q q 情報セキュリティ第１３回：２００７年７月１３日（金） q q 本日学ぶこと  組織におけるセキュリティ q q q q    セキュリティポリシー規格・制度，ISMS コンピュータ犯罪を取り締まる法律個人情報保護法セキュリティポリシーとは，組織の情報資産を守るための方針や基準を明文化したものである情報セキュリティに関する規格・制度により，セキュリティの水準を客観的に評価できる個人情報保護法は，企業・組織が，個人情報を適切に管理・使用するための方針を定めた法律である 2 セキュリティポリシー  セキュリティポリシーとは？ q  あるとどうなる？ q q q  組織の情報資産を守るための方針や基準を明文化したもの情報セキュリティレベルの向上セキュリティ対策の費用対効果の向上対外的な信頼性の向上何を書く？ q q 組織の長の，情報セキュリティに関する方針・考え適切な情報セキュリティを確保・維持するために遵守すべきルール 3 セキュリティポリシーの基本構成概要 Policy Standard Procedure 情報セキュリティ基本方針情報セキュリティ対策基準情報セキュリティ対策実施手続き，規定類詳細 4 セキュリティポリシーをだれが作る？どう書く？  セキュリティポリシー策定担当者の例 q q q q  情報システム部門の責任者総理部門・法務部門・監査部門の責任者人事部門・人材育成部門の責任者組織内システム管理者，組織内ネットワーク管理者セキュリティポリシー策定の注意点 q q q q ポリシーを策定する範囲を明確にする適用対象者を明確にする目的や罰則を明確にする運用を意識して，実現可能な内容にする  「パスワードは毎週変更すること」と書いて，みんなやってくれる？ 5 情報セキュリティに関する規格・制度：背景  なぜ規格や制度が必要？ q q q 一体どこまでコストをかけて，セキュリティ対策を実施すればいいのか？自分の組織の情報セキュリティの水準は，同業者や世間一般と比較してどの程度なのだろうか？情報セキュリティの水準を客観的に評価するための基準や制度があればいい！ 6 規格・制度の例  ISO/IEC 15408 (JIS X 5070) q  プライバシーマーク制度 (JIS Q 15001) q  q 品質マネジメントシステム ISO 14001 q  情報セキュリティマネジメントの適切性を評価・認定 ISO/IEC 17799 (BS7799, JIS X 5080)の発展版 ISO 9000 q  企業における個人情報保護措置の適切性を評価・認定 ISO/IEC 27001 (JIS Q 27002, ISMS) q  ＩＴ関連製品のセキュリティ品質を評価・認証環境マネジメントシステム JABEE q 技術者教育プログラム 7 ISMS （Information Security Management System）    組織の情報マネジメント体制を維持管理していくための管理文書・管理体制・実施記録等からなる一連の仕組み情報セキュリティマネジメントのデファクトスタンダードやりっぱなしでは Plan-Do-Check-Act (PDCA)のサイクル q q q q Plan: 情報セキュリティ対策の計画・方針・目標などを策定 Do: 計画に基づいて対策を実施 Check: 対策の実施・運用状況を点検・監視 Act: 対策の適切性について評価・是正処置いけない P A D C 8 ISMS適合性評価制度    評価希望事業者の申請により，日本情報処理開発協会（JIPDEC）が指定した審査登録機関が審査・認証する予備審査（任意），文書審査，実地審査を受け，合格すれば認証される認証後も，半年～１年ごとの継続審査，３年ごとの更新審査がある 9 ISMS認証を受けるために  「ISMS基本方針」は，事業目的を反映したものでなければならない q  リスクアセスメントへの取り組みが不可欠 q  （セキュリティ）リスクとは，何かしらの損失を発生させる事態や状況への可能性のこと．管理策の有効性検証を行う q  借り物は不可ウイルスや不正アクセスの被害回数などを監視・報告する内部監査（組織自身による監査）も行う 10 コンピュータ犯罪を取り締まる法律  電子計算機損壊等業務妨害（刑法第２３４条の２） q q  電子計算機使用詐欺（刑法第２４６条の２） q q  コンピュータや電子データの破壊コンピュータの動作環境面での妨害財産権に関する不実の電子データを作成財産権に関する偽の電子データを使用不正アクセス行為の禁止等に関する法律（不正アクセス防止法） q q q q 権限を持たない者がアクセスそのようなアクセスを助長他人のパスワードを勝手に公開，販売具体的な被害を与えていなくても処罰の対象になる 11 個人情報保護法  目的（第１条） q q 個人の権利と利益の保護  個人情報は，データ化した企業・組織のものではなく，個人情報の本人のもの高度情報通信社会における個人情報の有用性の配慮  企業・組織が，個人情報を適切に管理・使用するため可用性機密性の方針を定める個人情報完全性 12 個人情報の例      氏名生年月日，住所，居所，電話番号，メールアドレス会社における所属や職位電話帳や刊行物などで公表されている個人情報名刺 q q  電子化するしないに関わらず対象施行前に収集した情報も対象個人情報でないもの q q 法人などの団体に関する情報（企業の財務情報など）  役員氏名などは個人情報になり得る特定の個人を識別できない形にした統計情報 13 個人情報とプライバシーの違い  個人情報保護 q  プライバシーの保護 q  事業者の個人情報に対する管理責任に関するもの他人に知られたくないことを秘匿することハガキの表裏 q q ハガキの表（宛名）に書かれるのは個人情報ハガキの裏（文面）に書かれるのはプライバシー 14 個人情報取扱事業者   事業活動を行っていれば，個人でも法人でも非営利団体でも任意団体でも対象となる個人情報取扱事業者に該当しないもの q q 国の機関，地方公共団体，独立行政法人，独立地方行政法人  同じ役割の別の法律がすでに施行個人情報の数が，過去６か月で５０００件以下の事業者  「法」には基づかないが，社会的な信頼を考えると，対応しておくべきである 15 運用上の義務①  利用目的をはっきりさせ，本人の同意を得る． q q  適切な方法で個人情報を取得する． q q  利用目的は具体的に利用目的・利用者が変更する場合も，事前に告知と同意を子供から親の情報を聞き出すのは違法名簿業者から買うのはもってのほか個人情報は安全に管理する． q q q アクセス制限やデータの暗号化も委託してもよいが，管理・監督の責任を負うノートPCやUSBメモリに入れて，紛失することのないように 16 運用上の義務②  本人からの依頼には適切に対処 q q q  個人情報の破棄も細心の注意を払う． q q  開示・訂正・利用停止など問い合わせ窓口を設置本人確認も忘れずに紙…シュレッダー，溶解処理コンピュータ…抹消用ソフトウェア，物理的な破壊個人情報保護への取り組み q q プライバシーポリシー・個人情報保護規定を制定し， PDCAのサイクルで運用プライバシーマークの取得 17 オプトアウト   「あらかじめ同意を得る」という原則（オプトイン）の例外規定第三者提供におけるオプトアウト（第２３条第２項） q 第三者への提供にあたり，あらかじめ本人に通知するか，本人が容易に知り得る状態にしておき，本人の求めに応じて第三者への提供を停止すること  目的・手段・対象のほか，本人の求めに応じて第三者への提供を停止することを明記しておく． 18 個人情報保護運用上の注意（１）  メールアドレスは個人情報にならない？ q  個人情報を暗号化しておけば，個人情報としての取り扱い義務が免除される？ q  暗号化しても個人情報であることには変わりない電話帳にある氏名や電話番号は個人情報ではない？ q  [email protected]は個人情報になるかも個人情報であるかどうかは，公にされているかとは関係ない社会貢献だけを目的とする団体なら，個人情報取扱事業者にならない？ q 営利であるか，法人であるかに関係なく，社会通念上「事業」と認められる活動をしていれば，なり得る NECネクサソリューションズ: よくわかる「個人情報保護」，東洋経済新報社より 19 個人情報保護運用上の注意（２）  名刺は社員個人で収集管理するので，個人情報にあたらない？ q  学校でクラス名簿を作ってはいけない？ q  事業に関連して収集するので，会社の責任で管理する（個人情報になり得る）生徒がお互いを知るためであれば，作ってよい病室の入口に患者の名前を記入してはいけない？ q 緊急援助や患者の取り違い防止のためならば，禁止する必要はない牧野二郎: 間違いだらけの個人情報保護，インプレスより 20 今後の予定  第１４回：７月２０日 q q  質問に答えますおさらい問題とその解説第１５回：７月２７日 q q 試験いつもの時間，いつもの場所で 21 まとめ  組織のセキュリティ q q セキュリティポリシー，個人情報保護だれのために実施する？  組織のため？  社会（対外的アピール）のため？  情報の持ち主のため？ 22