情報セキュリティと個人情報保護 総論 財団法人 全国中小企業情報化促進センター NIC 1 2015/9/30 はじめに IT利用が必須の企業環境において経営者は対 処すべきリスク項目を認識しなければならない。 製造業をはじめとする中小企業で、情報技術の 知識がない人を対象とし 情報セキュリティと個人情報保護について企業 として対処すべき事項を理解してもらう。 社内で対処する方法のヒントが得られる。 IT専門家に依頼したいことを明確になる。 NIC 2 2015/9/30 概要 情報セキュリティと個人情報保護に関する 中小企業の取り組み方を解説する。 ① 取り組みの必要性を理解してもらう。 ② 経営者が取り組む項目を理解してもらう。 ③ 継続した活動として社員教育・実施検証の仕組 み作りを推奨する。 NIC 3 2015/9/30 事故前提社会と企業対応 情報技術(IT)を使うと情報に関するイン シデント(不具合)の発生の可能性増加 100%安全は実現不可能: 情報の事故が起きることを想定した対策 – 情報システムに対する対策 – 人に対する対策 – 事故発生時の影響を小さくする対策 NIC 4 2015/9/30 情報も資産として管理が必要 経営者は会社の資産管理の最高責任者 ① 人 ② もの ③ 金 ④ 情報 情報資産を管理する社内の仕組みが必須 仕組みがあり、適切に運用すること NIC 5 2015/9/30 事業継続が経営の基本 事業継続のために経営リスクへの対応 – – – – – – – – – 天災(地震、水害、風害) 火災・停電・断水 盗難 取引先との事故・事件 製品・商品に関する事故・事件 交通事故(飲酒運転、スピード違反、駐車違反) 労働災害 情報システムの不具合 情報漏えい(営業秘密、個人情報) NIC 6 2015/9/30 取引先の要請・選別 NIC 7 2015/9/30 中小企業の事業継続 中小企業の存続は経営者責任と決断 お客様と従業員の信頼を得られる経営 安全・安心な取引関係の維持 (信頼関係の継続) 法令順守は必要条件 事故・事件の発生を予防すること 発生したら、事故の原因特定と影響範囲 の把握、対策の実施、広報が重要 NIC 8 2015/9/30 9 NIC 2015/9/30 http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide_gaiyou.pdf 情報セキュリティもPDCAサイクル NIC 10 2015/9/30 企業情報管理と個人情報管理 基本方針 セキュリティポリシー スタンダード 基準 プロシージャ 手順書 経営理念 個人情報保護ポリシー 情報管理規程 (社外公表) 情報システム管理規程 個人情報管理規程 営業情報管理手順 具体化 個人情報管理手順 情報システム管理手順書 NIC 11 2015/9/30 企業の規定の整備 従業員への教育と運用 継続的改善 経営理念・方針 就業規則 情報管理規程 個人情報管理規程 他社秘密情報管理規定 情報システムセキュリティ規程 パソコン・ネットワーク利用規程 NIC 12 2015/9/30 情報セキュリティ体制 経営者 教育訓練担当 監査担当 取引先 企業 情報セキュリティ 責任者 業務実施部門 対応窓口 個人情報管理 責任者 本人 問合せ窓口 IPA 警察署・サイバー犯罪部門 NIC 行政指導官庁 13 2015/9/30 情報漏えいのルート分析 NIC 14 2015/9/30 個人情報は本人のもの ネットでの情報漏えいは回収不可能 情報の複製と個人情報の取引闇市場 個人情報利用による多様な犯罪の発生 – オレオレ詐欺、振り込め詐欺、オークション詐欺 – 成りすまし詐欺 企業は個人情報の利用目的を公開 企業は本人の同意のもとに適切な管理と利用 本人の問合せに対応する仕組みが必要 NIC 15 2015/9/30 個人情報の取り扱い 本人への対応(苦情受付等) 個人情報の開示、訂正、利用停止に対 する受付方法を整備 本人が個人情報の開示、訂正、利用停 止を申し入れるための方法を公表 苦情に対する社内の対応体制を整備 NIC 16 2015/9/30 セキュリティインシデントへの対応体制 脆弱性対策 – 企業のイントラネットやWebサイトの脆弱性 – 対応するための内部展開を支援 – 公的セキュリティ機関(JPCERT/CC,IPAセキュリティ センタ)やセキュリティ専門ベンダとの対応 インシデント対応 – 社内の侵害・障害時の修復・回避するための対応 – 外部からの協力依頼を受けたときの協力対応 NIC 17 2015/9/30 情報セキュリティ事件の対処 不正アクセス発生 – 犯罪の痕跡を保存する。 – 情報セキュリティ責任者に連絡 – 警察のサイバー犯罪担当部署に連絡 情報漏えい – 漏洩した情報の特定 – 対象となるお客様に連絡 – 影響範囲の特定と公表 ウイルス感染 – 対象となる機器をネットワークから外す。 – ウイルスの種類の特定(専門家に協力依頼) – ウイルス駆逐ソフトによる除去 NIC 18 2015/9/30 情報セキュリティの監査と是正 情報セキュリティに関する監査 – – – – 社員の運用状況 外部からのアクセス状況 重要情報へのアクセス状況 セキュリティインシデント対応状況 脆弱性対策と社員教育 NIC 19 2015/9/30 付録資料 NIC 20 2015/9/30 NIC 21 2015/9/30 本資料は、当財団及び当財団の会員組織が自らの体制構築や研修活動に おいて利用する場合には、複製及び転載を許可しますが、それ以外の者によ る複製、無断転載を禁止します。 財団法人全国中小企業情報化促進センター 東京都中央区銀座4丁目10番5号 三幸ビル本館6階 電話03-3549-1820 NIC 22 2015/9/30
© Copyright 2024 ExpyDoc
