削減 利用者の利便性向上が主な目的と言われています 富士ゼロックスは それらの要件に加え 統合認証基盤をグループガバナンスおよびグローバル連携を支えるエンタープライズシステムの中核機能に位置 付け 2003 年 8 月から運用を開始しています 当社の統合認証基盤は 富士ゼロックスおよび関連会社の全従業員を管理対象とし 約 8 万のユーザー IDを一元管理しています 以下に 統合認証基盤によるセキュリティ強化の事例を3つご紹介します セキュリティの課題 統合認証基盤による課題解決 退職者 I Dなどの不要 I Dの削除が徹底できていないため 不正アクセスのリスクがある 人事イベントに連動した正確な IDライフサイクル管理の実現人事データベースなどの信頼性の高いデータと統合認証基盤を連動し 入社 異動 昇進 退職などの人事イベントを各情報システムの ID 管理 アクセス制御に自動同期させています これにより 権限のない利用者による不正アクセスを防止し 情報漏えいリスク低減を実現しています ユーザー I D 発行の承認プロセスが確立されていないため ID 発行の正当性が保証されていない 誓約書と連動したユーザー情報登録の正当性確保企業 組織の情報システムを利用可能とするユーザー IDは アクセス管理の起点となります そのため ユーザー IDを発行する段階で いかに正当性を確保するかが非常に重要です 富士ゼロックスは 署名した誓約書を提出した者にのみ 社内情報資産を利用可能とするユーザー IDを発行する仕組みを構築しています これにより その人の実在性および登録の根拠を明確にし ユーザー登録の正当性を確保しています 全社ユーザーマスターとの連動による適切なアクセス制御 情報システムごとにユーザー情報を登録 管理しているため セキュリティレベルにバラつきがある 富士ゼロックスおよび関連会社の全従業員情報の登録 管理プロセスを標準化し 全従業員情報を一元管理する全社ユーザーマスターを構築 運用しています 全社ユーザーマスターに登録された従業員情報と各種情報システム ( 例 : 業務システム 入退館システム 複合機出力認証システム ) を自動同期することにより 組織改編やユーザー属性変更を迅速に反映し 常に適切な認証やアクセス制御が行われるようにしています これにより セキュリティレベルを向上し TCO 2) 削減も同時に実現しています 1) ICT: Information and Communication Technology 2)TCO: Total Cost of Ownership 5

7 6

8 情報セキュリティガバナンス 富士ゼロックスの情報セキュリティガバナンスは 全社を統括する情報セキュリティ推進体制と この体制のもとに 営業 ( 国内 海外 ) 研究 開発 生産 関連会社などの各領域を統括する情報セキュリティ推進体制 ( 部門の情報セキュリティ ) との 2 階層から構成されています 富士ゼロックスの情報セキュリティへの考え方 富士ゼロックスは CSR( 企業の社会に対する責任 ) の一環として 情報セキュリティマネジメントを最も重要な経営課題の一つと位置付けています 当社が考える最も重要な情報セキュリティリスクは 個人情報やお客様からお預かりする機密情報などの情報漏えいです お客様が安心して当社に情報資産を預けてい ただき ソリューション サービスをご利用いただくため 従業員が一丸となり 情報セキュリティ事故の撲滅に向けて全力をあげています そのため ガバナンス体制を整備し あらゆる角度から対策を実施し 日々の活動を監査し 定期的にレビューするという PDCAサイクルを回すことで 継続的なマネジメントの向上を図っています 富士ゼロックスの情報セキュリティガバナンス 富士ゼロックスは 右図の考え方に基づき 情報セキュリティガバナンスに取り組んでいます 従業員に対しては 方針 ルールを浸透させ 情報セキュリティに関する報告やモニタリングを徹底しています また お客様やパートナー企業などに対しては 情報セキュリティの取り組みを報告 当社への評価を把握することで より高いレベルの情報セキュリティガバナンスを目指しています お客様 パートナー企業など 取り組み状況の開示 方針 施策の展開 富士ゼロックス 従業員 評価 報告モニタリング 社外への情報開示 社外からの評価 従業員に対するマネジメント 従業員に対するマネジメント 推進体制全社を統括する情報セキュリティ推進体制は 本社総務部リスクマネジメントグループが 全社リスクマネジメントの一機能として担当しています より効果的な推進を目指して ITガバナンスを担当する情報通信システム部およびITインフラの構築 運用を担当する富士ゼロックス情報システム ( 株 )(FXIS) との連携を通じて 全社の情報セキュリティを推進しています 全社の情報セキュリティ 部門の情報セキュリティ 情報セキュリティ担当役員 本社総務部リスクマネジメントグループ 総務部リスクマネジメントグループ 全社共通の情報セキュリティ方針 規程の策定 上記に基づく全社統制 モニタリング 統制環境の整備等 社内実践事例の構築 ノウハウの蓄積による成果の全社およびお客様への展開 ( 言行一致 活動 ) 社長 情報システム担当役員 本社情報通信システム部および FXIS 情報通信システム部および FXIS 情報通信システム部 全社のIT 戦略の策定とITガバナンスの推進 ITセキュリティにかかわる方針 規程の策定と順守状況のモニタリング FXIS ITシェアードサービス会社として情報システムのシステム主管を担当 全社の社内システムの企画 開発 運用とネットワークインフラの企画 運用管理 国内営業海外営業本部 部門および関連会社の役割 共通課題を抱える複数の組織の集合体 ( 国内営業や海外営業など ) や関連会社ごとの体制の整備 組織ごとの情報セキュリティ施策の推進 研究 開発 生産関連会社国内販売会社海外販売会社生産 開発関連会社7 情報セキュリティ推進体制

9 情報セキュリティガバナンス 2 階層体制の役割 富士ゼロックスの情報セキュリティガバナンスは 方 針 ルールの策定などの 全社共通の情報セキュリティ の上に 本社をはじめとする各組織固有の事業リスクに 対応する 部門の情報セキュリティ の 2 階層の体制を整 備し 総合的な対策を講じています 研究 開発 生産国内営業海外営業関連会社本社 部門の情報セキュリティ 例 事業所セキュリティ 市場導入前製品情報 生産に関連する情報 研究情報 例 お客様預かり情報 サービスビジネス モバイル 例 海外特有のリスク 各会社の事業特徴に応じたセキュリティ 例 戦略情報 基幹業務システム 事業継続管理 全社共通の情報セキュリティ 方針 ルールの立案 策定 リスク抽出と重要な情報資産に対する統制活動 共通管理策の展開 監視 監査 事故報告管理 教育 啓発 情報セキュリティにかかわるルール体系 富士ゼロックスは 情報の機密区分 コンプライアンス 情報倫理など さまざまな観点から情報セキュリティにかかわる全社共通ルールを制定しています 情報セキュリティの方針および普遍的なルールを定めた 規程 具体的な管理策を定めた ガイドライン ならびに マニュアル / 解説書類 の 3つから構成されています ガイドライン および マニュアル / 解説書類 については 定期的見直しを行い 最新の状況を取り入れ 更新しています 規程 ガイドライン マニュアル / 解説書類 情報セキュリティにかかわるルール体系 情報セキュリティ規程 会社情報取扱規程 個人情報管理規程 情報セキュリティガイドライン 基本 行動編 情報システム編 顧客接点業務編 情報セキュリティ事故対応手順 個人情報保護ハンドブック 情報セキュリティ教育情報セキュリティに関する従業員教育としては さまざまな階層で複数のプログラムを実施しています 全従業員向けの教育は eラーニングと確認テストにより実施し 全員が受講を完了するまでフォローします 新入社員教育および新任マネジャー教育は集合教育により実施し グループディスカッションや自社で制作したビデオ教材の視聴なども取り入れています 教育内容としては ルールを根付かせるためのケーススタディなどに加え 実際に起きた情報セキュリティ事故に 基づいて そのような事故を起こさないようにするために はどうすべきかということに重きを置き PDCA サイクル を回すことにより従業員の意識の向上を図っています 情報セキュリティに関する教育プログラム 情報セキュリティ教育の種類対象者実施頻度 全社情報セキュリティ教育全従業員年 1 回 ISMS(ISO/IEC 27001) 関連教育 国内営業など ISMS 取得組織の従業員 年 1 回 新入社員教育新入社員入社後随時 新任マネジャー教育新任マネジャー昇格時随時 8

10 情 報セキュリティ事 故の報 告 全社において 情報資産の紛失 盗難 メールやFAXの 個別的な対応策だけではなく 組織横断的な対応策も実 施しています 誤送信などの情報セキュリティ事故が発生した場合 当 事者 発見者は２時間以内に会社に報告することが徹底 されています 万が一事故が発生した場合 報告をもと に緊急対策を講じます そして 適切な再発防止策を講 じ 第三者が施策の実施状況と有効性を確認します また 経 営 層に対しても 全 社の情 報セキュリティ事 故状況を毎月報告しており 経営層からの指示に基づき 経営層への事故状況の報告 社外への情報開示 社外からの評価 情 報セキュリティの開 示 富士ゼロックスは 2006年6月に日本で第一号として 経済産業省の 情 報セキュリティ報告書モデル に準拠した 情報セキュリティ報告書 を発行 富士 情報 ゼロ ック ス 20 セキ 10 年 ュリ ティ 度 報告 富士 ゼロ ック 情報 ス セキ 2011 ュリ 年度 ティ 報告 書 書 しました 報告書のなかでは 経営の情報セキュリティに対する考え方 社内 の情報セキュリティの取り組み状況 第三者評価 認証状況などについて 開 示可能な範囲で積極的に公表しています 本報告書などを通して 富士ゼロックスの情報セキュリティへの取り組み を積極的に紹介し 信頼を高めていただけるように 今後も努めていきます 情 報セキュリティの評 価 富士ゼロックスおよび関連会社では 情報セキュリティ に関連する第三者の評価 認証制度を取得しています 具 体 的には 情 報セキュリティマネジメントシステム 認証規格のプライバシーマーク 関連会社の一部 情報 セキュリティ関連製品 システムのISO/IEC 15408の 認証取得に取り組んでいます 詳細な取得状況は P2122の第三者評価 認証をご覧ください I S M S のI S O / I E C 個 人 情 報 保 護に関する 2012年度の情報セキュリティ活動計画について 新たなICT活用と安全性の両立 モバイル端末の管理 利用ルールの展開 社外のクラウドシステ ムを安全に利用するためのルールの策定 展開 ICTの安全な活 用事例集の展開などを推進します 新たな脅威 サイバー攻撃への対応 最新動向を継続的に把握し リスク対策の再点検を行い 必要に 応じて追加の対策を検討し 実施します 海外ガバナンスの強化 情報セキュリティルールの見直し 情報セキュリティ事故報告管 理の強化などを行います 9 サービスビジネスへの対応 2011年度から活動しているサービスビジネスにおけるパート ナー企業の管理強化策を全社に浸透させます 情報セキュリティ事故の削減 継続活動 不注意 うっかりなどによる会社の情報資産の紛失など件数が多 い情報セキュリティ事故の削減に 継続して努めていきます

11 情報セキュリティガバナンス 情報セキュリティ活動のあゆみ 2005 年 ~2006 年 情報セキュリティの専門組織を設置 情報セキュリティガバナンスの基盤整備の実施 技術的側面における情報セキュリティ対策を展開 2005 年の個人情報保護法施行をきっかけに 社内で個人情報管理や情報セキュリティにかかわっていた組織の従業員を統合し 情報セキュリティの専門組織を立ち上げ 本部 関連会社を含めた全社で情報セキュリティに取り組む体制を構築しました 個人情報保護法への確実な対応のため 規程類 標準契約書 個人情報管理台帳の整備など 全社体制で情報セキュリティのガバナンスを推進するための基盤整備を実施しました 万が一事故が起きた場合には 適切で迅速な対応が重要であることから 情報セキュリティ事故報告 対応手順の周知活動を行いました 情報漏えい防止のために PC 全体を暗号化するツールの導入や 複合機の利用者認証に使用する ICカード標準 (AFSC: オール富士ゼロックスセキュリティカード ) を適用し 全従業員へ利用者認証を配布するなど 技術的な対策を展開しました 2007 年 ~2008 年 規程類の効果的な見直し 情報セキュリティ基礎教育の整備 厳重なファシリティアクセス管理の実現 会社が有する情報の機密区分を細分化し お客様からの預かり情報の機密区分を新設するなど 業務に即した形での規程類の見直しを実施しました 情報セキュリティ事故の再発防止のため 事故事例からの学習を中心とした実践的な内容の情報セキュリティ基礎教育を企画し 全従業員を対象に実施しました なおこの基礎教育は 現在も継続して実施しています 基幹システムを収容しているデータセンターでは 災害対応能力強化のため 建物免震機構の採用 電力 通信等のライフラインの二重化 厳重なファシリティアクセス管理を徹底しました 2009 年 モバイル環境や在宅勤務における情報セキュリティを強化 内部情報の漏えい防止の改善 ワークフローシステムの導入 これまで導入していた社外持ち出しPCのハードディスク全体暗号化に加え 再起動すると自動的に持ち出し前の状態に戻る機能を備えた FXセキュア PC の導入を行いました 社外への情報漏えいを防止するために 印刷時のセキュリティ対策のルールを強化し 本社会議体資料などの印刷時に トラストマーキング機能の利用を義務付けました この機能は 複製防止のペーパーセキュリティや原稿を複製すると特定の文字が浮き出る隠し印刷機能などを活用しています 情報セキュリティに関する事故報告内容の標準化を図るとともに 各種申請手続きの簡易化や効率化のために ワークフローシステムを導入しました 2010 年 USB メモリーや電子メールなどからの情報漏えい抑止策 個人情報管理の状況を俯瞰する台帳システムの機能強化 情報セキュリティ実態調査の実施 PCのUSBデバイス 電子メール Webアクセス 紙のプリントなどを介しての情報漏えい対策として PC 操作 電子メール等のログ管理システムを強化しました 具体的には 許可された USBメモリー以外へのデータ書き込みをできないように制御するなどの仕組みを導入しました 富士ゼロックスが管理する個人情報の管理状況を一元管理するために 個人情報管理台帳システム (PICS) を運営しています 台帳からの抹消や台帳の変更手続き忘れを防ぐため 台帳の更新状況を自動モニタリングするなどの機能強化を行いました 富士ゼロックスの情報セキュリティの実態調査を実施し 前回調査 (2008 年度 ) に比べ 規程類の周知レベルの改善 ファクス誤送信防止策 情報の適切な廃棄など管理策の浸透が確認できました 2011 年 実態調査を活かした 会社情報取扱いハンドブック の改訂 会社情報取扱いハンドブック と連動した全社教育の実施 モバイル端末セキュリティガイドラインの限定リリース ソーシャルメディアの安全な活用を開始 p.13をご覧ください p.13をご覧ください利活用の要望が急増しているスマートフォン タブレット PCを安全に利用してもらうためのルールが規定された モバイル端末セキュリティガイドライン を特定目的利用が許可された者に対して 限定リリースしました 今後 モバイル端末の会社標準化のタイミングに合わせて 全従業員へのルール展開を予定しています p.13をご覧ください 10

12 社内情報社外預かり情報機密性の情報区分社内の情報セキュリティ 富士ゼロックスは 社内で扱う情報のセキュリティについて従業員に対する意識の啓発やリスクへの適切な対応の徹底 を図っています すべての従業員が情報セキュリティの重要性を理解し 日常業務における情報リスクに対応できるよう 情報機器の種類や情報の区分に応じたルールや仕組みを導入しています 情報管理 情報管理の考え方富士ゼロックスは すべての 情報 は価値を有する社有資産であることを認識し 会社の従業員としての責任感 倫理観をもって 情報 に接し 取り扱うものとする として 情報 に対する基本姿勢を定めています そのような方針のもとで関連ルールを整備し 情報資 産の適切な保護 管理ならびにコンプライアンスの維持向上に努めています 情報を適切に保護 管理するためには 会社が管理できる状態にした上で 情報の重要度に応じた管理を行い 情報へのアクセスが業務上必要かどうかを判断することが重要だと考えています 会社情報管理の主な仕組み オフィス等の会社拠点モバイル等 ICTの利用 会社貸与情報機器 重要度に応じた情報管理 ファシリティのゾーニング 情報区分表示 会社標準の情報機器の調達 ( 購買規制 ) 施錠管理 暗号化 ICカード認証 会社情報の持ち出し制限 社外持ち出し手続き 持ち出し用情報機器 (FXセキュア PC 標準携帯電話 ) 遠隔アクセスの仕組み ( リモートデスクトップ 携帯メールアクセス等 ) 私物情報機器等 会社情報の格納禁止 重要エリアへの私物情報機器等の持込み禁止 私物などの未登録デバイスへのデータ書き込み禁止制御 Webフィルタリング PC 操作 メール等のログ保存 P2Pネットワークへの情報流出監視 私物 PCへの情報格納有無の一斉点検 日常業務における情報リスクへの対応 情報区分と管理要件の関係 ❶ 情報を会社が管理できる状態に 情報を会社が管理できる状態を維持するため かつ 従 所有者の情報区分 業員が安全に情報活用できるように ルールや仕組みを展開しています 例えば 業務遂行においては 必ず会社貸与の情報機器を利用することとし 私物情報機器の利用を認めていません また 会社貸与の情報機器は 情報システム部門が標準を定め 従業員が安全に情報活用できる環境を提供しています 機密性に重き 情報共有に重き セキュリティ上の管理要件 より厳しい管理 ❷ 情報の重要度に応じた情報管理会社情報には 重要度に応じた情報区分を設け 情報区分に応じた区分表示 安全管理措置を定めています 重要度の高い情報は 暗号化 施錠管理などの要件を定めています また 情報区分には 社内情報か社外からの預かり情報かの区分があり より重要な預かり情報は 授 ❸ 情報へのアクセスは業務上の必要性により判断重要な情報へのアクセスおよび社外持ち出しは 業務上の必要性から最小限にすることとしています また 重要な情報の持ち出しには 上長による許可を必要とするなど 業務上の必要性と上長による許可によって情報へのアクセスをコントロールしています 受管理などの要件を定めています 11

13 社内の情報セキュリティ 展開している主な情報セキュリティ対策 組織的対策 物理的対策 技術的対策の観点で さまざま 富士ゼロックスは 情報管理の考え方に基づき 人的 な情報セキュリティ対策を行い 情報資産の適切な保護 管理に努めています 情報セキュリティ対策の 3 つの側面 人的 組織的対策 情報セキュリティに関する規程 ガイドラインの整備 ルールを解説したハンドブック 事故事例のビデオ教材の展開 各社 各部門から選出された情報セキュリティ委員による情報セキュリティガバナンス 情報セキュリティに関する教育の定期的な実施 情報セキュリティ事故発見から 2 時間以内の会社への報告の徹底 物理的対策 重要区画の分離などゾーニングの設定 主要拠点での従業員証 (ICカード) による入退室管理 ワイヤーロックによる PCの固定 携帯電話やUSBメモリーへのストラップの取り付け 高セキュリティエリアでのカメラによる監視 持ち出し専用 PC への認定シールの貼り付け 機密文書のキャビネットにおける施錠管理 ID CARD 富士太郎 Taro Fuji 技術的対策 サーバー システムへのユーザー単位でのアクセス制御 重要な業務に携わる従業員の PC の操作ログ管理 私物などの未登録デバイスへの書き出し制御 ログ管理 インターネット通信 (Web アクセス メール送受信 ) の監視 P2P ネットワークの監視 未登録の USB メモリー PC 管理ツールによる使用禁止ソフトの適正利用監視 アクセス禁止カテゴリに対する Web アクセスのフィルタリング 文書 ( 紙 ) 出力時の IC カード認証 機密文書 ( 紙 ) の複製禁止コードの埋め込み 書き込み禁止 未登録デバイスへの書き出し制御 12

14 2011 年度の主な取り組み ❶ 会社情報取扱いハンドブック の改訂 会社情報取扱いハンドブック を 2011 年 10 月に改訂し 冊子版を社員へ配布 イントラネット上にも電子版を公開しました 会社情報取扱いハンドブック とは 情報の機密区分やその取り扱いルールを規定した 会社情報取扱規程 について 具体的な事例を盛り込んだり Q&A 形式とすることで分かりやすく工夫した従業員向けの解説書です 今回の改訂は 各種法令への準拠 関連する社内規程類との整合 以前実施した情報セキュリティ実態調査での従業員の理解度が不十分であった内容の拡充などを中心に実施しました 具体的には 最新の情報区分 社外からの預かり情報の管理強化 すでに実施済みの情報 セキュリティおよびコンプライアンス施策との整合など の観点で見直しました 改訂された 会社情報取扱いハンドブック ❷ ハンドブックと連動した全社情報セキュリティ教育の実施国内の役員 社員 派遣社員などの全従業員を対象として テスト形式の eラーニングによる情報セキュリティ教育を実施しました 内容は 適切な会社情報の取り扱い をテーマとし 改訂した 会社情報取扱いハンドブック と連携させました 教育終了時に収集したアンケートでは 最近頻発して いる大規模自然災害の影響もあり 情報セキュリティ以外の大規模地震 風水害などリスク全般の内容も含めて欲しいとの意見 要望が数多く寄せられました そこで 2012 年度は防災対策なども含めた 情報セキュリティ & リスク教育 ( 仮称 ) とし リスクマネジメント全般教育へと進化させ 展開することを計画しています ❸ ソーシャルメディアの安全な活用昨今 多くの企業がソーシャルメディアをビジネス利用し始めています 富士ゼロックスでも 特に SMB( 中小規模事業所 ) 市場において Twitter Facebook YouTube を積極的に活用して お客様へ情報を発信し お客様からの声に耳を傾けるという双方向のコミュニケーションを始めました 始めるにあたっては リスクマネジメントの観点からは不適切な投稿による情報漏えい 炎上 人事 労務的な観点からは業務時間中における私的な閲覧 書き込みといった懸念をクリアする必要がありました そこで 業務上ソーシャルメディアに書き込む必要がある場合は 適切なプロセスをへて 会社の承認を得なければならない というルールを制定し 一般の従業員は閲覧のみ ( 書き込み不可 ) という形態にシステム的に制限して ソーシャルメディアの活用を開始しました ソーシャルメディア活用の取り組み 13

15 海外営業本部における情報セキュリティ 海外営業本部における情報セキュリティ 中国 アジアパシフィック地域の販売会社を統轄する海外営業本部 1) における情報セキュリティ活動は 2006 年半ばに 開始され 海外営業本部傘下の全販売会社が参加して実施されています アジアパシフィック地域でのマネジメントと取り組み 海外営業本部および傘下の販売会社と情報セキュリティ海外関連会社の一部に脆弱性があると 富士ゼロックス全体の情報セキュリティがリスクにさらされるため 情報セキュリティポリシーは グローバルに適用することが必要です しかしながら 中国 アジアパシフィック地域と日本のビジネス環境 慣習には違いがあります そのため日本国内向けに制定された富士ゼロックスの情報セキュリティポリシーをすべての海外販売会社に適切に適用するために 海外営業本部向けのサブセットを作成し 一部を除く海外販売会社で適用 展開しています 一方 富士ゼロックス本社は PDCAプロセスを通じて 海外営業本部と共同で適宜ポリシーの見直しを行っています 情報セキュリティガバナンス中国 アジアパシフィック地域の情報セキュリティマネジメントの機能は 海外営業本部のマネジメント クオリティ オフィス ( 経営品質担当部門 ) の下に位置付けられています 富士ゼロックス本社と同様に 海外営業本部の情報セキュリティガバナンスは 2 階層で構成されています 1つは会社をまたいでグローバルにポリシーを展開し施行する階層 もう 1つはそれぞれの海外販売会社内で確実にポリシー 教育および順守させるための仕組みを浸透させる階層となっています 情報セキュリティの改善 2007 年 7 月に 簡単にすばやく参照できる手引を従業員に提供し 日々の業務におけるセキュリティのベストプラクティスを実現するため 情報セキュリティポリシーに基づいた一連のオペレーショナルガイドラインを策定しました 一線の指導者になるためのトレーナー教育が行われまし た 現在では この教育はインタラクティブなコンテンツを 取り入れた e ラーニングで実施しています また 情報セキュリティ教育は 海外営業本部の新入社 員研修に取り入れています 言行一致と ApeosWare Management Suite 2011 年 言行一致活動を推進するため ApeosWare Management Suite がシンガポールの富士ゼロックスタ ワー 2) に導入されました ApeosWare Management Suite は 4 フロアに導入 され ユーザー認証によるプリント時のセキュリティやプ リント枚数の削減を実現しました さらに 未来の世代に 緑多き環境を手渡すことに貢献し サステナビリティの 実現に邁進するという富士ゼロックスのコミットメントを お客様に対して示しています 富士ゼロックスタワー 情報セキュリティ意識の向上情報セキュリティに関する従業員教育は 2006 年終わりにトレーナー教育 ( Train the Trainer ) の開始から 本格化しました そこでは 各海外販売会社からの参加者が それぞれの国で情報セキュリティ意識向上のための第 富士ゼロックスの販売拠点のある地域 1)2012 年 7 月に 中国営業本部およびアジアパシフィック営業本部に再編されました 2) シンガポールにおける富士ゼロックスの拠点ビルで Fuji Xerox Towers と命名されています 海外営業本部をはじめ 海外関連会社が入居しています 14

16 お客様への安全のご提供 富士ゼロックスは 紙 電子 伝送路を考慮したセキュリティ対策ソリューションを提案しています 紙文書の情報漏え い抑止 電子文書化によるセキュリティ強化 ネットワークセキュリティ対策 の 3 つの観点からセキュリティソリュー ションをご紹介します 富士ゼロックスの情報セキュリティソリューション オフィスのドキュメントは 作成 更新 伝達 配布 管理 共有 保管 廃棄というライフサイクルそれぞれの段階に情 報漏えいや改ざんなどのリスクが潜んでいるため トータ ルな視点に立ったセキュリティソリューションが求められ ます また ドキュメントの流通経路におけるセキュリティ を強化するネットワークセキュリティも重要になります 不正コピー 改ざん防止 管理 共有 保管 廃棄不正な持ち出し防止 誤送信抑止 伝達 配布 作成 更新放置プリント防止 ドキュメント ライフサイクルとセキュリティ 紙文書の情報漏えい抑止 プリンターやコピーから出力された紙文書の放置 ファクスの送り先を間違える誤送信など 紙文書の情報漏えい対策を強化することで より効果的なドキュメントセキュリティを実現します ❶ 複合機とソフトウェア活用によるドキュメントセキュリティ (ApeosPortとApeosWare Management Suiteの連携 ) ドキュメントのポータルとなる複合機 ApeosPort-IV をコアに 各種機器とドキュメントの運用を管理する統合ソフトウェア ApeosWare Management Suite により オフィス環境に合わせた統合的セキュリティ環境を構築 紙から電子へ 電子から紙へと形態を変えながら伝達 共有 保管を繰り返す各種ドキュメントのセキュリティを確保します また 紙文書の情報漏えい抑止のためのソリューションとして I Cカード認証による放置プリントや不正コピーの抑止 スキャン文書の漏えい抑止策などさまざまな仕組みの提供とログの取得管理を統合的に行います さらに この複合機の ICカード認証を行うことで次の関連ソリューションも提供しています ❷ フィジカルセキュリティソリューション ICカードを利用した入退室管理 就業管理 PCセキュリティを ICカード発行サービスまで含めて提供しています 入退室管理や就業管理などのアプリケーションとドキュメントセキュリティを 1 枚のICカードで効率的な運用を可能にします ユーザーの高い利便性を確保しながら セキュアな環境を構築します 15

17 ち出し電子化した文書の安全性を多彩なセキュリティ機能に お客様への安全のご提供 ❸ 基幹出力におけるドキュメントセキュリティ基幹システムからの帳票出力や CADからの図面出力における放置プリント抑止策を提供しています 基幹システムからの帳票 図面の出力時に ICカード認証による出力に対応するシステムを構築し 基幹システムからのダイレクト出力においても 通常のオフィスでの出力と同等の高い安全性と利便性を実現します ❹ ファクス誤送信抑止 (DocWays Safety FAX 連携 F 抑 /F 歴の連携 ) 複合機 ApeosPortとの連携で ファクス誤送信による情報漏えい抑止策を提供しています 操作ミスによる誤送信抑止効果に加え 認証機能 送信文書イメージ自動保存機能を活かし 意図的な操作による情報流出への監視効果や 万一の事故発生時のリスク特定と早期対策検討を可能にします 電子文書化によるセキュリティ強化 よって確保し セキュアなドキュメント環境を実現します DocuWorks による電子文書セキュリティ デジタル複合機のスキャン機能を利用して オフィスに あふれる紙文書を電子化することで 情報の共有 活用を 図ることができます また 電子文書の活用により ネット ワークを使って社内外とのやりとりをスピーディに行うこ とが可能になります その半面 コピーや内容の変更が簡 単にでき 漏えい 改ざんといったリスクも生じます 電子文書と紙文書を一元管理し ドキュメントの有効 活用を促進するドキュメントハンドリング ソフトウェア DocuWorks は その多彩な文書セキュリティ機能に より 電子文書の安全性を確保し セキュアな電子文書環 境を実現します コンテキストセキュリティ機能 イントラネット 開くパスワード + 印刷 転記 編集禁止 FireWall イントラネット外 従来コンテキストセキュリティ機能があれば 外持ち出しイントラネット アクセスログ収集可能 アクセスログ FireWall イントラネット外 DocuWorks で実現可能な電子文書のセキュリティ対策 電子文書の漏えい防止対策 電子文書の改ざん防止対策 紙文書の漏えい防止対策 さらに DocuWorks Context Service 2.0 が提供する コンテキスト セキュリティ 機能により 社外に持ち出 した電子文書を閲覧できなくするなど高度な文書セキュ リティを提供します コンテキストにアクセス DocuWorks Context Service 2.0 コンテキストにアクセス不可社社外持暗号化 操作制限による機密性確保パスワードセキュリティ (DocuWorks 電子印鑑 電子証明書でも可能 ) 電子署名による証拠性 完全性の確保 署名機能 DocuWorks 電子印鑑 電子証明書 出力文書の複写抑制 紙文書の管理意識向上 TrustMarkingBasic ( オプション ) イントラネット内では自由に文書の閲覧 利用が可能 社外に文書が流出しても 文書情報の流出を防ぐことが可能 印刷 転記 編集禁止だが パスワードがあれば 社外でも閲覧可能 社外での閲覧可能 社外での閲覧不可 16

18 ネットワークセキュリティ対策 インターネットからのさまざまな脅威を防止するととも に 内部要因によって発生する情報漏えいやコンピュー 富士ゼロックスは beat 以外にも 次のソリューション を提供しています ターウイルスによる感染対策など 総合的なセキュリティ 環境を高度な技術で提供しています ❶ ネットワーク環境のアウトソーシングサービス beat beatは 強固なセキュリティ対策をワンストップで提供するセキュアネットワークアウトソーシングサービスです beat/entryサービスは小規模事業所向けに beat/ basicサービスはより規模の大きな事業所や複数の拠点を持つ企業向けに 信頼できるネットワーク環境の提供 ❷ UTM(Unified Threat Management : 統合脅威管理 ) による統合ネットワークセキュリティ不正侵入防止 ウイルス対策 スパムメール対策など ネットワークセキュリティに必要な機能を統合したソリューションを提供しています ファイアウォールやアンチウイルスなどのネットワークセキュリティ機能を統合することで より強固なセキュリティを実現するとともに 導入 運用管理の負担を低減し TCOを削減します を通して お客様のビジネスや業務を強力に支援します ❸ プロキシーサーバーによる Web セキュリティ 外出先 beat-noc beat コンタクトセンター Webアクセスの高速化も可能なWebセキュリティ強化策を提供しています プロキシーサーバーアプライアンスやオプション製品 beat リモートアクセスサービス 各種問い合わせや障害発生時に対応 の導入により Web 経由での情報漏えいやウイルス感染 ( オプション ) 防止など包括的な Web セキュリティの強化が可能になり Internet ます また Web アクセスの統計レポート機能を提供し 24 時間 365 日リモート監視 beat ケータイリモートサービス自動アップデート ( オプション ) プロバイダー beat モバイルメールサービス ( オプション ) ブロードバンド回線 データセンター 文書ストレージ (1GB) 文書ストレージサービス ( オプション ) Web アクセス状況を可視化します ❹ 認証 暗号化によるセキュア無線 LAN ウイルス スパイウェア対策 不正アクセス防止 不正な通信対策機能 最新の暗号化 認証機能で 高いセキュリティを実現した無線 LANを提供しています 迷惑メール判定機能 beat コンテンツフィルターサービス ( オプション ) 複合機 / プリンター管理機能 E-QIX 連携機能 ハブ beat-box お客様 無線 LANコントローラーとアクセスポイントを組み合わせることで 有線 LANと同等レベルの高いセキュリティと容易な運用 管理を実現できます また 最新の暗号化 認証機能 無線 LAN 機能 規格にいち早く追随し常に最 らくらくコピー /eco コピー / らくらくスキャン 適なネットワーク環境を維持することができます 安心ファクスサービス オンデマンドサービス for DocuWorks( オプション ) ( オプション ) beat PC クライアントアンチウイルスサービス ( オプション ) beat-box が守るオフィスのネットワーク環境 (beat/basic サービス ) 17

19 ソリューション事例 : 静岡県富士市様 お客様への安全のご提供 プロポーザル方式の総合評価で業者を選定 IC カード認証を利用した全庁複合機のプリントマネジメントシステムを 導入し コスト削減と効率的なプリント環境を実現 サービス概要 : プリントマネジメントシステムの導入 今回導入したICカードを利用した複合機のプリントマネジメントシステムを通して 富士市様全庁での ID 別操作ログ収集により 運用面でのコストを大幅に削減できるだけでなく 利用者に無駄なプリントをしない意識付けができ より効果的な運用管理を実現しました ま た シンクライアント環境下でのログインとオンデマンドプリント環境の連携によって 必要な時に必要な場所でプリントできるようになり 移動業務時の作業効率化や情報を持ち運びしなくてすむためセキュリティ強化が図れています お客様の声 経営課題 今回 2005 年に導入した複合機の契約更新に合わせて さらに効果的な出力環境を構築していきたいと考えていました そのなかでポイントとなったのが 非接触型 ICカードを用いた個人認証機能の導入と プリントマネジメントシステムの導入です 複合機などの出力機器は 情報をデリバリーするための機器と考えています そして 情報をデリバリーする最適な方法 ( 紙 電子 ) を検証していける仕組みと コスト意識を持たせる仕組みを構築して TCO 削減を図りたいという思いがありました また 富士市では数年前から職員用の PCをシンクライアント化して 情報セキュリティの強化に努めてきました が さらに今回の ICカード導入によってプリントの取り忘れによる情報漏えいのリスク回避を図りたいと考えていました なお ICカードは 将来的にシンクライアント端末のログオン認証や 入退室管理など 汎用的に活用できることを踏まえての導入でした ほかにも プリントにかかる直接的なコストを抑えるため 出力機器のリース 保守 消耗部品の交換 必要に応じたカスタマイズ 各種サポートなどにかかる経費を 使用カウントに応じた単価契約にすること そして 複合機の省電力化による環境性能向上についても 調達仕様書のなかに盛り込みました 将来の展望 今回の導入により 大きく 3 つの効果を得ることがで きました トがなくなり 情報漏えいのリスクを減らすことができ ました ❶ コスト削減 ICカードを用いたプリントマネジメントの実現 使用カウントに応じた経費の単価契約により 10% の出力コストの削減が見込めます ❸ 省電力化など環境面での効果複合機自体の性能による省電力化に加え プリントで使用する用紙数を抑えることで 環境面での高い効果を実現します ❷ セキュリティの向上 ICカード利用および統合ソフトウェア ApeosWare M a n a g e m e n t S u i t e のログ管理により セキュリティ意識の向上や 出力した紙の取り違えや放置プリン 富士市役所総務部情報政策課システム開発担当 主幹深澤安伸様 18

20 パートナー企業と連携した情報セキュリティ 富士ゼロックスは 自社 関連会社のみならず さまざまなパートナー企業 ( 業務の委託先 ) に支えられて事業活動を行っています 特に ソリューション サービスビジネスにおいては お客様からお預かりする大切な情報をパートナー企業が扱うことがありますので パートナー企業と緊密に連携して情報セキュリティを確保することにより 品質の一部として お客様に安全 安心をお届けできるよう努めています 富士ゼロックスの管理範囲 お客様富士ゼロックス委託先 再委託先 全社の取り組み パートナー企業との連携による情報セキュリティ確保のため パートナー企業にお客様や自社の情報の取り扱いを委託する際のガイドラインを整備し 運用しています このガイドラインでは パートナー企業の選定 契約交渉 委託業務開始前準備 委託業務の実施 委託業務の終了といった一連のプロセスのなかで それぞれ実施すべき 内容が盛り込まれています 具体的には 調査票 ( チェックリスト ) に基づく評価 選定 個人情報保護および秘密保持条項を含む契約の締結 安全管理措置の取り決め パートナー企業の状況評価および預託情報の廃棄 消去などについて定めています パートナー企業の管理監督強化プロセス 1 パートナー企業の選定 5 委託業務の終了 情報セキュリティ チェックリスト 監査実施計画 登録番号 - 制定 0000 年 00 月 主管責任部 監査結果報告書 0000 年 00 月 00 日 株式会社情報管理部 作成 : 株式会社 事業部 部 2 契約交渉 4 委託業務の実施 3 委託業務開始前準備 部門の取り組み 営業 開発等の現場部門では ガイドラインに基づき 次のような取り組みにより パートナー企業と連携した情報セキュリティの維持 改善活動を行っています パートナー企業の選定 状況評価パートナー企業の会社情報 情報セキュリティのレベル 業務品質等については 調査票を用いてパートナー企業の状況を総合的に確認 評価しています また 個人情報の取り扱いを委託するパートナー企業については 業務実施環境を直接確認するなど 個人情報保護法に基づく管理監督を実施しています パートナー企業において 要改善項目が発見された場合には 改善を依頼し その対 応状況を確認しています パートナー企業を含めたサプライチェーン全体でのプロジェクト審査例えば お客様から受託するプリントサービス業務等の個別プロジェクトでは パートナー企業を含めたサプライチェーン全体で 業務プロセスが仕様通り対応できているかどうかについて フェーズごとに案件審査を行っています 審査に合格した場合に プロジェクトは次のフェーズに進みます 一方で 問題があった場合は 是正対応の上 再度審査を実施します 19

21 ートナー企業監査事務局パパートナー企業と連携した情報セキュリティ サービスビジネスにおける品質向上のための取り組み 2011 年度には 今後の事業の柱となるサービスビジネス ( ビジネス プロセス アウトソーシングの受託 ICT 環境の構築 運用 保守 各種クラウドサービスの提供など ) における品質を卓越したレベルとするために 全社をあげたタスク活動が実施されました タスクでは 7つの課題の一つとして 標準 SLA/ 品質指標の策定 品質問題とその再発防止策の共有化 などとともに パートナー企業選定基準と監査体制の強化 を取り上げ 次のような活動を実施し 成果を得ました ❶ パートナー企業選定 評価のための調査票の見直しと標準化これまでも調査票は運用されていましたが 各部門でカスタマイズされていたため 部門間で調査結果を共有しにくい 回答に際しての基準が明確でなく調査結果が回答者の主観に影響される可能性があるなどの問題がありました これに対し 次のような対策を取り パートナー企業の選定 評価における精度を向上させるとともに 特に金融機関のお客様のニーズにも的確に応えられるようになりました 調査項目を大幅に見直し 共通編 と 金融機関編 の 2 種類に再編 調査票の部門によるカスタマイズを禁止し すべてのパートナー企業の状況を同条件で比較することを可能に 回答者 ( パートナー企業担当者 ) 向けの詳細な判断基準を明示し 回答者の主観を極力排除 ❷ 監査マニュアルの作成重要な情報の取り扱いを委託するパートナー企業の実地監査における有効性 客観性を確保するため 詳細な監査マニュアルを作成しました ❸ パートナー企業情報の共有調査票 評価シート 監査結果などを関連部門間で共有するための仕組みの構築に着手しました 調査票 パートナー企業管理の流れ 調査 調査票 委託部門パートナー企業調査の実施調査票 パートナー企業調査の合否判断調査部門長調査票 パートナー企業情報 調査結果 パートナー企業調査結果の確認 パートナー企業力量比較 確認 監査 部門 任命 依頼部門 監査依頼 監査実施通知書 監査員の推薦 監査責任者 監査実施通知書写し 指名 名簿承認 監査の実施 監査員 指名 監査リーダー 承認 監査員名簿 監査チーム 監査確認書 ( 監査指摘事項回答書 / 確認書 ) 監査結果 監査記録 依頼部門 監査確認書 ( 監査指摘事項回答書 / 確認書 ) 20

22 第三者評価 認証 富士ゼロックスおよび関連会社では 情報セキュリティに関連する第三者評価 認証の取得に積極的に取り組んでいます ISMS 認証取得状況 2002 年に BS :1999(ISO/IEC の 前身である英国の情報セキュリティマネジメントシステ ム規格 ) をユーザー認証サービスにおいて取得して以来 認証取得の範囲 ( 組織 業務など ) をお客様接点に関する 業務を中心に拡大してきました 現在では 下記の組織に おいて認証取得しています ISO/IEC 認証取得状況 富士ゼロックス ( 株 ) 取得組織名称中央営業事業部 東京営業事業部 ソリューション サービス営業本部 ソリューション サービス運用本部 ソリューション サービス開発本部 グローバルサービス営業本部 ( 国内 ) プロダクションサービス営業本部 国内営業スタッフ部門 国内における営業活動 顧客提 供サービスにかかわる全業務 グローバルサービス営業本部サービスデリバリーオペレーションズドキュメントサービス受託事業 国内販売会社 富士ゼロックス北海道 ( 株 ) 富士ゼロックス岩手 ( 株 ) 富士ゼロックス宮城 ( 株 ) 富士ゼロックス福島 ( 株 ) 富士ゼロックス新潟 ( 株 ) 富士ゼロックス茨城 ( 株 ) 富士ゼロックス栃木 ( 株 ) 富士ゼロックス群馬 ( 株 ) 富士ゼロックス埼玉 ( 株 ) 富士ゼロックス東京 ( 株 ) 富士ゼロックス多摩 ( 株 ) 富士ゼロックス千葉 ( 株 ) 富士ゼロックス神奈川 ( 株 ) 富士ゼロックス長野 ( 株 ) 富士ゼロックス静岡 ( 株 ) 富士ゼロックス北陸 ( 株 ) 富士ゼロックス愛知 ( 株 ) 富士ゼロックス愛知東 ( 株 ) 富士ゼロックス岐阜 ( 株 ) 富士ゼロックス三重 ( 株 ) 富士ゼロックス京都 ( 株 ) 富士ゼロックス大阪 ( 株 ) 富士ゼロックス兵庫 ( 株 ) 富士ゼロックス岡山 ( 株 ) 富士ゼロックス広島 ( 株 ) 富士ゼロックス山口 ( 株 ) 富士ゼロックス四国 ( 株 ) 富士ゼロックス福岡 ( 株 ) 富士ゼロックス長崎 ( 株 ) 富士ゼロックス熊本 ( 株 ) 富士ゼロックス鹿児島 ( 株 ) 国内における営業活動 顧客提 供サービスにかかわる全業務 人事ソリューションシステムの 富士ゼロックス情報システム ( 株 ) 提案 設計開発 運用 保守および ASP サービス 板橋事業所 ( 関連事業所である神保町事業所 国内関連会社 富士ゼロックスシステムサービス ( 株 ) 大阪事業所 北海道支店 東北支店 中部支店 関西支店 西日本支店 横浜センター 東京事業所 武蔵事業所 ( 昭島 ) 武蔵事業所 ( 瑞穂 ) 武蔵事業所 ( 相馬 ) 横浜事業所 愛知事業所 相生事業所 呉事業所 呉事業所 ( 新宮 ) を含む ) 公共ソリューションおよび民間ソ リューションの情報処理サービ ス事業活動全般 富士ゼロックスインターフィールド ( 株 ) 富士ゼロックスサービスクリエイティブ ( 株 ) 国内における営業活動 顧客提 供サービスにかかわる全業務 海外関連会社富士ゼロックスコリア ( 韓国 ) 富士ゼロックス上海 ( 中国 ) 富士ゼロックス深圳 ( 中国 ) 2012 年 7 月 31 日現在 プライバシーマーク認証取得状況 お客様および社内の個人情報を適切に保護し その運 用がマネジメントシステムとして定着するよう継続的な 改善に取り組んでいます プライバシーマーク取得状況 取得組織名称 富士ゼロックスシステムサービス ( 株 ) ( 株 ) 富士ゼロックス総合教育研究所 21

23 第三者評価 認証 ISO/IEC ) 認証取得状況 富士ゼロックスおよび関連会社は 2007 年 2 月より 複合機 プリンター アプライアンス サーバー (beatbox) などの商品において ISO/IEC 15408の認証を取得しています 2011 年 4 月 1 日から2012 年 5 月 31 日までに認証取得 した当社商品を 下記にご紹介します 年 3 月 3 1 日までに認証取得した商品については 独立行政法人情報処理推進機構のホームページ ( products/cert_listv31.html) でご確認ください ISO/IEC 取得状況配給元 富士ゼロックス ( 株 ) 富士ゼロックスシステムサービス ( 株 ) 商品名 Fuji Xerox ApeosPort-IV C5575/C4475/C3375/C3373/C2275 DocuCentre-IV C5575/C4475/C3375/C3373 Series Controller Software for Asia Pacific Controller ROM Ver 富士ゼロックス ApeosPort-IV C5575/C4475/C3375/C2275 Controller ROM Ver 富士ゼロックス ApeosPort-IV C5575/C4475/C3375/C2275 コントローラソフトウェア Controller ROM Ver (G4 対応モデル ) シリーズコントローラソフトウェア DocuCentre-IV C5575/C4475/C3375/C2275 シリーズ Fuji Xerox ApeosPort-IV 7080/6080 DocuCentre-IV 7080/6080 Series Controller Software for Asia Pacific Controller ROM Ver 富士ゼロックス DocuCentre-IV C2263 シリーズコントローラソフトウェア Controller ROM Ver 富士ゼロックス ApeosPort-IV 7080(G4 対応モデル ) シリーズコントローラソフトウェア Controller ROM Ver 富士ゼロックス ApeosPort-IV 4070(G4 対応モデル ) シリーズコントローラソフトウェア Controller ROM Ver ファイル転送システム セキュアトランスポート 送受信モジュール 1.0 Fuji Xerox DocuCentre-IV C2265/C2263 Series Controller Software for Asia Pacific Controller ROM Ver 富士ゼロックス ApeosPort-IV 7080/6080/5080 DocuCentre-IV 7080/6080/5080 シリーズコントローラソフトウェア Controller ROM Ver 富士ゼロックス ApeosPort-IV 4070/3070 DocuCentre-IV 4070/3070 シリーズコントローラソフトウェア Controller ROM Ver Xerox WorkCentre 5325/5330/5335 Controller ROM Ver IOT ROM Ver ADF ROM Ver Xerox WorkCentre 7120/7125 Controller ROM Ver IOT ROM Ver ADF ROM Ver Fuji Xerox ApeosPort-IV 5070/4070/3070 DocuCentre-IV 5070/4070 Series Controller Software for Asia Pacific Controller ROM Ver 富士ゼロックス DocuCentre-IV 3060/2060 シリーズコントローラソフトウェア Controller ROM Ver Fuji Xerox DocuCentre-IV 3065/3060/2060 Series Controller Software for Asia Pacific Controller ROM Ver Fuji Xerox ApeosPort-IV C7780/C6680/C5580 DocuCentre-IV C7780/C6680/C5580 Series Controller Software for Asia Pacific Controller ROM Ver 富士ゼロックス ApeosPort-IV C7780/C6680/C5580 (G4 対応モデル ) シリーズコントローラソフトウェア Controller ROM Ver 富士ゼロックス ApeosPort-IV C7780/C6680/C5580 DocuCentre-IV C7780/C6680/C5580 シリーズコントローラソフトウェア Controller ROM Ver Fuji Xerox ApeosPort-IV C4430 DocuCentre-IV C4430 Series Controller Software for Asia Pacific Controller ROM Ver Xerox Color 550/560 Printer Controller ROM Ver IOT ROM Ver IIT ROM Ver ADF ROM Ver ) ISO/IEC とは 情報技術セキュリティの観点から 情報技術に関連した製品およびシステムが適切に設計され かつその設計が正しく実装されているかどうかを評価するための国際的なセキュリティ基準です 2012 年 5 月 31 日現在 22

24 JH-011