170 likes | 277 Views
q. q. 情報セキュリティ. 第13回:2005年7月8日(金). q. q. 本日学ぶこと. 組織におけるセキュリティ セキュリティポリシー 規格・制度 コンピュータ犯罪を取り締まる法律 個人情報保護法. セキュリティポリシー. セキュリティポリシーとは? 組織の 情報資産を守る ための 方針や基準を明文化 したもの あるとどうなる? 情報セキュリティレベルの向上 セキュリティ対策の費用対効果の向上 対外的な信頼性の向上 何を書く? 情報セキュリティに関する組織の長の方針・考え 適切な情報セキュリティを確保・維持するために遵守すべきルール.
E N D
q q 情報セキュリティ 第13回:2005年7月8日(金) q q
本日学ぶこと • 組織におけるセキュリティ • セキュリティポリシー • 規格・制度 • コンピュータ犯罪を取り締まる法律 • 個人情報保護法
セキュリティポリシー • セキュリティポリシーとは? • 組織の情報資産を守るための方針や基準を明文化したもの • あるとどうなる? • 情報セキュリティレベルの向上 • セキュリティ対策の費用対効果の向上 • 対外的な信頼性の向上 • 何を書く? • 情報セキュリティに関する組織の長の方針・考え • 適切な情報セキュリティを確保・維持するために遵守すべきルール
セキュリティポリシーの基本構成 概要 Policy 情報セキュリティ基本方針 Standard 情報セキュリティ対策基準 Procedure 情報セキュリティ対策実施手続き,規定類 詳細
セキュリティポリシーをだれが作る?どう書く?セキュリティポリシーをだれが作る?どう書く? • セキュリティポリシー策定担当者の例 • 情報システム部門の責任者 • 総理部門・法務部門・監査部門の責任者 • 人事部門・人材育成部門の責任者 • 組織内システム管理者,組織内ネットワーク管理者 • セキュリティポリシー策定の注意点 • ポリシーを策定する範囲を明確にする • 適用対象者を明確にする • 目的や罰則を明確にする • 運用を意識して,実現可能な内容にする
情報セキュリティに関する規格・制度:背景 • なぜ規格や制度が必要? • 一体どこまでコストをかけて,セキュリティ対策を実施すればいいのか? • 自分の組織の情報セキュリティの水準は,同業者や世間一般と比較してどの程度なのだろうか? • 情報セキュリティの水準を客観的に評価するための基準や制度があればいい!
規格・制度の例 • ISO/IEC 15408 (JIS X 5070) • IT関連製品のセキュリティ品質を評価・認証 • プライバシーマーク制度 (JIS Q 15001) • 企業における個人情報保護措置の適切性を評価・認定 • ISO/IEC 17799 (BS7799, JIS X 5080, ISMS) • 情報セキュリティマネジメントの適切性を評価・認定 • ISO 9000 (ISO 9001:2000, JIS Q 9001:2000) • 品質マネジメントシステム • ISO 14001 (JIS Q 14001:1996) • 環境マネジメントシステム
P A D C ISMS (Information Security Management System) • 組織の情報マネジメント体制を維持管理していくための管理文書・管理体制・実施記録等からなる一連の仕組み • 国内の情報セキュリティマネジメントのデファクトスタンダード • Plan-Do-Check-Actのサイクル • Plan: 情報セキュリティ対策の計画・方針・目標などを策定 • Do: 計画に基づいて対策を実施 • Check: 対策の実施・運用状況を点検・監視 • Act: 対策の適切性について評価・是正処置 やりっぱなしではいけない
ISMS適合性評価制度 • 評価希望事業者の申請により,日本情報処理開発協会(JIPDEC)が指定した審査登録機関が審査・認証する • 予備審査(任意),文書審査,実地審査を受け,合格すれば認証される • 認証後も,半年~1年ごとの継続審査,3年ごとの更新審査がある
コンピュータ犯罪を取り締まる法律 • 電子計算機損壊等業務妨害(刑法第234条の2) • コンピュータや電子データの破壊 • コンピュータの動作環境面での妨害 • 電子計算機使用詐欺(刑法第246条の2) • 財産権に関する不実の電子データを作成 • 財産権に関する偽の電子データを使用 • 不正アクセス行為の禁止等に関する法律(不正アクセス防止法) • 権限を持たない者がアクセス • そのようなアクセスを助長 • 他人のパスワードを勝手に公開,販売 • 具体的な被害を与えていなくても処罰の対象になる
個人情報保護法 • 目的(第1条) • 個人の権利と利益の保護 • 個人情報は,データ化した企業・組織のものではなく,個人情報の本人のもの • 高度情報通信社会における個人情報の有用性の配慮 • 企業・組織が,個人情報を適切に管理・使用するための方針を定める 可用性 機密性 個人 情報 完全性
個人情報の例 • 氏名 • 生年月日,住所,居所,電話番号,メールアドレス • 会社における所属や職位 • 電話帳や刊行物などで公表されている個人情報 • 名刺 • 電子化するしないに関わらず対象 • 施行前に収集した情報も対象 • 個人情報でないもの • 法人などの団体に関する情報(企業の財務情報など) • 役員氏名などは個人情報になり得る • 特定の個人を識別できない形にした統計情報
個人情報取扱事業者 • 事業活動を行っていれば,個人でも法人でも非営利団体でも任意団体でも対象となる • 個人情報取扱事業者に該当しないもの • 国の機関,地方公共団体,独立行政法人,独立地方行政法人 • 同じ役割の別の法律がすでに施行 • 個人情報の数が,過去6か月で5000件以下の事業者 • 「法」には基づかないが,社会的な信頼を考えると,対応しておくべきである
運用上の義務① • 利用目的をはっきりさせ,本人の同意を得る. • 利用目的は具体的に • 利用目的・利用者が変更する場合も,事前に告知と同意を • 適切な方法で個人情報を取得する. • 子供から親の情報を聞き出すのは違法 • 名簿業者から買うのはもってのほか • 個人情報は安全に管理する. • アクセス制限やデータの暗号化も • 委託してもよいが,管理・監督の責任を負う • ノートPCやUSBメモリに入れて,紛失することのないように
運用上の義務② • 本人からの依頼には適切に対処 • 開示・訂正・利用停止など • 問い合わせ窓口を設置 • 本人確認も忘れずに • 個人情報の破棄も細心の注意を払う. • 紙…シュレッダー,溶解処理 • コンピュータ…抹消用ソフトウェア,物理的な破壊 • 個人情報保護への取り組み • プライバシーポリシー・個人情報保護規定を制定し,PDCAのサイクルで運用 • プライバシーマークの取得
オプトアウト • 「あらかじめ同意を得る」という原則(オプトイン)の例外規定 • 第三者提供におけるオプトアウト(第23条第2項) • 第三者への提供にあたり,あらかじめ本人に通知するか,本人が容易に知り得る状態にしておき,本人の求めに応じて第三者への提供を停止すること • 目的・手段・対象のほか,本人の求めに応じて第三者への提供を停止することを明記しておく.
まとめ • 組織のセキュリティ • セキュリティポリシー,個人情報保護 • だれのために実施する? • 組織のため? • 社会(対外的アピール)のため? • 情報の持ち主のため?