情報セキュリティ

方針

ICTを基幹事業とする富士通グループでは、「快適で安心できるネットワーク社会づくり」への貢献を理念に掲げ、グループ全体の情報セキュリティの確保とそのレベルアップに努めています。

2016年4月には、こうした考えを共有し、従業員一人ひとりが行動していくことを目指し、「富士通グループ情報セキュリティ基本方針(注1)」を策定しました。本基本方針に基づき、国内外のグループ会社において情報管理やICTセキュリティに関する社内規程を整備し、情報セキュリティ対策を実施しています。

また、一般社団法人日本経済団体連合会(以下:経団連)が2018年3月に公表した「経団連サイバーセキュリティ経営宣言」について、「富士通サイバーセキュリティ宣言」(2016年11月公表)と理念を同じくするものとして、富士通グループはこの経団連の宣言を支持しています。

マネジメント体制

2020 情報セキュリティマネジメント体制

富士通グループでは、近年のサイバー攻撃の増加を受けて、グループ内のセキュリティ対策を一層強化するために、リスク・コンプライアンス委員会の下に最高情報セキュリティ責任者(Chief Information Security Officer: CISO)(注2)を設置するとともに、世界各地域にリージョナルCISOを設置し、グローバルな情報セキュリティガバナンスの強化を図っています。

(注2)富士通グループの情報セキュリティCISOメッセージ(「情報セキュリティ報告書2019」のP2)
https://www.fujitsu.com/jp/about/resources/reports/securityreport/

リージョナルCISOは、グループ各社のセキュリティチームが実施する情報セキュリティ施策の実行報告をCISOに行っています。CISOはその状況をリスク・コンプライアンス委員会に定期的に報告するほか、必要に応じて随時報告を行います。

セキュリティ統制

機能

2019 セキュリティ統括素組織の機能

富士通グループは、情報セキュリティ対策を強化するためにCISO直轄のセキュリティ統括組織を設け、セキュリティ統制機能、セキュリティ施策実施機能、セキュリティ監視・分析・評価機能、インシデント&レスポンス機能を担い、統制を行っています。

セキュリティ施策

「ゼロトラスト」を取り入れたセキュリティ対策

サイバー攻撃が急増し、その手口は巧妙化・複雑化してきています。またワークスタイルの変化により、セキュリティ防御に対する取り組みも時代に合わせ変化させています。

「標的型攻撃」に代表されるサイバー攻撃は、単一のセキュリティ対策では防御しきれなくなり、富士通グループでは、情報セキュリティ対策の基本コンセプトとして、1つの施策で防ぐのではなく、複数の異なる施策で多層化し防衛する「多層防御」の考え方を取り入れてきました。

今後は、IT環境がオンプレミスからクラウドへと変化するにつれ、「多層防御」というコンセプトから「あらゆるネットワーク・デバイス・ユーザー・アプリケーションは攻撃されることを前提とし、何も信用しない」という「ゼロトラスト」の考え方にシフトしています。この「ゼロトラスト」を、サイバーセキュリティ、物理セキュリティ、そして情報管理の3つの軸に適用し、情報資産へのアクセスを正当な利用者であるかを認証したうえで、アクセスを認可することにより、社内の情報セキュリティを担保しています。

多層防御のコンセプトイメージ

サイバーセキュリティ

富士通グループでは、ゼロトラストを実現するべく、IT基盤の特性に合わせて対策を講じています。標的型攻撃対策として不正アクセス対策やマルウェア対策に加え、デバイス管理、ID管理、データ漏洩対策を組み合わせた認証・認可基盤を構築し、巧妙化・多様化・複雑化するサイバー攻撃への対策を導入しています。

物理セキュリティ

敷地、建物、フロアの3層において「人的警備」と「機械警備」を組み合わせた物理セキュリティ環境を構築しています。さらにより高度な物理セキュリティ環境を構築するために、なりすましを防ぐことが可能な静脈認証装置を組み合わせたセキュリティゲートを社内展開しています。

また、社内サービスの利便性向上のため、セキュリティゲート以外(複合機の承認等)にも静脈認証装置との連携を検討しています。

情報管理

<情報保護マネジメントシステムによる情報の保護>

2019 情報保護マネジメントシステム

富士通および国内グループ会社では、他社秘密情報および当社秘密情報を適切に保護するために、現場での自律した情報保護活動、具体的には、業種・業態による規制等、お客様、お取引先様に応じた適切な管理を設定し情報を保護する取り組みと、社内第三者組織による監査の実施により、取り組み状況を確認する「情報保護マネジメントシステム」を構築し、情報保護の改善に努めています。

また、海外グループを含めて情報の分類をグローバルで統一し、地域性や商習慣、文化などに影響されない情報交換を可能とし、グループ全体の情報取り扱いの安全性を高めています。

<個人情報の保護>

プライバシーマーク

富士通は、個人情報の保護を目的として2007年8月に一般財団法人日本情報経済社会推進協会よりプライバシーマーク(注3)の付与認定を受けており、毎年、個人情報の取り扱いに関する教育や監査を実施するなど、継続的に個人情報保護体制の強化を図っています。

国内グループ会社では、必要に応じて各社でプライバシーマークを取得し、個人情報管理の徹底を図っています。海外グループ会社の公開サイトにおいては、各国の法律や社会的な要請に応じたプライバシーポリシーを掲載しています。

  • (注3)
    プライバシーマークは、JIS Q 15001:2017に適合した個人情報保護マネジメントシステムの下で個人情報を適切に取り扱っている事業者に付与されるものです。

<GDPR注4対応>

富士通は、グローバルでの個人情報保護体制を構築し、個人データ保護の強化を図っています。CISO組織と法務部門主導の下、欧州子会社などと連携し、GDPRに対応するための権利保護に関するガイドラインや社内規程、ルールの整備、設計・初期設定時のチェックシートの作成、運用プロセスへの反映や従業員教育を実施しています。

個人データのEU域外移転規制への対応として、法令の定めに則り、適切な契約や技術的な対応を行っています。

またお客様から処理の委託を受けた個人データの取り扱いに関する富士通グループ共通ルールを定めた、個人データ処理者のための拘束的企業準則(Binding Corporate Rules for Processors:BCR-P)を2017年12月にオランダの欧州データ保護機関に申請しました。

また、欧州委員会によって2019年1月23日に発効された日本とEU間の十分性認定に基づき域外移転を行った個人情報の取り扱いに関する社内ルールも整備・周知しています。

  • (注4)
    General Data Protection Regulation(一般データ保護規則)の略。2018年5月25日に施行された個人データ保護を企業や組織・団体に義務づける欧州の規則で、個人データの欧州経済領域外への移転規制やデータ漏えい時の72時間以内の報告義務などが規定されています。

<情報管理教育>

情報管理講座2020/2021

情報漏えいを防ぐためには、規程類を従業員に周知するだけでなく、従業員一人ひとりのセキュリティに対する意識とスキルを向上させることが重要です。そこで富士通グループでは、従業員を対象とする情報管理教育を実施しています。

具体的には、毎年、役員を含む全従業員を対象としたe-Learningを実施し、さらに新入社員や昇格・昇級者にはそれぞれの研修の際に情報セキュリティ教育を実施しています。

海外グループ会社は、従業員に対する情報セキュリティ教育を毎年実施しています。

また、いつでも受講可能な富士通社員のベーススキルFujitsu Learning EXperienceや情報管理の教材「情報管理の基本原則」を新たに社内に公開し、テレワークなどの新しい環境にも適応できるように適切な情報の取り扱い方の指導も実施しています。

情報システムの認証取得

富士通グループは、情報セキュリティの取り組みにおいて第三者による評価・認証の取得を積極的に進めています。

2020年度実績

情報管理教育

  • 全社情報管理教育e-Learning(富士通):36,000人
  • 新任幹部社員向けe-Learning(富士通):530人
  • 新入社員向け導入教育およびe-Learning(富士通):912人
ページの先頭へ