q
q
情報セキュリティ
第13回:2005年7月8日(金)
q
q
本日学ぶこと

組織におけるセキュリティ
q
q
q
q
セキュリティポリシー
規格・制度
コンピュータ犯罪を取り締まる法律
個人情報保護法
2
セキュリティポリシー

セキュリティポリシーとは?
q

あるとどうなる?
q
q
q

組織の情報資産を守るための方針や基準を明文化したもの
情報セキュリティレベルの向上
セキュリティ対策の費用対効果の向上
対外的な信頼性の向上
何を書く?
q
q
情報セキュリティに関する組織の長の方針・考え
適切な情報セキュリティを確保・維持するために遵守すべき
ルール
3
セキュリティポリシーの基本構成
概要
Policy
Standard
Procedure
情報
セキュリティ
基本方針
情報セキュリティ
対策基準
情報セキュリティ
対策実施手続き,規定類
詳細
4
セキュリティポリシーをだれが作る?どう書く?

セキュリティポリシー策定担当者の例
q
q
q
q

情報システム部門の責任者
総理部門・法務部門・監査部門の責任者
人事部門・人材育成部門の責任者
組織内システム管理者,組織内ネットワーク管理者
セキュリティポリシー策定の注意点
q
q
q
q
ポリシーを策定する範囲を明確にする
適用対象者を明確にする
目的や罰則を明確にする
運用を意識して,実現可能な内容にする
5
情報セキュリティに関する規格・制度:背景

なぜ規格や制度が必要?
q
q
q
一体どこまでコストをかけて,セキュリティ対策を実施すればい
いのか?
自分の組織の情報セキュリティの水準は,同業者や世間一般
と比較してどの程度なのだろうか?
情報セキュリティの水準を客観的に評価するための基準や制
度があればいい!
6
規格・制度の例

ISO/IEC 15408 (JIS X 5070)
q

プライバシーマーク制度 (JIS Q 15001)
q

情報セキュリティマネジメントの適切性を評価・認定
ISO 9000 (ISO 9001:2000, JIS Q 9001:2000)
q

企業における個人情報保護措置の適切性を評価・認定
ISO/IEC 17799 (BS7799, JIS X 5080, ISMS)
q

IT関連製品のセキュリティ品質を評価・認証
品質マネジメントシステム
ISO 14001 (JIS Q 14001:1996)
q
環境マネジメントシステム
7
ISMS (Information Security Management System)



組織の情報マネジメント体制を維持管理していくための管理
文書・管理体制・実施記録等からなる一連の仕組み
国内の情報セキュリティマネジメントのデファクトスタンダード
やりっぱなしではいけない
Plan-Do-Check-Actのサイクル
q
q
q
q
Plan: 情報セキュリティ対策の計画・
方針・目標などを策定
Do: 計画に基づいて対策を実施
Check: 対策の実施・運用状況を
点検・監視
Act: 対策の適切性について評価・
是正処置
P
A
D
C
8
ISMS適合性評価制度



評価希望事業者の申請により,日本情報処理開発協会
(JIPDEC)が指定した審査登録機関が審査・認証する
予備審査(任意),文書審査,実地審査を受け,合格すれば
認証される
認証後も,半年~1年ごとの継続審査,3年ごとの更新審査
がある
9
コンピュータ犯罪を取り締まる法律

電子計算機損壊等業務妨害(刑法第234条の2)
q
q

電子計算機使用詐欺(刑法第246条の2)
q
q

コンピュータや電子データの破壊
コンピュータの動作環境面での妨害
財産権に関する不実の電子データを作成
財産権に関する偽の電子データを使用
不正アクセス行為の禁止等に関する法律(不正アクセス防
止法)
q
q
q
q
権限を持たない者がアクセス
そのようなアクセスを助長
他人のパスワードを勝手に公開,販売
具体的な被害を与えていなくても処罰の対象になる
10
個人情報保護法

目的(第1条)
q
q
個人の権利と利益の保護
 個人情報は,データ化した企業・組織のものではなく,
個人情報の本人のもの
高度情報通信社会における個人情報の有用性の配慮
 企業・組織が,個人情報を
適切に管理・使用するため
可用性
機密性
の方針を定める
個人
情報
完全性
11
個人情報の例





氏名
生年月日,住所,居所,電話番号,メールアドレス
会社における所属や職位
電話帳や刊行物などで公表されている個人情報
名刺
q
q

電子化するしないに関わらず対象
施行前に収集した情報も対象
個人情報でないもの
q
q
法人などの団体に関する情報(企業の財務情報など)
 役員氏名などは個人情報になり得る
特定の個人を識別できない形にした統計情報
12
個人情報取扱事業者


事業活動を行っていれば,個人でも法人でも非営利団体で
も任意団体でも対象となる
個人情報取扱事業者に該当しないもの
q
q
国の機関,地方公共団体,独立行政法人,独立地方行政法人
 同じ役割の別の法律がすでに施行
個人情報の数が,過去6か月で5000件以下の事業者
 「法」には基づかないが,社会的な信頼を考えると,対応して
おくべきである
13
運用上の義務①

利用目的をはっきりさせ,本人の同意を得る.
q
q

適切な方法で個人情報を取得する.
q
q

利用目的は具体的に
利用目的・利用者が変更する場合も,事前に告知と同意を
子供から親の情報を聞き出すのは違法
名簿業者から買うのはもってのほか
個人情報は安全に管理する.
q
q
q
アクセス制限やデータの暗号化も
委託してもよいが,管理・監督の責任を負う
ノートPCやUSBメモリに入れて,紛失することのないように
14
運用上の義務②

本人からの依頼には適切に対処
q
q
q

個人情報の破棄も細心の注意を払う.
q
q

開示・訂正・利用停止など
問い合わせ窓口を設置
本人確認も忘れずに
紙…シュレッダー,溶解処理
コンピュータ…抹消用ソフトウェア,物理的な破壊
個人情報保護への取り組み
q
q
プライバシーポリシー・個人情報保護規定を制定し,
PDCAのサイクルで運用
プライバシーマークの取得
15
オプトアウト


「あらかじめ同意を得る」という原則(オプトイン)の例外規定
第三者提供におけるオプトアウト(第23条第2項)
q
第三者への提供にあたり,あらかじめ本人に通知するか,本人
が容易に知り得る状態にしておき,本人の求めに応じて第三者
への提供を停止すること
 目的・手段・対象のほか,本人の求めに応じて第三者への
提供を停止することを明記しておく.
16
まとめ

組織のセキュリティ
q
q
セキュリティポリシー,個人情報保護
だれのために実施する?
 組織のため?
 社会(対外的アピール)のため?
 情報の持ち主のため?
17
ダウンロード

PPT