情報セキュリティ

方針

ICTを基幹事業とする富士通グループでは、「快適で安心できるネットワーク社会づくり」への貢献を理念に掲げ、グループ全体の情報セキュリティの確保とそのレベルアップに努めています。
2016年4月には、こうした考えを共有し、従業員一人ひとりが行動していくことを目指し、「富士通グループ情報セキュリティ基本方針(注1)」を策定しました。本基本方針に基づき、国内外のグループ会社において情報管理やICTセキュリティに関する社内規定を整備し、情報セキュリティ対策を実施しています。

また、一般社団法人日本経済団体連合会(以下:経団連)が2018年3月に公表した「経団連サイバーセキュリティ経営宣言」について、「富士通サイバーセキュリティ宣言」(2016年11月公表)と理念を同じくするものとして、富士通グループはこの経団連の宣言を支持しています。

推進体制・定期レビュー

2019 情報セキュリティマネジメント体制

富士通グループでは、昨今のサイバー攻撃の増加を受けて、グループ内のセキュリティ対策を一層強化するために、リスク・コンプライアンス委員会の下に最高情報セキュリティ責任者(Chief Information Security Officer: CISO)(注2)を設置するとともに、世界各地域にリージョナルCISOを設置し、グローバルな情報セキュリティガバナンスの強化を図っています。

(注2)富士通グループの情報セキュリティCISOメッセージ(P2)
https://www.fujitsu.com/jp/about/resources/reports/securityreport/

リージョナルCISOは、グループ各社のセキュリティチームが実施する情報セキュリティ施策の実行報告をCISOに行っています。CISOはその状況をリスク・コンプライアンス委員会に定期的に報告するほか、必要に応じて随時報告を行います。

セキュリティ統制

機能

2019 セキュリティ統括素組織の機能

富士通グループは、情報セキュリティ対策を強化するためにCISO直轄にセキュリティ統括組織を設け、セキュリティ統制機能、セキュリティ施策実施機能、セキュリティ監視・分析・評価機能、インシデント&レスポンス機能を担い、統制を行っています。

情報管理教育

e-Learning画面e-Learning画面

情報漏えいを防ぐためには、規程類を従業員に周知するだけでなく、従業員一人ひとりのセキュリティに対する意識とスキルを向上させることが重要です。そこで富士通グループでは、従業員を対象とする情報管理教育を実施しています。具体的には、毎年、役員を含む全従業員を対象としたe-Learningを実施し、さらに新入社員や昇格・昇級者にはそれぞれの研修の際に情報セキュリティ教育を実施しています。海外グループ会社は、従業員に対する情報セキュリティ教育を毎年実施しています。

また、情報セキュリティ管理者には、管理者向けのセキュリティ教育を実施しています。

セキュリティ施策

「多層防衛」の考え方を取り入れた3つの重点施策

「標的型攻撃」に代表される近年のサイバー攻撃は、これまで以上に巧妙化・多様化・複雑化しており、従来型の単一のセキュリティ対策では防御しきれない状況になっています。

富士通グループは、情報セキュリティ対策の基本コンセプトとして、1つの施策で防ぐのではなく、複数の異なる施策で多層化し防衛する「多層防御」の考え方を取り入れています。多層防御には「防御壁を多重に配置し攻撃を防ぐ」、「多重に検知機能を配置し攻撃を早期に発見する」、「侵入されたとしても被害を最小限に抑える」という3つの目的があります。 このように組み合わせて防御することで攻撃を未然に防ぎ、被害を最小限にすることが可能となります。

情報の保護を目的とする「情報管理」、サイバー攻撃に対するシステムの防御を中心とする「サイバーセキュリティ」、そしてオフィス・工場などのファシリティにおける不正アクセスを予防する「物理セキュリティ」の3つを重点施策として、社内の情報セキュリティ対策に取り組んでいます。

2019 多層防御のコンセプトイメージ

サイバーセキュリティ

富士通グループでは、サイバー攻撃に備えて、ネットワークの特性に合わせて対策を複数層に分けて実施しています。ファイアウォールや標的型攻撃対策などの「ゲートウェイセキュリティ施策」、不正アクセス検知などの「ネットワークセキュリティ施策」、マルウェア対策やセキュリティパッチ管理などの「エンドポイントセキュリティ施策」を組み合わせた多層防御により、巧妙化・多様化・複雑化するサイバー攻撃への対策を講じています。

情報保護マネジメントシステムによる情報の保護

2019 情報保護マネジメントシステム

富士通および国内グループ会社では、他社秘密情報および当社秘密情報を適切に保護するために、現場での自律した情報保護活動、具体的には、業種・業態による規制等、お客様、取引先に応じた適切な管理を設定し情報を保護する取り組みと、社内第三者組織による監査の実施により、取り組み状況を確認する「情報保護マネジメントシステム」を構築し、情報保護の改善に努めています。

個人情報の保護

プライバシーマーク

富士通は、個人情報の保護を目的として2007年8月に一般財団法人日本情報経済社会推進協会よりプライバシーマーク(注3)の付与認定を受けており、毎年、個人情報の取り扱いに関する教育や監査を実施するなど、継続的に個人情報保護体制の強化を図っています。

国内グループ会社では、必要に応じて各社でプライバシーマークを取得し、個人情報管理の徹底を図っています。海外グループ会社の公開サイトにおいては、各国の法律や社会的な要請に応じたプライバシーポリシーを掲載しています。

  • (注3)
    プライバシーマークは、JIS Q 15001:2006に適合した個人情報保護マネジメントシステムの下で個人情報を適切に取り扱っている事業者に付与されるものです。

GDPR注4対応

富士通は、グローバルでの個人情報保護体制を構築し、個人データ保護の強化を図っています。CISO組織と法務部門主導の下、EMEIAリージョンなどと連携し、GDPRに対応するための権利保護に関するガイドラインや社内規定、ルールの整備、設計・初期設定時のチェックシートの作成、運用プロセスへの反映や従業員教育を実施しています。

個人データのEU域外移転規制への対応として、お客様から処理の委託を受けた個人データの取り扱いに関する富士通グループ共通ルールを定めた、個人データ処理者のための拘束的企業準則(Binding Corporate Rules for Processors:BCR-P)を2017年12月にオランダの欧州データ保護機関に申請しました。

また、欧州委員会によって日本とEU間の十分性認定が2019年1月23日に発効されましたので、当該十分性認定に基づき域外移転を行った個人情報の取り扱いに関する社内ルールを整備・周知しました。

  • (注4)
    General Data Protection Regulation(一般データ保護規則)の略。2018年5月25日に施行された個人データ保護を企業や組織・団体に義務づける欧州の規則で、個人データの欧州経済領域外への移転規制やデータ漏えい時の72時間以内の報告義務などが規定されています。

その他のセキュリティ施策の詳細は「富士通グループ情報セキュリティ報告書2019」(P.8-P.13)をご参照ください。
https://www.fujitsu.com/jp/about/resources/reports/securityreport/

情報システムの認証取得

富士通グループは、情報セキュリティの取り組みにおいて第三者による評価・認証の取得を積極的に進めています。
https://www.fujitsu.com/jp/solutions/industry/public-sector/government/confidence/license/

2018年度の実績

情報管理教育

  • 全社情報管理教育e-Learning(富士通対象者35,100人):実績34,708人、受講率99%
  • 新任幹部社員向けe-Learning(富士通):700人
  • 新入社員向け導入教育およびe-Learning(富士通):930人

富士通グループの情報セキュリティに関する詳細は下記をご参照ください。

ページの先頭へ