q q 情報セキュリティ第１３回：２００５年７月８日（金） q q 本日学ぶこと  組織におけるセキュリティ q q q q セキュリティポリシー規格・制度コンピュータ犯罪を取り締まる法律個人情報保護法 2 セキュリティポリシー  セキュリティポリシーとは？ q  あるとどうなる？ q q q  組織の情報資産を守るための方針や基準を明文化したもの情報セキュリティレベルの向上セキュリティ対策の費用対効果の向上対外的な信頼性の向上何を書く？ q q 情報セキュリティに関する組織の長の方針・考え適切な情報セキュリティを確保・維持するために遵守すべきルール 3 セキュリティポリシーの基本構成概要 Policy Standard Procedure 情報セキュリティ基本方針情報セキュリティ対策基準情報セキュリティ対策実施手続き，規定類詳細 4 セキュリティポリシーをだれが作る？どう書く？  セキュリティポリシー策定担当者の例 q q q q  情報システム部門の責任者総理部門・法務部門・監査部門の責任者人事部門・人材育成部門の責任者組織内システム管理者，組織内ネットワーク管理者セキュリティポリシー策定の注意点 q q q q ポリシーを策定する範囲を明確にする適用対象者を明確にする目的や罰則を明確にする運用を意識して，実現可能な内容にする 5 情報セキュリティに関する規格・制度：背景  なぜ規格や制度が必要？ q q q 一体どこまでコストをかけて，セキュリティ対策を実施すればいいのか？自分の組織の情報セキュリティの水準は，同業者や世間一般と比較してどの程度なのだろうか？情報セキュリティの水準を客観的に評価するための基準や制度があればいい！ 6 規格・制度の例  ISO/IEC 15408 (JIS X 5070) q  プライバシーマーク制度 (JIS Q 15001) q  情報セキュリティマネジメントの適切性を評価・認定 ISO 9000 (ISO 9001:2000, JIS Q 9001:2000) q  企業における個人情報保護措置の適切性を評価・認定 ISO/IEC 17799 (BS7799, JIS X 5080, ISMS) q  ＩＴ関連製品のセキュリティ品質を評価・認証品質マネジメントシステム ISO 14001 (JIS Q 14001:1996) q 環境マネジメントシステム 7 ISMS （Information Security Management System）    組織の情報マネジメント体制を維持管理していくための管理文書・管理体制・実施記録等からなる一連の仕組み国内の情報セキュリティマネジメントのデファクトスタンダードやりっぱなしではいけない Plan-Do-Check-Actのサイクル q q q q Plan: 情報セキュリティ対策の計画・方針・目標などを策定 Do: 計画に基づいて対策を実施 Check: 対策の実施・運用状況を点検・監視 Act: 対策の適切性について評価・是正処置 P A D C 8 ISMS適合性評価制度    評価希望事業者の申請により，日本情報処理開発協会（JIPDEC）が指定した審査登録機関が審査・認証する予備審査（任意），文書審査，実地審査を受け，合格すれば認証される認証後も，半年～１年ごとの継続審査，３年ごとの更新審査がある 9 コンピュータ犯罪を取り締まる法律  電子計算機損壊等業務妨害（刑法第２３４条の２） q q  電子計算機使用詐欺（刑法第２４６条の２） q q  コンピュータや電子データの破壊コンピュータの動作環境面での妨害財産権に関する不実の電子データを作成財産権に関する偽の電子データを使用不正アクセス行為の禁止等に関する法律（不正アクセス防止法） q q q q 権限を持たない者がアクセスそのようなアクセスを助長他人のパスワードを勝手に公開，販売具体的な被害を与えていなくても処罰の対象になる 10 個人情報保護法  目的（第１条） q q 個人の権利と利益の保護  個人情報は，データ化した企業・組織のものではなく，個人情報の本人のもの高度情報通信社会における個人情報の有用性の配慮  企業・組織が，個人情報を適切に管理・使用するため可用性機密性の方針を定める個人情報完全性 11 個人情報の例      氏名生年月日，住所，居所，電話番号，メールアドレス会社における所属や職位電話帳や刊行物などで公表されている個人情報名刺 q q  電子化するしないに関わらず対象施行前に収集した情報も対象個人情報でないもの q q 法人などの団体に関する情報（企業の財務情報など）  役員氏名などは個人情報になり得る特定の個人を識別できない形にした統計情報 12 個人情報取扱事業者   事業活動を行っていれば，個人でも法人でも非営利団体でも任意団体でも対象となる個人情報取扱事業者に該当しないもの q q 国の機関，地方公共団体，独立行政法人，独立地方行政法人  同じ役割の別の法律がすでに施行個人情報の数が，過去６か月で５０００件以下の事業者  「法」には基づかないが，社会的な信頼を考えると，対応しておくべきである 13 運用上の義務①  利用目的をはっきりさせ，本人の同意を得る． q q  適切な方法で個人情報を取得する． q q  利用目的は具体的に利用目的・利用者が変更する場合も，事前に告知と同意を子供から親の情報を聞き出すのは違法名簿業者から買うのはもってのほか個人情報は安全に管理する． q q q アクセス制限やデータの暗号化も委託してもよいが，管理・監督の責任を負うノートPCやUSBメモリに入れて，紛失することのないように 14 運用上の義務②  本人からの依頼には適切に対処 q q q  個人情報の破棄も細心の注意を払う． q q  開示・訂正・利用停止など問い合わせ窓口を設置本人確認も忘れずに紙…シュレッダー，溶解処理コンピュータ…抹消用ソフトウェア，物理的な破壊個人情報保護への取り組み q q プライバシーポリシー・個人情報保護規定を制定し， PDCAのサイクルで運用プライバシーマークの取得 15 オプトアウト   「あらかじめ同意を得る」という原則（オプトイン）の例外規定第三者提供におけるオプトアウト（第２３条第２項） q 第三者への提供にあたり，あらかじめ本人に通知するか，本人が容易に知り得る状態にしておき，本人の求めに応じて第三者への提供を停止すること  目的・手段・対象のほか，本人の求めに応じて第三者への提供を停止することを明記しておく． 16 まとめ  組織のセキュリティ q q セキュリティポリシー，個人情報保護だれのために実施する？  組織のため？  社会（対外的アピール）のため？  情報の持ち主のため？ 17