キヤノンマーケティングジャパン株式会社 CSR活動

お客さまへの価値提供プロセスにおける情報セキュリティー品質の向上

キヤノンマーケティングジャパングループ(以下、キヤノンMJグループ)では、営業や保守サービス、ソフトウエア開発などの業務プロセスにISMSを中心としたマネジメントシステムを組み込むことによって、情報セキュリティー品質の向上に取り組んでいます。

お客さまに安心安全を提供する開発プロセス

脆弱性検査の様子

キヤノンITソリューションズでは、金融、製造、流通・サービス、社会公共、公益分野における業種別ソリューションをはじめ、SIサービス、クロスインダストリーソリューション、パッケージ開発など、広範なサービスを通じてお客さまが抱える課題を解決しています。
システムの受託開発にあたっては、お客さまからの「信頼」と「安心安全」にお応えするために、品質管理とともに情報セキュリティーへの配慮が不可欠です。
具体的には、「開発環境のセキュリティー」として、体制整備・開発場所の入退出管理・情報資産の適切な取り扱いなどの対策を行うほか、下記のように、「システム開発のセキュリティー」として、各開発プロセスにおけるリスクに応じた情報セキュリティー対策を行っています。

開発プロセスにおけるリスクと情報セキュリティー対策事例

  リスク 対策
要件定義
  • ・セキュリティー要件の認識誤り
  • ・セキュリティー要件の不足
・開発要件定義にあたっては、十分な知識を持った要員をアサインしてセキュリティー要件を定義し、レビューを行っています。
設計
  • ・セキュリティー要件との齟齬
  • ・セキュリティー設計のミス
・設計段階においては、セキュリティー要件の定義に基づき、具体的なセキュリティー機能を明確化するためのセキュリティー設計を行っています。セキュリティー設計は、十分なレビューを行い、必要に応じて実現性についての検証も行います。
実装
  • ・コーディングミス
  • ・システムの不十分な構成管理
  • ・実装段階における脆弱性の混入を防ぐため、セキュアプログラミングを行っています。なお、最新のセキュリティー技術については、常に関係者間でノウハウやナレッジを蓄積、共有化しています。
  • ・また、システムの構成要素の識別と管理を確実に行い、仕様変更や脆弱性が確認された場合の修正を迅速に行えるよう構成管理に万全を期しています。
テスト
  • ・検証と妥当性確認の漏れ
  • ・システムの開発工程でセキュリティーの検証と妥当性確認のために、レビューやさまざまなテストを行っています。
  • ・脆弱性検出ツールなどを用いて十分なテストを実施しています。

お客さまに安心安全を提供する保守サービスの実践

カスタマーエンジニアによる保守の様子

キヤノンシステムアンドサポート(以下、キヤノンS&S)は、全国約180の拠点で、営業・サービス・サポートが一体となってコンサルティングから保守サービスまで一貫してお客さまの支援を展開しています。
キヤノンS&Sは、ISMSおよびプライバシーマークの認証に加えてISO9001を取得しており、それらに準拠した手順を踏まえ、お客さまに安心して複合機やプリンター、ネットワーク機器をご利用いただくための保守サービスを提供しています。

保守サービスプロセスにおけるリスクと情報セキュリティー対策事例

  リスク 対策
外出前(社内)
  • ・サービス工具(パソコン・USBメモリー)の紛失・ウイルス感染
  • ・サービス工具(パソコン・USBメモリー)は、施錠できる場所に保管しています。
  • ・外出前に最新のセキュリティーパッチを適用し、ウイルスチェックを実施しています。
  • ・パソコンの社外持ち出しに関しては社外利用申請システムを使用し、所在管理をしています。
  • ・USBメモリーは台帳管理を行い、日々の持ち出し・持ち帰り管理を行っています。
修理受付(移動中)
  • ・修理受付用の携帯電話(スマートフォン)の紛失による情報漏えい
・自動ロック機能、リモートロック機能、リモートワイプ機能、暗号化機能、パスコードロック機能、セキュリティー監視機能を実装しています。
・携帯電話はネックストラップを使用して、落下・紛失を防止しています。
  • ・パソコンの紛失による情報漏えい
・持ち出すパソコンはハードディスクパスワード、ログインパスワードに加えてハードディスク暗号化ソフトで暗号化しています。
点検・保守(お客さま先)
  • ・お客さまデータの漏えい
  • ・ネットワーク接続時のウイルス流布
  • ・紙詰まり処理で取り除いた用紙や紙片には機密情報が含まれる可能性があるため、必ず処理方法をお客さまに確認しています。
  • ・お客さまのデータを預かる際は、お客さまに管理方法や作業内容を説明し、了承をいただいてから行っています。
  • ・代替機は、不要なデータなどが登録されていない状態で貸し出し、また代替機引き上げの際にはお客さま情報の消去を実施しています。
  • ・お客さまのネットワークへパソコンを接続することは、禁止しています。
  • ・作業上やむを得ず接続する際には、お客さまに当社パソコンのセキュリティー対策状態や作業内容を説明した後、お客さまに書面にて了承をいただいてから行っています。
帰社後(社内)
  • ・セキュリティー意識・知識の欠如
・サービスメンテナンス時に必要なセキュリティー対策に関する教育を適宜実施しています。
  • ・お客さまよりお預かりしたデータの目的外利用・誤廃棄・漏えい
・お客さまからデータをお預かりする際は、データの利用目的や返却方法などを「確認書」にて確認し、その内容に従って取り扱います。
なお、お預かりしたデータは施錠環境に保管するなど適切に管理しています。

お客さまに安心安全を提供する修理プロセスの追求

修理受付窓口

キヤノンマーケティングジャパンでは、キヤノンホームページにてパーソナル向け製品の引取修理サービスを提供しています。セキュリティー対策を施したサイトから、お客さまご自身で家にいながらいつでも修理をお申し込みいただくことが可能です。
また、銀座・名古屋・大阪のサービスセンターおよび品川キヤノンプラザ S修理メンテナンス受付コーナーでは、対面にてパーソナル向け製品の修理・メンテナンスのご相談やお申し込みを承っています。
各受付窓口や修理センターでは、お客さまの大切な製品と個人情報をお預かりしている重要性を認識し、情報セキュリティー対策と教育に取り組み、安心して快適に製品をお使いいただけるアフターサポート体制を整えています。

修理サービスプロセスにおけるリスクと情報セキュリティー対策事例

  リスク 対策
受付
  • ・修理受付時のお預かり品(修理品・付属品)の取り違え
  • ・お客さまの個人情報の紛失・漏えい
・窓口で修理受付時にお預かりする機器と付属品、保証書等をお客さまと一緒に確認し、管理用バーコード付きのタグを付けて、専用システムで管理しています。
・お申し込み時にご提供いただいた個人情報は、強固なセキュリティーで保護された弊社基幹システム内で管理しています。
  • ・修理費用のお見積もりをお知らせする際のファクス/eメールの誤送信
・ファクス/eメールはお申し込み時に登録いただいた宛先へシステムから自動送信を行い、誤送信を防止しています。
修理作業
  • ・お預かりした可搬メディアへのコンピューターウイルス感染
・お預かりした可搬メディアは、検疫用パソコンで最新の定義ファイルを用いたウイルスチェックを実施します。
・修理関連業務用パソコンのすべてにウイルス対策ソフトを導入し、最新の定義ファイルとセキュリティーパッチを適用しています。
  • ・お預かり品の盗難・紛失
・修理センター内の各工程において、管理用バーコードを用い、専用システムに登録されている情報と現品の照合を行っています。
・修理中に付属品を紛失しないために、作業工程ごとに付属品チェックシートと現品の多重チェックを行っています。
・盗難・紛失防止として、終業後は施錠環境にて保管しています。
  • ・修理センターにおける情報セキュリティー事故の発生
・修理センターでは、個人情報の管理・運用手順の指導や教育と、定期的に管理状態の監査を実施しています。
配送
  • ・個人情報が記載された伝票やお預かり品の誤送付
・梱包前に、宅配伝票・修理完成伝票とお預かり品それぞれの管理用バーコードを照合し一致していることを確認しています。
窓口返却
  • ・お預かり品の誤返却
・お客さまご持参のお預かり書と修理完成伝票に記載されている内容(修理番号、機種・機番、お客さま名、付属品)の声出し確認を行っています。
・お預かり書・修理完成伝票・お預かり品、それぞれの管理用バーコードを照合し一致していることを確認して返却しています。
  • 本章の詳細については、情報セキュリティ報告書(PDF版)をご覧ください。