情報セキュリティ: 2006年7月14日

q
q
情報セキュリティ
第13回:2007年7月13日(金)
q
q
本日学ぶこと

組織におけるセキュリティ
q
q
q
q



セキュリティポリシー
規格・制度,ISMS
コンピュータ犯罪を取り締まる法律
個人情報保護法
セキュリティポリシーとは,組織の情報資産を守るための方
針や基準を明文化したものである
情報セキュリティに関する規格・制度により,セキュリティの
水準を客観的に評価できる
個人情報保護法は,企業・組織が,個人情報を適切に管理・
使用するための方針を定めた法律である
2
セキュリティポリシー

セキュリティポリシーとは?
q

あるとどうなる?
q
q
q

組織の情報資産を守るための方針や基準を明文化したもの
情報セキュリティレベルの向上
セキュリティ対策の費用対効果の向上
対外的な信頼性の向上
何を書く?
q
q
組織の長の,情報セキュリティに関する方針・考え
適切な情報セキュリティを確保・維持するために遵守すべき
ルール
3
セキュリティポリシーの基本構成
概要
Policy
Standard
Procedure
情報
セキュリティ
基本方針
情報セキュリティ
対策基準
情報セキュリティ
対策実施手続き,規定類
詳細
4
セキュリティポリシーをだれが作る?どう書く?

セキュリティポリシー策定担当者の例
q
q
q
q

情報システム部門の責任者
総理部門・法務部門・監査部門の責任者
人事部門・人材育成部門の責任者
組織内システム管理者,組織内ネットワーク管理者
セキュリティポリシー策定の注意点
q
q
q
q
ポリシーを策定する範囲を明確にする
適用対象者を明確にする
目的や罰則を明確にする
運用を意識して,実現可能な内容にする
 「パスワードは毎週変更すること」と書いて,みんなやって
くれる?
5
情報セキュリティに関する規格・制度:背景

なぜ規格や制度が必要?
q
q
q
一体どこまでコストをかけて,セキュリティ対策を実施すればい
いのか?
自分の組織の情報セキュリティの水準は,同業者や世間一般
と比較してどの程度なのだろうか?
情報セキュリティの水準を客観的に評価するための基準や制
度があればいい!
6
規格・制度の例

ISO/IEC 15408 (JIS X 5070)
q

プライバシーマーク制度 (JIS Q 15001)
q

q
品質マネジメントシステム
ISO 14001
q

情報セキュリティマネジメントの適切性を評価・認定
ISO/IEC 17799 (BS7799, JIS X 5080)の発展版
ISO 9000
q

企業における個人情報保護措置の適切性を評価・認定
ISO/IEC 27001 (JIS Q 27002, ISMS)
q

IT関連製品のセキュリティ品質を評価・認証
環境マネジメントシステム
JABEE
q
技術者教育プログラム
7
ISMS (Information Security Management System)



組織の情報マネジメント体制を維持管理していくための管理
文書・管理体制・実施記録等からなる一連の仕組み
情報セキュリティマネジメントのデファクトスタンダード
やりっぱなしでは
Plan-Do-Check-Act (PDCA)のサイクル
q
q
q
q
Plan: 情報セキュリティ対策の計画・
方針・目標などを策定
Do: 計画に基づいて対策を実施
Check: 対策の実施・運用状況を
点検・監視
Act: 対策の適切性について評価・
是正処置
いけない
P
A
D
C
8
ISMS適合性評価制度



評価希望事業者の申請により,日本情報処理開発協会
(JIPDEC)が指定した審査登録機関が審査・認証する
予備審査(任意),文書審査,実地審査を受け,合格すれば
認証される
認証後も,半年~1年ごとの継続審査,3年ごとの更新審査
がある
9
ISMS認証を受けるために

「ISMS基本方針」は,事業目的を反映したものでなければな
らない
q

リスクアセスメントへの取り組みが不可欠
q

(セキュリティ)リスクとは,何かしらの損失を発生させる事態や
状況への可能性のこと.
管理策の有効性検証を行う
q

借り物は不可
ウイルスや不正アクセスの被害回数などを監視・報告する
内部監査(組織自身による監査)も行う
10
コンピュータ犯罪を取り締まる法律

電子計算機損壊等業務妨害(刑法第234条の2)
q
q

電子計算機使用詐欺(刑法第246条の2)
q
q

コンピュータや電子データの破壊
コンピュータの動作環境面での妨害
財産権に関する不実の電子データを作成
財産権に関する偽の電子データを使用
不正アクセス行為の禁止等に関する法律(不正アクセス防
止法)
q
q
q
q
権限を持たない者がアクセス
そのようなアクセスを助長
他人のパスワードを勝手に公開,販売
具体的な被害を与えていなくても処罰の対象になる
11
個人情報保護法

目的(第1条)
q
q
個人の権利と利益の保護
 個人情報は,データ化した企業・組織のものではなく,
個人情報の本人のもの
高度情報通信社会における個人情報の有用性の配慮
 企業・組織が,個人情報を
適切に管理・使用するため
可用性
機密性
の方針を定める
個人
情報
完全性
12
個人情報の例





氏名
生年月日,住所,居所,電話番号,メールアドレス
会社における所属や職位
電話帳や刊行物などで公表されている個人情報
名刺
q
q

電子化するしないに関わらず対象
施行前に収集した情報も対象
個人情報でないもの
q
q
法人などの団体に関する情報(企業の財務情報など)
 役員氏名などは個人情報になり得る
特定の個人を識別できない形にした統計情報
13
個人情報とプライバシーの違い

個人情報保護
q

プライバシーの保護
q

事業者の個人情報に対する管理責任に関するもの
他人に知られたくないことを秘匿すること
ハガキの表裏
q
q
ハガキの表(宛名)に書かれるのは個人情報
ハガキの裏(文面)に書かれるのはプライバシー
14
個人情報取扱事業者


事業活動を行っていれば,個人でも法人でも非営利団体で
も任意団体でも対象となる
個人情報取扱事業者に該当しないもの
q
q
国の機関,地方公共団体,独立行政法人,独立地方行政法人
 同じ役割の別の法律がすでに施行
個人情報の数が,過去6か月で5000件以下の事業者
 「法」には基づかないが,社会的な信頼を考えると,対応して
おくべきである
15
運用上の義務①

利用目的をはっきりさせ,本人の同意を得る.
q
q

適切な方法で個人情報を取得する.
q
q

利用目的は具体的に
利用目的・利用者が変更する場合も,事前に告知と同意を
子供から親の情報を聞き出すのは違法
名簿業者から買うのはもってのほか
個人情報は安全に管理する.
q
q
q
アクセス制限やデータの暗号化も
委託してもよいが,管理・監督の責任を負う
ノートPCやUSBメモリに入れて,紛失することのないように
16
運用上の義務②

本人からの依頼には適切に対処
q
q
q

個人情報の破棄も細心の注意を払う.
q
q

開示・訂正・利用停止など
問い合わせ窓口を設置
本人確認も忘れずに
紙…シュレッダー,溶解処理
コンピュータ…抹消用ソフトウェア,物理的な破壊
個人情報保護への取り組み
q
q
プライバシーポリシー・個人情報保護規定を制定し,
PDCAのサイクルで運用
プライバシーマークの取得
17
オプトアウト


「あらかじめ同意を得る」という原則(オプトイン)の例外規定
第三者提供におけるオプトアウト(第23条第2項)
q
第三者への提供にあたり,あらかじめ本人に通知するか,本人
が容易に知り得る状態にしておき,本人の求めに応じて第三者
への提供を停止すること
 目的・手段・対象のほか,本人の求めに応じて第三者への
提供を停止することを明記しておく.
18
個人情報保護 運用上の注意(1)

メールアドレスは個人情報にならない?
q

個人情報を暗号化しておけば,個人情報としての取り扱い義
務が免除される?
q

暗号化しても個人情報であることには変わりない
電話帳にある氏名や電話番号は個人情報ではない?
q

[email protected]は個人情報になるかも
個人情報であるかどうかは,公にされているかとは関係ない
社会貢献だけを目的とする団体なら,個人情報取扱事業者
にならない?
q
営利であるか,法人であるかに関係なく,社会通念上「事業」と
認められる活動をしていれば,なり得る
NECネクサソリューションズ: よくわかる「個人情報保護」,東洋経済新報社 より
19
個人情報保護 運用上の注意(2)

名刺は社員個人で収集管理するので,個人情報にあたらな
い?
q

学校でクラス名簿を作ってはいけない?
q

事業に関連して収集するので,会社の責任で管理する(個人情
報になり得る)
生徒がお互いを知るためであれば,作ってよい
病室の入口に患者の名前を記入してはいけない?
q
緊急援助や患者の取り違い防止のためならば,禁止する必要
はない
牧野二郎: 間違いだらけの個人情報保護,インプレス より
20
今後の予定

第14回:7月20日
q
q

質問に答えます
おさらい問題とその解説
第15回:7月27日
q
q
試験
いつもの時間,いつもの場所で
21
まとめ

組織のセキュリティ
q
q
セキュリティポリシー,個人情報保護
だれのために実施する?
 組織のため?
 社会(対外的アピール)のため?
 情報の持ち主のため?
22