情報セキュリティ報告書 2012年度

(1)

富士ゼロックス

情報セキュリティ報告書

2012年度

(2)

基本情報

本報告書は、富士ゼロックス株式会社（以下、富士ゼロックス）の情報セキュリティへの取り組みをステークホルダー1）_の皆様に説明し、事業への信頼性を高めていただくことを目的として発行しています。本報告書の内容は、情報セキュリティの効果を阻害しない範囲で、ステークホルダーの皆様に開示することが適当であると判断した情報を記載しています。

本報告書の目的

本報告書が対象とする組織は、富士ゼロックスおよび関連会社2）_{（以下、全社）とします。}

本報告書の対象範囲

〒107-0052　東京都港区赤坂九丁目7番3号富士ゼロックス株式会社総務部リスクマネジメントグループ TEL ： 03-6271-5145　総務部（代表）

本報告書の責任部署・お問い合わせ先

本報告書が対象とする期間は、2011年4月1日～2012年 3月31日とします。

本報告書の対象期間

トップメッセージ

...2

富士ゼロックスと情報セキュリティ

...

3 特

集

統合認証基盤によるセキュリティ強化と

利便性向上の実現

...

5 情報セキュリティガバナンス

...

7 社内の情報セキュリティ

... 11

海外営業本部における情報セキュリティ

... 14

お客様への安全のご提供

... 15

パートナー企業と連携した情報セキュリティ

... 19

第三者評価・認証

...

21

1）本報告書における「ステークホルダー」とは、お客様、従業員、パートナー企業、株主、地域住民、その他の利害関係者とします。 2）「関連会社」とは、富士ゼロックスが議決権の過半数を直接または間接に保有する会社とします。個々の関連会社については、下記のURLをご参照ください。国内関連会社： http://www.fujixerox.co.jp/company/profile/group-japan/ 海外関連会社： http://www.fujixerox.co.jp/company/profile/group-worldwide/ 富士ゼロックスが本報告書を発行している目的と本報告書の対象期間、対象範囲などは、以下の通りです。

(3)

富士ゼロックスが考える情報セキュリティ

トップメッセージ

2011年は、ニュージーランド地震、東日本大震災、タイの洪水など、大規模な自然災害が発生し、さらには欧州の金融危機や急激な円高など、かつてないほどの激しい環境変化に見舞われた年でした。このように地球や企業を取り巻く環境がグローバルレベルで激しく変化するなか、富士ゼロックスは2012年2月に創業50周年を迎えました。さらにこの先の50年に向けて、 Document Service & Communicationの分野でエクセレントカンパニーを目指してチャレンジを進めていきます。エクセレントカンパニーとは、継続的な高い成長性は当然のこととして、お客様から信頼され、地域・社会から尊敬され、従業員がいきいきと働ける会社です。このような企業の社会に対する責任を重視する経営（CSR経営）を目指していくなかで、情報セキュリティは重要なテーマになっています。特に富士ゼロックスが D o c u m e n t S e r v i c e & Communicationの分野で成長していくためには、お客様が安心して重要な情報資産をお預けいただける会社でなければなりません。そのためには、個人情報や機密情報を漏えいや改ざんなどの脅威から確実に保護することが最も重要です。また、スマートフォンやタブレットPCなどの情報通信機器の多様化、普及に伴い、多様な働き方が選択できるなかで、従業員の生産性向上と安全性確保の両立も重要な課題だと認識しています。事故を年々減少させています。また、2011年度は、サービスビジネスにおける情報セキュリティ事故を防ぐための活動を、商品品質部門や事業部門、本社などの組織を横断して進めてきました。ICTの本格的な活用という点では、ソーシャルメディアの安全な活用を国内のみならず、グローバル視点を取り入れて展開してきました。 2012年度は、これまでのセキュリティ対策のさらなる強化に加え、従業員の新しい働き方実現に向けたスマートフォン、タブレットPC、クラウドの活用と安全の両立策の具体化など、新たな課題対応を進めていきます。富士ゼロックスは、情報セキュリティをPDCAサイクルに沿ってマネジメントすることによって、情報セキュリティ国内外の関連会社を含めたオール富士ゼロックスで、一致団結した情報セキュリティ施策を実践するとともに、パートナー企業との協働によるセキュリティ対策も推進し、お客様から信頼される組織を目指します。本報告書では、富士ゼロックスの情報セキュリティに対する考え方や実践事例を掲載しておりますので、ご覧いただき、忌憚ないご意見をお聞かせください。情報セキュリティは CSR経営における重要テーマこれまでの情報セキュリティ活動と今後の取り組みより社会から信頼される組織を目指して富士ゼロックス株式会社取締役常務執行役員

柳川勝彦

トップメッセージ

(4)

富士ゼロックスは、社会に存在するさまざまな情報セキュリティ上の脅威に対応できる商品・サービスを提供することを通じて、お客様、そしてその先にある社会に貢献し続けたいと考えています。また、安心して商品・サービスをお使いいただくために、富士ゼロックスとしてもパートナー企業や販売会社、関連会社を含めて情報セキュリティの維持・改善に努めています。

富士ゼロックスと情報セキュリティ

お客様は、ドキュメントのライフサイクルにおける多くのセキュリティ課題に直面しています。富士ゼロックスは、そうした課題を解決するソリューションを商品やサービスを通して提供しています。富士ゼロックスは、情報セキュリティのガバナンス体制を整えて、販売会社・関連会社と一体となり情報セキュリティ推進活動を行うとともに、継続的な改善に取り組んでいます。

お客様

富士ゼロックス

出力文書の置忘れ誤操作・誤送信ウイルス、マルウェアホームページ、情報の改ざん社内の情報セキュリティ海外営業本部における情報セキュリティ p11 p14 情報セキュリティガバナンス p7 社内のセキュリティの確保統合認証基盤によるセキュリティ強化と利便性向上の実現 p5 特集お客様への安全のご提供 p15 お客様へのセキュリティと提案

(5)

安全・安心なソリューションを提供するために、富士ゼロックスではパートナー企業の選定、管理を適切に行うとともに、パートナー企業と連携し、サプライチェーン全体での情報セキュリティ確保に努めています。

さまざまなセキュリティ上の脅威

パートナー企業

不正な情報の持ち出し情報機器の紛失インターネットへの情報流出内部犯罪、不正行為サイバー攻撃不正侵入、情報機器等の盗難パートナー企業と連携した情報セキュリティ p19 パートナー企業とのセキュリティの連携富士ゼロックスと情報セキュリティ

(6)

昨今の情報通信技術（ICT1）_{）の著しい発展に伴い、企業・組織内にはさまざまな情報システムが導入され、ICT環境は} 複雑化しています。その一方で、社会的なセキュリティ意識の向上により、企業・組織の社会的責任の一環としてセキュリティ対策が求められています。情報化によってもたらされる利便性と、それに見合った適切なレベルのセキュリティ対策が必要とされています。そこで、企業や組織におけるセキュリティ基盤として、またコンプライアンス対応として統合認証基盤が注目されています。統合認証基盤は、ICT環境におけるセキュリティの中核となる「識別」「認証」「認可」という3つの機能を提供します。

統合認証基盤によるセキュリティ強化と利便性向上の実現

特集

1） ICT： Information and Communication Technology　2）TCO： Total Cost of Ownership

富士ゼロックスにおける統合認証基盤によるセキュリティ強化の事例

（ICT環境におけるアクセス管理統制レベル向上）

セキュリティの課題統合認証基盤による課題解決統合認証基盤の構築は、一般的には企業や組織のセキュリティ強化や情報システムの運用管理コスト削減、利用者の利便性向上が主な目的と言われています。富士ゼロックスは、それらの要件に加え、統合認証基盤をグループガバナンスおよびグローバル連携を支えるエンタープライズシステムの中核機能に位置付け、2003年8月から運用を開始しています。当社の統合認証基盤は、富士ゼロックスおよび関連会社の全従業員を管理対象とし、約８万のユーザー IDを一元管理しています。以下に、統合認証基盤によるセキュリティ強化の事例を3つご紹介します。　富士ゼロックスおよび関連会社の全従業員情報の登録・管理プロセスを標準化し、全従業員情報を一元管理する全社ユーザーマスターを構築・運用しています。全社ユーザーマスターに登録された従業員情報と各種情報システム（例：業務システム、入退館システム、複合機出力認証システム）を自動同期することにより、組織改編やユーザー属性変更を迅速に反映し、常に適切な認証やアクセス制御が行われるようにしています。これにより、セキュリティレベルを向上し、TCO2）_{削減も同時に実現しています。} 全社ユーザーマスターとの連動による適切なアクセス制御　企業・組織の情報システムを利用可能とするユーザーIDは、アクセス管理の起点となります。そのため、ユーザーIDを発行する段階で、いかに正当性を確保するかが非常に重要です。　富士ゼロックスは、署名した誓約書を提出した者にのみ、社内情報資産を利用可能とするユーザーIDを発行する仕組みを構築しています。これにより、その人の実在性および登録の根拠を明確にし、ユーザー登録の正当性を確保しています。誓約書と連動したユーザー情報登録の正当性確保　人事データベースなどの信頼性の高いデータと統合認証基盤を連動し、入社・異動・昇進・退職などの人事イベントを各情報システムのID管理・アクセス制御に自動同期させています。これにより、権限のない利用者による不正アクセスを防止し、情報漏えいリスク低減を実現しています。人事イベントに連動した正確なIDライフサイクル管理の実現情報システムごとにユーザー情報を登録・管理しているため、セキュリティレベルにバラつきがある。ユーザーID発行の承認プロセスが確立されていないため、ID発行の正当性が保証されていない。退職者 I Dなどの不要 I Dの削除が徹底できていないため、不正アクセスのリスクがある。

(7)

生涯ID

地域社会共同研究者支援者保護者教職員卒業生在学生まずは、会社・組織が定める標準化されたプロセスに則って、利用者の属性情報を収集し、個々の利用者を一意に特定するユーザーIDを発行・管理する機能（識別）を提供します。そして、利用者が企業・組織の情報資産（例：コンピューターネットワーク、情報システム、電子データ、複合機、物理ファシリティ）にアクセスする際、本人かどうかを確認する機能（認証）および利用権限を判断し、制御する機能（認可）を提供します。統合認証基盤と各種情報システムを連携させることにより、セキュリティの強化、運用部門の負担軽減、および利用者の利便性向上を実現します。特集 3）富士ゼロックスは、従業員数のうち正社員（直接労働契約を締結している社員）および社員外従業員（パート、期間契約社員、雇員、アワースタッフ、再雇用）を直接雇用と定義、派遣社員を間接雇用と定義しています。 4）LDAP: Lightweight Directory Access Protocol 5）SSO: Single Sign On

生涯IDを基軸としたステークホルダーとの生涯継続可能な関係の構築多くの大学では、全学統合認証基盤の構築により、学内の構成員情報を一元管理し、学内に存在する各種情報システムのユーザーIDを全学IDとして統一することにより、利用者の利便性向上、運用部門の負担軽減、セキュリティ強化に取り組まれています。また、大学では、在学生が卒業してその大学の教職員になったり、修士課程や博士課程の学生が講師を務めたり、教職員が学生として入学したりなどの立場・役割の変更が発生します。これまでは、立場・役割が変化する都度、新たにIDを発行するという運用が一般的でした。そのため、それぞれの個人に対して継続的なサービスが提供できないという課題がありました。山梨大学様では、大学との間で入学、就職などの関係をもった時点で、その個人に対して、生涯利用可能な生涯IDを付与し、その人の身分や立場が変化しても同一の生涯IDを利用できるICT環境を提供することにより、大学との継続的関係を維持する取り組みに着手されています。富士ゼロックスは、社内実践を通して培ってきたノウハウをベースに山梨大学様の統合認証基盤構築をご支援させていただいています。

国立大学法人山梨大学様

富士ゼロックスにおける統合認証基盤システム概略図

識別認証認可全社ユーザーマスター会社ルールに則った社員外従業員3）_{情報の登録・管理} ICカード発行管理システム承認者申請者誓約書添付ユーザー情報収集ログインユーザー認証ユーザー認証ユーザー認証ログインユーザー情報収集富士ゼロックス人事データベースディレクトリーサービス（Active Directory、 LDAP4）_{サーバーなど）} 業務システム SSO5）_{対象システム} 複合機出力認証システム入退管理システム関連企業人事データベース申請者 ICカード ICカード ICカード承認・申請ワークフローＳＳＯシステム統合認証基盤システムユーザー情_報同期お客様導入事例

(8)

富士ゼロックスは、CSR（企業の社会に対する責任）の一環として、情報セキュリティマネジメントを最も重要な経営課題の一つと位置付けています。当社が考える最も重要な情報セキュリティリスクは、個人情報やお客様からお預かりする機密情報などの情報漏えいです。お客様が安心して当社に情報資産を預けてい富士ゼロックスは、右図の考え方に基づき、情報セキュリティガバナンスに取り組んでいます。従業員に対しては、方針・ルールを浸透させ、情報セキュリティに関する報告やモニタリングを徹底しています。また、お客様やパートナー企業などに対しては、情報セキュリティの取り組みを報告、当社への評価を把握することで、より高いレベルの情報セキュリティガバナンスを目指しています。全社を統括する情報セキュリティ推進体制は、本社総務部リスクマネジメントグループが、全社リスクマネジメントの一機能として担当しています。より効果的な推進を目指して、ITガバナンスを担当する情報通信システム部およびITインフラの構築・運用を担当する富士ゼロックス情報システム（株）（FXIS）との連携を通じて、全社の情報セキュリティを推進しています。ただき、ソリューション・サービスをご利用いただくため、従業員が一丸となり、情報セキュリティ事故の撲滅に向けて全力をあげています。そのため、ガバナンス体制を整備し、あらゆる角度から対策を実施し、日々の活動を監査し、定期的にレビューするというPDCAサイクルを回すことで、継続的なマネジメントの向上を図っています。

富士ゼロックスの情報セキュリティへの考え方

富士ゼロックスの情報セキュリティガバナンス

従業員に対するマネジメント

富士ゼロックスの情報セキュリティガバナンスは、全社を統括する情報セキュリティ推進体制と、この体制のもとに、営業（国内、海外）、研究・開発・生産、関連会社などの各領域を統括する情報セキュリティ推進体制（部門の情報セキュリティ）との２階層から構成されています。

情報セキュリティガバナンス

▶ 推進体制お客様、パートナー企業など富士ゼロックス従業員取り組み状況の開示評価社外への情報開示、社外からの評価方針・施策の展開モニタリング報告従業員に対するマネジメント部門の情報セキュリティ全社の情報セキュリティ本部・部門および関連会社の役割 ● 共通課題を抱える複数の組織の集合体（国内営業や海外営業など）や関連会社ごとの体制の整備 ● 組織ごとの情報セキュリティ施策の推進情報通信システム部およびFXIS 情報通信システム部 ●全社のIT戦略の策定とITガバナンスの推進 ●ITセキュリティにかかわる方針・規程の策定と順守状況のモニタリング FXIS ●ITシェアードサービス会社として情報システムのシステム主管を担当 ●_{全社の社内システムの企画・開発・運用とネッ} トワークインフラの企画・運用管理総務部リスクマネジメントグループ ●全社共通の情報セキュリティ方針・規程の策定 ●上記に基づく全社統制、モニタリング、統制環境の整備等 ●_{社内実践事例の構築・ノウハウの蓄積によ} る成果の全社およびお客様への展開（「言行一致」活動）情報セキュリティ担当役員情報システム担当役員社長本社総務部リスクマネジメントグループ本社情報通信システム部およびFXIS 海外営業海_外販売会社研究・開発・生産生産・開発関連会社関連会社国内営業国_内販売会社情報セキュリティ推進体制

(9)

情報セキュリティガバナンス富士ゼロックスの情報セキュリティガバナンスは、方針・ルールの策定などの「全社共通の情報セキュリティ」の上に、本社をはじめとする各組織固有の事業リスクに対応する「部門の情報セキュリティ」の2階層の体制を整備し、総合的な対策を講じています。 ▶ 2階層体制の役割情報セキュリティに関する従業員教育としては、さまざまな階層で複数のプログラムを実施しています。全従業員向けの教育は、eラーニングと確認テストにより実施し、全員が受講を完了するまでフォローします。新入社員教育および新任マネジャー教育は集合教育により実施し、グループディスカッションや自社で制作したビデオ教材の視聴なども取り入れています。教育内容としては、ルールを根付かせるためのケーススタディなどに加え、実際に起きた情報セキュリティ事故に基づいて、そのような事故を起こさないようにするためにはどうすべきかということに重きを置き、PDCAサイクルを回すことにより従業員の意識の向上を図っています。 ▶ 情報セキュリティ教育情報セキュリティに関する教育プログラム情報セキュリティ教育の種類対象者実施頻度全社情報セキュリティ教育全従業員年1回 ISMS（ISO/IEC 27001）関連教育国内営業などISMS_{取得組織の従業員} 年1回新入社員教育新入社員入社後随時新任マネジャー教育新任マネジャー昇格時随時部門の情報セキュリティ研究・開発・生産国内営業海外営業関連会社本社全社共通の情報セキュリティ例・事業所セキュリティ・市場導入前製品情報・生産に関連する情報・研究情報例・お客様預かり情報・サービスビジネス・モバイル例・海外特有のリスク・戦略情報例・基幹業務システム・事業継続管理 ● 方針・ルールの立案・策定 ● 監視・監査 ● リスク抽出と重要な情報資産に対する統制活動 ● 事故報告管理 ● 共通管理策の展開 ● 教育・啓発・各会社の事業特徴に応じたセキュリティ・各会社の事業特徴に応じたセキュリティ富士ゼロックスは、情報の機密区分、コンプライアンス、情報倫理など、さまざまな観点から情報セキュリティにかかわる全社共通ルールを制定しています。情報セキュリティの方針および普遍的なルールを定めた「規程」、具体的な管理策を定めた「ガイドライン」、ならびに「マニュアル／解説書類」の３つから構成されています。「ガイドライン」および「マニュアル／解説書類」については、定期的見直しを行い、最新の状況を取り入れ、更新しています。 ▶ 情報セキュリティにかかわるルール体系情報セキュリティにかかわるルール体系規程ガイドラインマニュアル／解説書類・情報セキュリティ規程・会社情報取扱規程・個人情報管理規程　　　　 … 情報セキュリティガイドライン・基本・行動編・情報システム編・顧客接点業務編　　　　 … ・情報セキュリティ事故対応手順・個人情報保護ハンドブック　　　　 …

(10)

富士ゼロックスは、2006年6月に日本で第一号として、経済産業省の「情報セキュリティ報告書モデル」に準拠した「情報セキュリティ報告書」を発行しました。報告書のなかでは、経営の情報セキュリティに対する考え方、社内の情報セキュリティの取り組み状況、第三者評価・認証状況などについて、開示可能な範囲で積極的に公表しています。本報告書などを通して、富士ゼロックスの情報セキュリティへの取り組みを積極的に紹介し、信頼を高めていただけるように、今後も努めていきます。富士ゼロックスおよび関連会社では、情報セキュリティに関連する第三者の評価・認証制度を取得しています。具体的には、情報セキュリティマネジメントシステム（ISMS）のISO/IEC 27001、個人情報保護に関する ● 新たなICT活用と安全性の両立モバイル端末の管理・利用ルールの展開、社外のクラウドシステムを安全に利用するためのルールの策定・展開、ICTの安全な活用事例集の展開などを推進します。 ● 新たな脅威・サイバー攻撃への対応最新動向を継続的に把握し、リスク対策の再点検を行い、必要に応じて追加の対策を検討し、実施します。 ● _{海外ガバナンスの強化} 情報セキュリティルールの見直し、情報セキュリティ事故報告管理の強化などを行います。 ● サービスビジネスへの対応 2011年度から活動しているサービスビジネスにおけるパートナー企業の管理強化策を全社に浸透させます。 ● _{情報セキュリティ事故の削減（継続活動）} 不注意、うっかりなどによる会社の情報資産の紛失など件数が多い情報セキュリティ事故の削減に、継続して努めていきます。認証規格のプライバシーマーク（関連会社の一部）、情報セキュリティ関連製品・システムのISO/IEC 15408の認証取得に取り組んでいます。詳細な取得状況は、P21-22の第三者評価・認証をご覧ください。

社外への情報開示、社外からの評価

▶ 情報セキュリティの開示 ▶ 情報セキュリティの評価 2012年度の情報セキュリティ活動計画について全社において、情報資産の紛失・盗難、メールやFAXの誤送信などの情報セキュリティ事故が発生した場合、当事者・発見者は２時間以内に会社に報告することが徹底されています。万が一事故が発生した場合、報告をもとに緊急対策を講じます。そして、適切な再発防止策を講じ、第三者が施策の実施状況と有効性を確認します。また、経営層に対しても、全社の情報セキュリティ事故状況を毎月報告しており、経営層からの指示に基づき、個別的な対応策だけではなく、組織横断的な対応策も実施しています。 ▶ 情報セキュリティ事故の報告富士ゼロ_ックス情報セキ_ュリティ報告書 ∼ 201_{0年度 ∼} 富士ゼ_ロックス情報セキュリテ_ィ報告書 2011年度経営層への事故状況の報告

(11)

情報セキュリティガバナンス

情報セキュリティ活動のあゆみ

2005年～2006年情報セキュリティの専門組織を設置 2005年の個人情報保護法施行をきっかけに、社内で個人情報管理や情報セキュリティにかかわっていた組織の従業員を統合し、情報セキュリティの専門組織を立ち上げ、本部、関連会社を含めた全社で情報セキュリティに取り組む体制を構築しました。情報セキュリティガバナンスの基盤整備の実施個人情報保護法への確実な対応のため、規程類、標準契約書、個人情報管理台帳の整備など、全社体制で情報セキュリティのガバナンスを推進するための基盤整備を実施しました。万が一事故が起きた場合には、適切で迅速な対応が重要であることから、情報セキュリティ事故報告・対応手順の周知活動を行いました。技術的側面における情報セキュリティ対策を展開情報漏えい防止のために、PC全体を暗号化するツールの導入や、複合機の利用者認証に使用するICカード標準（AFSC:オール富士ゼロックスセキュリティカード）を適用し、全従業員へ利用者認証を配布するなど、技術的な対策を展開しました。 2007年～2008年規程類の効果的な見直し会社が有する情報の機密区分を細分化し、お客様からの預かり情報の機密区分を新設するなど、業務に即した形での規程類の見直しを実施しました。情報セキュリティ基礎教育の整備情報セキュリティ事故の再発防止のため、事故事例からの学習を中心とした実践的な内容の情報セキュリティ基礎教育を企画し、全従業員を対象に実施しました。なおこの基礎教育は、現在も継続して実施しています。厳重なファシリティアクセス管理の実現基幹システムを収容しているデータセンターでは、災害対応能力強化のため、建物免震機構の採用、電力・通信等のライフラインの二重化、厳重なファシリティアクセス管理を徹底しました。 2009年モバイル環境や在宅勤務における情報セキュリティを強化これまで導入していた社外持ち出しPCのハードディスク全体暗号化に加え、再起動すると自動的に持ち出し前の状態に戻る機能を備えた「FXセキュアPC」の導入を行いました。内部情報の漏えい防止の改善社外への情報漏えいを防止するために、印刷時のセキュリティ対策のルールを強化し、本社会議体資料などの印刷時に、トラストマーキング機能の利用を義務付けました。この機能は、複製防止のペーパーセキュリティや原稿を複製すると特定の文字が浮き出る隠し印刷機能などを活用しています。ワークフローシステムの導入情報セキュリティに関する事故報告内容の標準化を図るとともに、各種申請手続きの簡易化や効率化のために、ワークフローシステムを導入しました。 2010年 USBメモリーや電子メールなどからの情報漏えい抑止策 PCのUSBデバイス、電子メール、Webアクセス、紙のプリントなどを介しての情報漏えい対策として、PC操作、電子メール等のログ管理システムを強化しました。具体的には、許可されたUSBメモリー以外へのデータ書き込みをできないように制御するなどの仕組みを導入しました。個人情報管理の状況を俯瞰する台帳システムの機能強化富士ゼロックスが管理する個人情報の管理状況を一元管理するために、個人情報管理台帳システム（PICS）を運営しています。台帳からの抹消や台帳の変更手続き忘れを防ぐため、台帳の更新状況を自動モニタリングするなどの機能強化を行いました。情報セキュリティ実態調査の実施富士ゼロックスの情報セキュリティの実態調査を実施し、前回調査（2008年度）に比べ、規程類の周知レベルの改善、ファクス誤送信防止策、情報の適切な廃棄など管理策の浸透が確認できました。 2011年実態調査を活かした「会社情報取扱いハンドブック」の改訂 p.13をご覧ください「会社情報取扱いハンドブック」と連動した全社教育の実施 p.13をご覧くださいモバイル端末セキュリティガイドラインの限定リリース利活用の要望が急増しているスマートフォン、タブレットPCを安全に利用してもらうためのルールが規定された「モバイル端末セキュリティガイドライン」を特定目的利用が許可された者に対して、限定リリースしました。今後、モバイル端末の会社標準化のタイミングに合わせて、全従業員へのルール展開を予定しています。ソーシャルメディアの安全な活用を開始 p.13をご覧ください

(12)

富士ゼロックスは、“すべての「情報」は価値を有する社有資産であることを認識し、会社の従業員としての責任感、倫理観をもって「情報」に接し、取り扱うものとする”として、「情報」に対する基本姿勢を定めています。そのような方針のもとで関連ルールを整備し、情報資 ❶ 情報を会社が管理できる状態に情報を会社が管理できる状態を維持するため、かつ、従業員が安全に情報活用できるように、ルールや仕組みを展開しています。例えば、業務遂行においては、必ず会社貸与の情報機器を利用することとし、私物情報機器の利用を認めていません。また、会社貸与の情報機器は、情報システム部門が標準を定め、従業員が安全に情報活用できる環境を提供しています。 ❷ 情報の重要度に応じた情報管理会社情報には、重要度に応じた情報区分を設け、情報区分に応じた区分表示、安全管理措置を定めています。重要度の高い情報は、暗号化、施錠管理などの要件を定めています。また、情報区分には、社内情報か社外からの預かり情報かの区分があり、より重要な預かり情報は、授受管理などの要件を定めています。産の適切な保護・管理ならびにコンプライアンスの維持向上に努めています。情報を適切に保護・管理するためには、会社が管理できる状態にした上で、情報の重要度に応じた管理を行い、情報へのアクセスが業務上必要かどうかを判断することが重要だと考えています。 ❸ 情報へのアクセスは業務上の必要性により判断重要な情報へのアクセスおよび社外持ち出しは、業務上の必要性から最小限にすることとしています。また、重要な情報の持ち出しには、上長による許可を必要とするなど、業務上の必要性と上長による許可によって情報へのアクセスをコントロールしています。

情報管理

富士ゼロックスは、社内で扱う情報のセキュリティについて従業員に対する意識の啓発やリスクへの適切な対応の徹底を図っています。すべての従業員が情報セキュリティの重要性を理解し、日常業務における情報リスクに対応できるよう、情報機器の種類や情報の区分に応じたルールや仕組みを導入しています。

社内の情報セキュリティ

▶ 情報管理の考え方 ▶ 日常業務における情報リスクへの対応会社情報管理の主な仕組み会社貸与情報機器私物情報機器等オフィス等の会社拠点重要度に応じた情報管理・ファシリティのゾーニング・情報区分表示・会社標準の情報機器の調達（購買規制）・施錠管理・暗号化・ ICカード認証会社情報の格納禁止・重要エリアへの私物情報機器等の持込み禁止・私物などの未登録デバイスへのデータ書き込み　禁止制御・ Webフィルタリング・ PC操作、メール等のログ保存・ P2Pネットワークへの情報流出監視・私物PCへの情報格納有無の一斉点検モバイル等ICTの利用会社情報の持ち出し制限・社外持ち出し手続き・持ち出し用情報機器（FXセキュアPC、標準携帯電話）・遠隔アクセスの仕組み（リモートデスクトップ、携帯メールアクセス等）情報区分と管理要件の関係所有者の情報区分社内情報社外預かり情報機密性の情報区分機密性に重き情報共有に重きセキュリティ上の管理要件より厳しい管理

(13)

富士ゼロックスは、情報管理の考え方に基づき、人的・組織的対策、物理的対策、技術的対策の観点で、さまざまな情報セキュリティ対策を行い、情報資産の適切な保護・管理に努めています。

展開している主な情報セキュリティ対策

社内の情報セキュリティ ●重要区画の分離などゾーニングの設定 ●主要拠点での従業員証（ICカード）による入退室管理 ●ワイヤーロックによるPCの固定 ●携帯電話やUSBメモリーへのストラップの取り付け ●高セキュリティエリアでのカメラによる監視 ●持ち出し専用PCへの認定シールの貼り付け ●機密文書のキャビネットにおける施錠管理物理的対策 ●サーバー、システムへのユーザー単位でのアクセス制御 ●重要な業務に携わる従業員のPCの操作ログ管理 ●私物などの未登録デバイスへの書き出し制御、ログ管理 ●インターネット通信（Webアクセス、メール送受信）の監視 ●P2Pネットワークの監視 ●PC管理ツールによる使用禁止ソフトの適正利用監視 ●アクセス禁止カテゴリに対するWebアクセスのフィルタリング ●文書（紙）出力時のICカード認証 ●機密文書（紙）の複製禁止コードの埋め込み未登録デバイスへの書き出し制御未登録のUSBメモリー書き込み禁止技術的対策

情報セキュリティ対策の3つの側面

ID CARD 123456 富士太郎 Taro Fuji ● 情報セキュリティに関する規程、ガイドラインの整備 ●ルールを解説したハンドブック、事故事例のビデオ教材の展開 ●各社、各部門から選出された情報セキュリティ委員による情報セキュリティガバナンス ●情報セキュリティに関する教育の定期的な実施 ●情報セキュリティ事故発見から2時間以内の会社への報告の徹底人的・組織的対策

(14)

「会社情報取扱いハンドブック」を2011年10月に改訂し、冊子版を社員へ配布。イントラネット上にも電子版を公開しました。「会社情報取扱いハンドブック」とは、情報の機密区分やその取り扱いルールを規定した「会社情報取扱規程」について、具体的な事例を盛り込んだり、Q&A 形式とすることで分かりやすく工夫した従業員向けの解説書です。今回の改訂は、各種法令への準拠、関連する社内規程類との整合、以前実施した情報セキュリティ実態調査での従業員の理解度が不十分であった内容の拡充などを中心に実施しました。具体的には、最新の情報区分、社外からの預かり情報の管理強化、すでに実施済みの情報国内の役員、社員、派遣社員などの全従業員を対象として、テスト形式のeラーニングによる情報セキュリティ教育を実施しました。内容は「適切な会社情報の取り扱い」をテーマとし、改訂した「会社情報取扱いハンドブック」と連携させました。教育終了時に収集したアンケートでは、最近頻発して昨今、多くの企業がソーシャルメディアをビジネス利用し始めています。富士ゼロックスでも、特にSMB（中小規模事業所）市場において、Twitter、Facebook、YouTube を積極的に活用して、お客様へ情報を発信し、お客様からの声に耳を傾けるという双方向のコミュニケーションを始めました。始めるにあたっては、リスクマネジメントの観点からは不適切な投稿による情報漏えい・炎上、人事・労務的な観点からは業務時間中における私的な閲覧・書き込みといった懸念をクリアする必要がありました。そこで、業務上ソーシャルメディアに書き込む必要がある場合は、適切なプロセスをへて、会社の承認を得なければならないいる大規模自然災害の影響もあり、情報セキュリティ以外の大規模地震、風水害などリスク全般の内容も含めて欲しいとの意見、要望が数多く寄せられました。そこで、2012年度は防災対策なども含めた「情報セキュリティ＆リスク教育（仮称）」とし、リスクマネジメント全般教育へと進化させ、展開することを計画しています。

2011年度の主な取り組み

❶

「会社情報取扱いハンドブック」の改訂

❷

ハンドブックと連動した全社情報セキュリティ教育の実施

❸

ソーシャルメディアの安全な活用改訂された「会社情報取扱いハンドブック」ソーシャルメディア活用の取り組みセキュリティおよびコンプライアンス施策との整合などの観点で見直しました。というルールを制定し、一般の従業員は閲覧のみ（書き込み不可）という形態にシステム的に制限して、ソーシャルメディアの活用を開始しました。

(15)

中国インドネシアオーストラリアニュージーランドタイマレーシアシンガポール日本韓国台湾フィリピンベトナム香港 2011年、言行一致活動を推進するため、ApeosWare Management Suiteがシンガポールの富士ゼロックスタワー２）_{に導入されました。}

ApeosWare Management Suiteは4フロアに導入され、ユーザー認証によるプリント時のセキュリティやプリント枚数の削減を実現しました。さらに、未来の世代に緑多き環境を手渡すことに貢献し、サステナビリティの実現に邁進するという富士ゼロックスのコミットメントを、お客様に対して示しています。海外営業本部における情報セキュリティ富士ゼロックスタワー富士ゼロックスの販売拠点のある地域

アジアパシフィック地域でのマネジメントと取り組み

１）2012年７月に、中国営業本部およびアジアパシフィック営業本部に再編されました。２）シンガポールにおける富士ゼロックスの拠点ビルで、“Fuji Xerox Towers”と命名されています。海外営業本部をはじめ、海外関連会社が入居しています。海外関連会社の一部に脆弱性があると、富士ゼロックス全体の情報セキュリティがリスクにさらされるため、情報セキュリティポリシーは、グローバルに適用することが必要です。しかしながら、中国・アジアパシフィック地域と日本のビジネス環境・慣習には違いがあります。そのため日本国内向けに制定された富士ゼロックスの情報セキュリティポリシーをすべての海外販売会社に適切に適用するために、海外営業本部向けのサブセットを作成し、一部を除く海外販売会社で適用、展開しています。一方、富士ゼロックス本社は、PDCAプロセスを通じて、海外営業本部と共同で適宜ポリシーの見直しを行っています。中国・アジアパシフィック地域の情報セキュリティマネジメントの機能は、海外営業本部のマネジメント・クオリティ・オフィス（経営品質担当部門）の下に位置付けられています。富士ゼロックス本社と同様に、海外営業本部の情報セキュリティガバナンスは2階層で構成されています。１つは会社をまたいでグローバルにポリシーを展開し施行する階層、もう１つはそれぞれの海外販売会社内で確実にポリシー、教育および順守させるための仕組みを浸透させる階層となっています。 2007年7月に、簡単にすばやく参照できる手引を従業員に提供し、日々の業務におけるセキュリティのベストプラクティスを実現するため、情報セキュリティポリシーに基づいた一連のオペレーショナルガイドラインを策定しました。情報セキュリティに関する従業員教育は、2006年終わりにトレーナー教育（“Train the Trainer”）の開始から、本格化しました。そこでは、各海外販売会社からの参加者が、それぞれの国で情報セキュリティ意識向上のための第一線の指導者になるためのトレーナー教育が行われました。現在では、この教育はインタラクティブなコンテンツを取り入れたeラーニングで実施しています。また、情報セキュリティ教育は、海外営業本部の新入社員研修に取り入れています。 ▶ 海外営業本部および傘下の販売会社と情報セキュリティ ▶ 情報セキュリティガバナンス ▶ 情報セキュリティの改善 ▶ 情報セキュリティ意識の向上

▶ 言行一致とApeosWare Management Suite

中国・アジアパシフィック地域の販売会社を統轄する海外営業本部1）_{における情報セキュリティ活動は、2006年半ばに}

開始され、海外営業本部傘下の全販売会社が参加して実施されています。

(16)

オフィスのドキュメントは、作成・更新、伝達・配布、管理・共有、保管・廃棄というライフサイクルそれぞれの段階に情報漏えいや改ざんなどのリスクが潜んでいるため、トータプリンターやコピーから出力された紙文書の放置、ファクスの送り先を間違える誤送信など、紙文書の情報漏えい対策を強化することで、より効果的なドキュメントセキュリティを実現します。 ICカードを利用した入退室管理・就業管理・PCセキュリティをICカード発行サービスまで含めて提供しています。入退室管理や就業管理などのアプリケーションとドキュメントセキュリティを、1枚のICカードで効率的な運用を可能にします。ユーザーの高い利便性を確保しながら、セキュアな環境を構築します。ドキュメントのポータルとなる複合機ApeosPort-IV をコアに、各種機器とドキュメントの運用を管理する統合ソフトウェア「ApeosWare Management Suite」により、オフィス環境に合わせた統合的セキュリティ環境を構築。紙から電子へ、電子から紙へと形態を変えながら伝達、共有、保管を繰り返す各種ドキュメントのセキュリティを確保します。ルな視点に立ったセキュリティソリューションが求められます。また、ドキュメントの流通経路におけるセキュリティを強化するネットワークセキュリティも重要になります。

富士ゼロックスの情報セキュリティソリューション

紙文書の情報漏えい抑止

富士ゼロックスは、紙・電子・伝送路を考慮したセキュリティ対策ソリューションを提案しています。「紙文書の情報漏えい抑止」「電子文書化によるセキュリティ強化」「ネットワークセキュリティ対策」の３つの観点からセキュリティソリューションをご紹介します。

お客様への安全のご提供

❶

複合機とソフトウェア活用によるドキュメントセキュリティ（ApeosPortとApeosWare Management Suiteの連携）

❷

フィジカルセキュリティソリューションまた、紙文書の情報漏えい抑止のためのソリューションとして、ICカード認証による放置プリントや不正コピーの抑止、スキャン文書の漏えい抑止策などさまざまな仕組みの提供とログの取得管理を統合的に行います。さらに、この複合機のICカード認証を行うことで次の関連ソリューションも提供しています。管理･共有　_{不正コピー・改ざん防止} 伝達・配布誤送信抑止　作成・更新　放置プリント防止保管・廃棄　_{不正な持ち出し防止} ドキュメント・ライフサイクルとセキュリティ

(17)

従　来コンテキストセキュリティ機能があればイントラネットイントラネット外 FireWall FireWall 社外での閲覧可能社外での閲覧不可アクセスログ収集可能イントラネット外イントラネットアクセスログ DocuWorks Context Service 2.0 社外に文書が流出しても、文書情報の流出を防ぐことが可能イントラネット内では自由に文書の閲覧・利用が可能開くパスワード+ 印刷・転記・編集禁止印刷・転記・編集禁止だが、パスワードがあれば、社外でも閲覧可能コンテキストにアクセスコンテキストにアクセス不可社外持ち出し社外持ち出し電子化した文書の安全性を多彩なセキュリティ機能によって確保し、セキュアなドキュメント環境を実現します。デジタル複合機のスキャン機能を利用して、オフィスにあふれる紙文書を電子化することで、情報の共有・活用を図ることができます。また、電子文書の活用により、ネットワークを使って社内外とのやりとりをスピーディに行うことが可能になります。その半面、コピーや内容の変更が簡単にでき、漏えい・改ざんといったリスクも生じます。電子文書と紙文書を一元管理し、ドキュメントの有効活用を促進するドキュメントハンドリング・ソフトウェア「DocuWorks」は、その多彩な文書セキュリティ機能により、電子文書の安全性を確保し、セキュアな電子文書環境を実現します。基幹システムからの帳票出力や、CADからの図面出力における放置プリント抑止策を提供しています。基幹システムからの帳票・図面の出力時に、ICカード認証による出力に対応するシステムを構築し、基幹システムからのダイレクト出力においても、通常のオフィスでの出力と同等の高い安全性と利便性を実現します。複合機ApeosPortとの連携で、ファクス誤送信による情報漏えい抑止策を提供しています。操作ミスによる誤送信抑止効果に加え、認証機能、送信文書イメージ自動保存機能を活かし、意図的な操作による情報流出への監視効果や、万一の事故発生時のリスク特定と早期対策検討を可能にします。

電子文書化によるセキュリティ強化

▶ DocuWorksによる電子文書セキュリティ

❸

基幹出力におけるドキュメントセキュリティ

❹

ファクス誤送信抑止（DocWays Safety 　 FAX連携、F抑/F歴の連携）

さらにDocuWorks Context Service 2.0が提供する「コンテキスト・セキュリティ」機能により、社外に持ち出した電子文書を閲覧できなくするなど高度な文書セキュリティを提供します。 DocuWorksで実現可能な電子文書のセキュリティ対策コンテキストセキュリティ機能電子文書の漏えい防止対策暗号化・操作制限による機密性確保パスワードセキュリティ（DocuWorks電子印鑑、電子証明書でも可能）電子文書の改ざん防止対策電子署名による証拠性・完全性の確保【署名機能】・DocuWorks電子印鑑・電子証明書紙文書の漏えい防止対策出力文書の複写抑制・紙文書の管理意識向上 TrustMarkingBasic （オプション）お客様への安全のご提供

(18)

インターネットからのさまざまな脅威を防止するとともに、内部要因によって発生する情報漏えいやコンピューターウイルスによる感染対策など、総合的なセキュリティ環境を高度な技術で提供しています。 beatは、強固なセキュリティ対策をワンストップで提供するセキュアネットワークアウトソーシングサービスです。 beat/entryサービスは小規模事業所向けに、beat/ basicサービスはより規模の大きな事業所や複数の拠点を持つ企業向けに、信頼できるネットワーク環境の提供を通して、お客様のビジネスや業務を強力に支援します。富士ゼロックスはbeat以外にも、次のソリューションを提供しています。

ネットワークセキュリティ対策

❷

UTM（Unifi ed Threat Management : 統合脅威管理）による統合ネットワークセキュリティ

❶

ネットワーク環境のアウトソーシングサービス「beat」 Webアクセスの高速化も可能なWebセキュリティ強化策を提供しています。プロキシーサーバーアプライアンスやオプション製品の導入により、Web経由での情報漏えいやウイルス感染防止など包括的なWebセキュリティの強化が可能になります。また、Webアクセスの統計レポート機能を提供し、 Webアクセス状況を可視化します。最新の暗号化・認証機能で、高いセキュリティを実現した無線LANを提供しています。無線LANコントローラーとアクセスポイントを組み合わせることで、有線LANと同等レベルの高いセキュリティと容易な運用・管理を実現できます。また、最新の暗号化、認証機能、無線LAN機能・規格にいち早く追随し常に最適なネットワーク環境を維持することができます。

❸

プロキシーサーバーによるWebセキュリティ

❹

認証・暗号化によるセキュア無線LAN beat-boxが守るオフィスのネットワーク環境（beat/basicサービス）不正侵入防止、ウイルス対策、スパムメール対策など、ネットワークセキュリティに必要な機能を統合したソリューションを提供しています。ファイアウォールやアンチウイルスなどのネットワークセキュリティ機能を統合することで、より強固なセキュリティを実現するとともに、導入、運用管理の負担を低減し、 TCOを削減します。 Internet beat-noc beat-box beat コンタクトセンター ●beat リモート　アクセスサービス　（オプション） ●beat ケータイリモートサービス　（オプション） ●beat モバイルメールサービス　（オプション） ●オンデマンドサービス for DocuWorks（オプション） ●beat PCクライアントアンチウイルスサービス（オプション） ●らくらくコピー/ecoコピー /らくらくスキャン ●安心ファクスサービス（オプション）データセンター ●文書ストレージ（1GB） ●文書ストレージサービス（オプション） ●ウイルス・スパイウェア対策 ●不正アクセス防止 ●不正な通信対策機能 ●迷惑メール判定機能 ●beat コンテンツフィルターサービス（オプション） ●複合機/プリンター管理機能 E-QIX連携機能 24時間365日リモート監視自動アップデート各種問い合わせや障害発生時に対応プロバイダーブロードバンド回線お客様ハブ外出先

(19)

お客様への安全のご提供プロポーザル方式の総合評価で業者を選定。ICカード認証を利用した全庁複合機のプリントマネジメントシステムを導入し、コスト削減と効率的なプリント環境を実現。

ソリューション事例：静岡県富士市様

今回導入したICカードを利用した複合機のプリントマネジメントシステムを通して、富士市様全庁でのID別操作ログ収集により、運用面でのコストを大幅に削減できるだけでなく、利用者に無駄なプリントをしない意識付けができ、より効果的な運用管理を実現しました。ま

サービス概要：プリントマネジメントシステムの導入

た、シンクライアント環境下でのログインとオンデマンドプリント環境の連携によって、必要な時に必要な場所でプリントできるようになり、移動業務時の作業効率化や情報を持ち運びしなくてすむためセキュリティ強化が図れています。

お客様の声

今回、2005年に導入した複合機の契約更新に合わせて、さらに効果的な出力環境を構築していきたいと考えていました。そのなかでポイントとなったのが、非接触型 ICカードを用いた個人認証機能の導入と、プリントマネジメントシステムの導入です。複合機などの出力機器は、情報をデリバリーするための機器と考えています。そして、情報をデリバリーする最適な方法（紙・電子）を検証していける仕組みと、コスト意識を持たせる仕組みを構築して、 TCO削減を図りたいという思いがありました。また、富士市では数年前から職員用のPCをシンクライアント化して、情報セキュリティの強化に努めてきました今回の導入により、大きく3つの効果を得ることができました。 ICカードを用いたプリントマネジメントの実現、使用カウントに応じた経費の単価契約により、10％の出力コストの削減が見込めます。複合機自体の性能による省電力化に加え、プリントで使用する用紙数を抑えることで、環境面での高い効果を実現します。富士市役所総務部情報政策課システム開発担当主幹深澤安伸様 ICカード利用および統合ソフトウェア「ApeosWare Management Suite」のログ管理により、セキュリティ意識の向上や、出力した紙の取り違えや放置プリン

経営課題

将来の展望

が、さらに今回のICカード導入によってプリントの取り忘れによる情報漏えいのリスク回避を図りたいと考えていました。なお、ICカードは、将来的にシンクライアント端末のログオン認証や、入退室管理など、汎用的に活用できることを踏まえての導入でした。　ほかにも、プリントにかかる直接的なコストを抑えるため、出力機器のリース・保守、消耗部品の交換、必要に応じたカスタマイズ、各種サポートなどにかかる経費を、使用カウントに応じた単価契約にすること。そして、複合機の省電力化による環境性能向上についても、調達仕様書のなかに盛り込みました。

❶

コスト削減

❸

省電力化など環境面での効果

❷

セキュリティの向上トがなくなり、情報漏えいのリスクを減らすことができました。

(20)

富士ゼロックスは、自社、関連会社のみならず、さまざまなパートナー企業（業務の委託先）に支えられて事業活動を行っています。特に、ソリューション・サービスビジネスにおいては、お客様からお預かりする大切な情報をパートナー企業が扱うことがありますので、パートナー企業と緊密に連携して情報セキュリティを確保することにより、品質の一部として、お客様に安全・安心をお届けできるよう努めています。

パートナー企業と連携した情報セキュリティ

パートナー企業との連携による情報セキュリティ確保のため、パートナー企業にお客様や自社の情報の取り扱いを委託する際のガイドラインを整備し、運用しています。このガイドラインでは、パートナー企業の選定、契約交渉、委託業務開始前準備、委託業務の実施、委託業務の終了といった一連のプロセスのなかで、それぞれ実施すべき営業、開発等の現場部門では、ガイドラインに基づき、次のような取り組みにより、パートナー企業と連携した情報セキュリティの維持・改善活動を行っています。内容が盛り込まれています。具体的には、調査票（チェックリスト）に基づく評価・選定、個人情報保護および秘密保持条項を含む契約の締結、安全管理措置の取り決め、パートナー企業の状況評価および預託情報の廃棄・消去などについて定めています。

全社の取り組み

部門の取り組み

監査実施計画登録番号 ○-○○ 制定 0000年00月主管責任部 ※※※ 監査結果報告書 0000年00月00日 ○╳株式会社情報管理部作成:○╳株式会社 ╳╳事業部○○部情報セキュリティチェックリスト ①パートナー企業の選定再委託先 ②契約交渉 ③委託業務　開始前準備 ④委託業務の実施 ⑤委託業務の　終了パートナー企業の管理監督強化プロセスパートナー企業の会社情報、情報セキュリティのレベル、業務品質等については、調査票を用いてパートナー企業の状況を総合的に確認・評価しています。また、個人情報の取り扱いを委託するパートナー企業については、業務実施環境を直接確認するなど、個人情報保護法に基づく管理監督を実施しています。パートナー企業において、要改善項目が発見された場合には、改善を依頼し、その対例えば、お客様から受託するプリントサービス業務等の個別プロジェクトでは、パートナー企業を含めたサプライチェーン全体で、業務プロセスが仕様通り対応できているかどうかについて、フェーズごとに案件審査を行っています。審査に合格した場合に、プロジェクトは次のフェーズに進みます。一方で、問題があった場合は、是正対応の上、再度審査を実施します。応状況を確認しています。 ▶ パートナー企業の選定、状況評価 ▶ パートナー企業を含めたサプライチェーン全体でのプロジェクト審査富士ゼロックスの管理範囲お客様富士ゼロックス委託先

(21)

パートナー企業と連携した情報セキュリティ 2011年度には、今後の事業の柱となるサービスビジネス（ビジネス・プロセス・アウトソーシングの受託、ICT環境の構築・運用・保守、各種クラウドサービスの提供など）における品質を卓越したレベルとするために、全社をあげたタスク活動が実施されました。タスクでは、7つの課題の一つとして、「標準SLA／品質指標の策定」「品質問題とその再発防止策の共有化」などとともに「パートナー企業選定基準と監査体制の強化」を取り上げ、次のような活動を実施し、成果を得ました。

サービスビジネスにおける品質向上のための取り組み

パートナー企業管理の流れ調査票これまでも調査票は運用されていましたが、各部門でカスタマイズされていたため、部門間で調査結果を共有しにくい、回答に際しての基準が明確でなく調査結果が回答者の主観に影響される可能性があるなどの問題がありました。これに対し、次のような対策を取り、パートナー企業の選定・評価における精度を向上させるとともに、特に金融機関のお客様のニーズにも的確に応えられるようになりました。重要な情報の取り扱いを委託するパートナー企業の実地監査における有効性、客観性を確保するため、詳細な監査マニュアルを作成しました。調査票、評価シート、監査結果などを関連部門間で共有するための仕組みの構築に着手しました。 ● _{調査項目を大幅に見直し、}_{【共通編】と【金融機関編】の} 2種類に再編。 ● _{調査票の部門によるカスタマイズを禁止し、すべてのパー} トナー企業の状況を同条件で比較することを可能に。 ● 回答者（パートナー企業担当者）向けの詳細な判断基準を明示し、回答者の主観を極力排除。

❶

パートナー企業選定・評価のための調査票の見直しと標準化

❷

監査マニュアルの作成

❸

パートナー企業情報の共有パートナー企業情報調査票調査票調査票監査員名簿監査記録パートナー企業調査の合否判断調査部門長監査責任者部門 _任命指名指名監査リーダー承認名簿承認監査員の推薦監査実施通知書監査実施通知書写し監査依頼監査の実施依頼部門調査結果監査結果パートナー企業調査の実施パートナー企業調査結果の確認パートナー企業力量比較・確認監査確認書（監査指摘事項回答書/確認書）監査確認書（監査指摘事項回答書/確認書）委託部門監査チーム監査事務局パートナー企業調査監査監査員依頼部門

(22)

取得組織名称富士ゼロックス（株）中央営業事業部、東京営業事業部、ソリューション・サービス営業本部、ソリューション・サービス運用本部、ソリューション・サービス開発本部、グローバルサービス営業本部（国内）、プロダクションサービス営業本部、国内営業スタッフ部門国内における営業活動、顧客提供サービスにかかわる全業務グローバルサービス営業本部　サービスデリバリーオペレーションズドキュメントサービス受託事業国内販売会社富士ゼロックス北海道（株）富士ゼロックス岩手（株）富士ゼロックス宮城（株）富士ゼロックス福島（株）富士ゼロックス新潟（株）富士ゼロックス茨城（株）富士ゼロックス栃木（株）富士ゼロックス群馬（株）富士ゼロックス埼玉（株）富士ゼロックス東京（株）富士ゼロックス多摩（株）富士ゼロックス千葉（株）富士ゼロックス神奈川（株）富士ゼロックス長野（株）富士ゼロックス静岡（株）富士ゼロックス北陸（株）富士ゼロックス愛知（株）富士ゼロックス愛知東（株）富士ゼロックス岐阜（株）富士ゼロックス三重（株）富士ゼロックス京都（株）富士ゼロックス大阪（株）富士ゼロックス兵庫（株）富士ゼロックス岡山（株）富士ゼロックス広島（株）富士ゼロックス山口（株）富士ゼロックス四国（株）富士ゼロックス福岡（株）富士ゼロックス長崎（株）富士ゼロックス熊本（株）富士ゼロックス鹿児島（株）国内における営業活動、顧客提供サービスにかかわる全業務国内関連会社富士ゼロックス情報システム（株）人事ソリューションシステムの提案・設計開発・運用・保守および ASPサービス富士ゼロックスシステムサービス（株）板橋事業所（関連事業所である神保町事業所、大阪事業所、北海道支店、東北支店、中部支店、関西支店、西日本支店、横浜センター、東京事業所、武蔵事業所（昭島）、武蔵事業所（瑞穂）、武蔵事業所（相馬）、横浜事業所、愛知事業所、相生事業所、呉事業所、呉事業所（新宮）を含む）公共ソリューションおよび民間ソリューションの情報処理サービス事業活動全般富士ゼロックスインターフィールド（株） _{国内における営業活動、顧客提} 供サービスにかかわる全業務富士ゼロックスサービスクリエイティブ（株）海外関連会社富士ゼロックスコリア（韓国）　　富士ゼロックス上海（中国）　　富士ゼロックス深圳（中国）取得組織名称富士ゼロックスシステムサービス（株）（株）富士ゼロックス総合教育研究所 2012年7月31日現在 ISO/IEC 27001認証取得状況プライバシーマーク取得状況富士ゼロックスおよび関連会社では、情報セキュリティに関連する第三者評価・認証の取得に積極的に取り組んでいます。

第三者評価・認証

2002年にBS 7799-2:1999（ISO/IEC 27001の前身である英国の情報セキュリティマネジメントシステム規格）をユーザー認証サービスにおいて取得して以来、お客様および社内の個人情報を適切に保護し、その運用がマネジメントシステムとして定着するよう継続的な改善に取り組んでいます。認証取得の範囲（組織、業務など）をお客様接点に関する業務を中心に拡大してきました。現在では、下記の組織において認証取得しています。

ISMS認証取得状況

プライバシーマーク認証取得状況

(23)

商品名

●Fuji Xerox ApeosPort-IV C5575/C4475/C3375/C3373/C2275　DocuCentre-IV C5575/C4475/C3375/C3373　

Series Controller Software for Asia Pacific　Controller ROM Ver. 1.101.18

●富士ゼロックス ApeosPort-IV C5575/C4475/C3375/C2275　(G4対応モデル)シリーズコントローラソフトウェア

Controller ROM Ver. 1.40.18

●富士ゼロックス ApeosPort-IV C5575/C4475/C3375/C2275　DocuCentre-IV C5575/C4475/C3375/C2275 シリーズ

コントローラソフトウェア　Controller ROM Ver. 1.0.18

●Fuji Xerox ApeosPort-IV 7080/6080 DocuCentre-IV 7080/6080 Series Controller Software for Asia Pacific

●富士ゼロックス DocuCentre-IV C2263 シリーズコントローラソフトウェア　Controller ROM Ver. 1.0.12

●富士ゼロックス ApeosPort-IV 7080(G4対応モデル) シリーズコントローラソフトウェア　Controller ROM Ver. 1.40.10 ●富士ゼロックス ApeosPort-IV 4070(G4対応モデル) シリーズコントローラソフトウェア　Controller ROM Ver. 1.40.10

●ファイル転送システム「セキュアトランスポート」送受信モジュール 1.0

●Fuji Xerox DocuCentre-IV C2265/C2263 Series Controller Software for Asia Pacific　Controller ROM Ver. 1.101.12 ●富士ゼロックス ApeosPort-IV 7080/6080/5080 DocuCentre-IV 7080/6080/5080 シリーズコントローラソフトウェア

●富士ゼロックス ApeosPort-IV 4070/3070 DocuCentre-IV 4070/3070 シリーズコントローラソフトウェア

●Xerox WorkCentre 5325/5330/5335　Controller ROM Ver. 1.202.3、IOT ROM Ver. 30.19.0、ADF ROM Ver. 7.8.50 ●Xerox WorkCentre 7120/7125　Controller ROM Ver. 1.210.3、IOT ROM Ver. 5.12.0、ADF ROM Ver. 11.0.1 ●Fuji Xerox ApeosPort-IV 5070/4070/3070 DocuCentre-IV 5070/4070 Series Controller Software for Asia Pacific

●富士ゼロックス DocuCentre-IV 3060/2060 シリーズコントローラソフトウェア　Controller ROM Ver. 1.0.2

●Fuji Xerox DocuCentre-IV 3065/3060/2060 Series Controller Software for Asia Pacific　Controller ROM Ver. 1.100.2 ●Fuji Xerox ApeosPort-IV C7780/C6680/C5580 DocuCentre-IV C7780/C6680/C5580 Series Controller Software for Asia Pacific

●富士ゼロックス ApeosPort-IV C7780/C6680/C5580 (G4 対応モデル)シリーズコントローラソフトウェア

●富士ゼロックス ApeosPort-IV C7780/C6680/C5580 DocuCentre-IV C7780/C6680/C5580 シリーズコントローラソフトウェア

●Fuji Xerox ApeosPort-IV C4430 DocuCentre-IV C4430 Series Controller Software for Asia Pacific

●Xerox Color 550/560 Printer　Controller ROM Ver. 1.203.1、IOT ROM Ver. 62.23.0、IIT ROM Ver. 6.13.0、ADF ROM Ver. 12.4.0

富士ゼロックスおよび関連会社は、2007年2月より、複合機、プリンター、アプライアンス・サーバー（beat-box）などの商品において、ISO/IEC 15408の認証を取得しています。 2011年4月1日から2012年5月31日までに認証取得した当社商品を、下記にご紹介します。 2011年3月31日までに認証取得した商品については、独立行政法人情報処理推進機構のホームページ（http://www.ipa.go.jp/security/jisec/certified_ products/cert_listv31.html）でご確認ください。 2012年5月31日現在

ISO/IEC 15408

1）

_{認証取得状況}

ISO/IEC 15408取得状況配給元　●富士ゼロックス（株）　●富士ゼロックスシステムサービス（株） 1）「ISO/IEC 15408」とは、情報技術セキュリティの観点から、情報技術に関連した製品およびシステムが適切に設計され、かつその設計が正しく実装されているかどうかを評価するための国際的なセキュリティ基準です。第三者評価・認証

(24)

情報セキュリティ報告書 2012年度

富士ゼロックス