サステナビリティ

社会(S)

顧客満足・製品責任

サステナビリティ

製品情報セキュリティー基本方針

ブラザーグループ(以下、当グループ)は、あらゆる場面でお客様を第一に考える"At your side."の精神のもと、情報セキュリティーに関して安全性の高いセキュアな製品をお客様に提供し、ご購入後も安心してお使いいただくため、以下の通り「製品情報セキュリティー基本方針」(以下、本基本方針)を定め、ブラザーグループ各社とともにこれを実施・推進します。

1. 情報セキュリティーに関する法令・規制・契約事項等の順守

私たちは、情報セキュリティーに関する各国の法令・規制、お客様やパートナー企業様との契約事項を把握し、順守します。

2. 社内規程・組織体制

私たちは、当グループ製品の情報セキュリティーレベルの維持、改善のため、トップマネジメントに基づき、製品情報セキュリティーに関する社内規程の制定、全社的な組織体制の構築、継続的な改善を行います。

3. 製品情報事故対応

私たちは、当グループ製品の使用に関して、情報事故、風評被害、法令等の違反が発生、あるいはそれらの可能性が発覚した際には、発生原因の究明、影響範囲の調査、リスクの想定、必要な対策案の実施、お客様、パートナー企業様、その他セキュリティー関連外部団体に対して必要な情報提供を迅速に行うなど、その被害を最小にとどめる努力を行うとともに、再発防止のための是正措置を実施します。

4. 製品情報事故未然防止

私たちは、製品情報事故を未然に防止するため、基準・実施手順を定め、企画、研究開発、製造、市場利用、修理、廃棄の製品ライフサイクル全般において、セキュリティー対策を実施します。また、基準と実施手順は、継続的に見直しを行い、新たな脅威への対策を製品に反映します。お客様に対しては、製品をセキュアにお使いいただくための情報発信を行います。

5. 製品情報セキュリティー教育の実施

私たちは、製品情報セキュリティーに関わる役員、従業員全員が、情報セキュリティーリテラシーを持って業務を遂行できるように、本基本方針を周知徹底し、継続的に製品情報セキュリティーに関する教育を実施します。

製品情報セキュリティーに関する体制と取り組み

ブラザー工業株式会社(以下、ブラザー工業)では、ブラザーグループの製品情報セキュリティーレベルの維持・改善のため、全社的な組織体制を構築し、製品情報事故への対応や未然防止のためにさまざまな取り組みを推進しています。

B-PSIRT

ブラザー工業は、ブラザーグループの製品における情報事故の対応を行う組織体制として、B-PSIRT (Brother Product Security Incident Response Team) を構築しています。B-PSIRTは、ブラザーグループの製品に起因する情報事故の発生を予防し、万一事故が発生した場合には、迅速に対処することなどにより、お客様や社会に対して安心・安全の提供に努めています。

B-PSIRTの体制

B-PSIRTは、ブラザー工業の情報管理委員会内・情報管理事務局に設置され、各事業におけるPSIRT*1の活動を統括・支援するためのB-PSIRT事務局と、各事業の製品・開発体制・ビジネス体制に合わせて発生した情報事故の対応を行う各事業PSIRTにより構成されています。
B-PSIRTは、対外的な脆弱性報告窓口を設けて、外部の製品情報セキュリティー関連機関、企業や個人の脆弱性発見者から、ブラザーグループの各製品に関する脆弱性情報や脅威情報などを受け付けています。

B-PSIRT体制図

B-PSIRT体制図

  1. Product Security Incident Response Teamの略称。自社製品のセキュリティー事象に対応するための組織
  2. JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center)の略称
  3. 情報処理推進機構(Information-technology Promotion Agency)の略称
  4. Computer Security Incident Response Teamの略称。企業などの情報部門に設置され、社内システムなどに保安上の問題につながる事柄が発生した際に対応する組織

B-PSIRTの取り組み

B-PSIRTは、ブラザーグループの製品を対象に、以下のような取り組みをしています。

種類 概要
法律・契約などの違反 ブラザー製品の持つ機能、あるいはお客様が製品を使用する過程における
  • 各国の情報セキュリティーに関する法律・法令・規制の把握と対応
  • お客様との契約事項(使用許諾契約書[EULA]、プライバシーポリシーなど)、パートナー企業との契約事項などに対する違反発生時の対応
情報インシデント*ハンドリング ブラザー製品をご使用のお客様、その他の個人・法人に損害を与えるような情報事故が発生した場合の対応
脆弱性ハンドリング
  • ブラザー製品に関する情報セキュリティー上の脆弱性への対応
  • 脅威情報や脆弱性情報に基づく業務ITインフラへの影響調査と対応
未然防止活動
  • ブラザー製品に対する脆弱性検査の実施
  • セキュア開発プロセスの運用
  • ブラザー製品に対するセキュリティー対策の実施
啓発・教育
  • 全社員を対象にした製品情報セキュリティーの啓発
  • 開発系社員への研修の実施およびセキュリティー資格取得の推進
  • 不正アクセスや情報漏えいなど、事業運営や情報セキュリティー上、望ましくない、または予期しない問題や事故

製品情報セキュリティー関連団体との連携

ブラザー工業はJPCERT/CCに製品開発者登録しており、「情報セキュリティ早期警戒パートナーシップ」に基づく対応を実施しています。

製品情報セキュリティー事故の未然防止活動

セキュア開発プロセス

B-PSIRTは、お客様が安心・安全に製品をお使いいただけるよう、企画から廃棄までの製品ライフサイクルでセキュリティー対策を実施するセキュア開発プロセスを推進しています。

製品のライフサイクルにおけるセキュア開発プロセス

製品のライフサイクルにおけるセキュア開発プロセス

製品情報セキュリティー事故発生時における対応プロセス

ブラザー工業では、製品情報セキュリティー関連事故または疑わしい事象を発見した際のエスカレーションプロセス*を定め、適切な事故対応を行い、被害や損失を最小限に抑えるように努めています。
グループ内の各社・各組織で製品情報セキュリティー関連事故が発生、あるいは脆弱性などが発覚した際には、直ちに各組織のPSIRT担当者が状況を把握し、B-PSIRT事務局に報告します。
報告された事故に対しては、内容に応じて経営や関係組織と共有し、再発防止策を講じています。また、緊急かつ重要な案件は、直ちに情報管理委員長および事業管掌役員に報告し、お客様の被害の拡大を防ぐための処置や、回避方法の発信などの対応をすることで、被害の極小化を図っています。

製品情報セキュリティー関連事故 発生時対応プロセス

製品情報セキュリティー関連事故 発生時対応プロセス

  • 緊急の重大インシデント発生時に、上位者(組織)に報告し、より広い範囲で対応を進めるための手順

製品情報セキュリティー情報の公開

ブラザー製品の脆弱性に関する情報や、脆弱性によって生じる問題を解決または回避するための方法に関する情報は、お客様に確認していただけるよう、22言語に翻訳して、ホームページ上に公開しています。

セキュリティサポート情報

製品情報セキュリティーに対する外部からの評価・認証

IoTデバイス*1の普及に伴い、それらを標的としたサイバー攻撃が増加しています。また、さまざまな環境で使用されるプリンターや複合機など事務機の分野においても、リモートワークや在宅勤務の急速な普及により、セキュリティー対策の重要性が高まっています。
このような背景もあり、ブラザー工業では、製品情報セキュリティー対策を強化し、外部の評価や認証を取得しています。

BLI Security Validation Programの厳格なテストに合格

ブラザー工業のプリンター製品は、米国の独立評価機関であるKeypoint Intelligence社 によるBuyers Lab (BLI)Security Validation ProgramのDevice Penetration Testingに合格し、Security Validation Testing Sealを取得しています。
Security Validation Testing Sealとは、製品に施されたセキュリティー対策がKeypoint Intelligence社による厳格なテストに合格しており、外部のハッカーによって悪用される可能性がある深刻な脆弱性が、デバイスのファームウエアと基本ソフト(OS)に含まれていないことを証明するものです。

ロゴ_ BLI Security Validation Testing

BLI Security Validation Programの合格製品など詳細な情報は、Security Validation Program (英文のサイトへリンクします) をご覧ください。

BMSec(事務機セキュリティプログラム)への適合

ブラザー工業では、プリンター・複合機の製品情報セキュリティー対策強化の一環として、一般社団法人ビジネス機械・情報システム産業協会(以下、JBMIA)による「事務機セキュリティプログラム」(以下、BMSec*2) への適合を実施しています。

ロゴ_BMSec

BMSec適合製品の情報および詳細は、BMSec公式サイト(「JBMIA」のサイトへリンクします) をご覧ください。
* BMSecはJBMIAの商標です。

BMSecについては、ブラザー製品情報サイトでも紹介しています。

  1. LANやインターネットを通じて相互に情報や制御のやりとりができる機器
  2. 製造業者・販売事業者自身が、JBMIA策定の「ネットワーク機能付き事務機セキュリティガイドライン」に対する適合性を評価し、自己適合宣言を行い、適合結果をJBMIAが確認・公開する制度

個人情報保護への取り組み

ブラザーグループでは「ブラザーグループ グローバル憲章」の行動規範にのっとり、個人情報保護方針またはプライバシーポリシーを各グループ会社で定めています。製品についても、上記行動規範にのっとり、各グループ会社で個人情報を取り扱っています。

製品安全に関する基本方針

ブラザー工業株式会社(以下「当社」といいます)は、お客様に満足していただける製品を提供することで社会に貢献するという理念のもと、「製品の安全は品質保証の原点であり、お客様に安全な製品をお届けすることを何よりも優先する」という基本的考え方に従い、以下の通り「製品安全に関する基本方針」を定め、ブラザーグループ各社とともに誠実に製品安全の確保に努めてまいります。

1. 法令の遵守

私たちは、製品安全に関する法令、各種の指針その他の規範を遵守するとともに、安全文化を尊重した倫理観をもって行動します。

2. 自主行動計画の策定と実践

私たちは、この基本方針に基づき、製品安全に関する自主行動計画を策定、実施し、継続的な改善を行うことにより、「お客様第一」、「製品安全最優先」を実施し、製品安全を確立します。

3. 製品安全の確保

私たちは、お客様に安心してお使いいただける安全な製品をお届けするために、法令や業界で定められた安全基準に加え、自主安全基準を制定、改善し、継続的に安全性の向上に努めます。また、私たちは、従業員その他の関係者に対し、製品安全の確保、製品事故の未然防止等に向けた教育・研修を実施し、安心・安全な製品の提供に努めます。

4. 製品事故情報の収集と開示

私たちは、当社製品に係る事故について、その情報をお客様等から積極的に収集するとともに、お客様等に対して適切な情報開示を行います。

5. 製品事故の報告

私たちは、当社製品において重大製品事故が発生したときには、知りえた事実を法令に基づき迅速に所轄官庁に報告します。

6. 製品回収等の実施

私たちは、当社製品において不慮の製品事故が発生したときには、直ちに事実確認と原因究明を行い、必要と認められるときには、適切な情報提供方法を用いて、迅速にお客様等に告知するとともに、製品回収やその他の危害の発生・拡大の防止等の必要な措置を講じます。

7. 誤使用等回避の施策

私たちは、お客様に当社製品を安全にご使用いただくため、取扱説明書、製品本体等に誤使用や不注意による事故の回避に役立つ注意喚起や表示を行い、製品事故の未然防止に努めます。

ブラザー工業株式会社
代表取締役社長

製品安全に関する取り組み

安全データシート(SDS)

ブラザー工業では、製品を安全にご使用いただくために、製品に含まれる化学物質の安全な取り扱いに関する情報などをまとめた「安全データシート(SDS)」を言語・製品ごとに作成しています。

詳しくは安全データシート(SDS)のダウンロードサイトをご覧ください。

安全データシート(SDS)

このページをシェアする