Transcript PPT
q q 情報セキュリティ 第13回:2007年7月13日(金) q q 本日学ぶこと 組織におけるセキュリティ q q q q セキュリティポリシー 規格・制度,ISMS コンピュータ犯罪を取り締まる法律 個人情報保護法 セキュリティポリシーとは,組織の情報資産を守るための方 針や基準を明文化したものである 情報セキュリティに関する規格・制度により,セキュリティの 水準を客観的に評価できる 個人情報保護法は,企業・組織が,個人情報を適切に管理・ 使用するための方針を定めた法律である 2 セキュリティポリシー セキュリティポリシーとは? q あるとどうなる? q q q 組織の情報資産を守るための方針や基準を明文化したもの 情報セキュリティレベルの向上 セキュリティ対策の費用対効果の向上 対外的な信頼性の向上 何を書く? q q 組織の長の,情報セキュリティに関する方針・考え 適切な情報セキュリティを確保・維持するために遵守すべき ルール 3 セキュリティポリシーの基本構成 概要 Policy Standard Procedure 情報 セキュリティ 基本方針 情報セキュリティ 対策基準 情報セキュリティ 対策実施手続き,規定類 詳細 4 セキュリティポリシーをだれが作る?どう書く? セキュリティポリシー策定担当者の例 q q q q 情報システム部門の責任者 総理部門・法務部門・監査部門の責任者 人事部門・人材育成部門の責任者 組織内システム管理者,組織内ネットワーク管理者 セキュリティポリシー策定の注意点 q q q q ポリシーを策定する範囲を明確にする 適用対象者を明確にする 目的や罰則を明確にする 運用を意識して,実現可能な内容にする 「パスワードは毎週変更すること」と書いて,みんなやって くれる? 5 情報セキュリティに関する規格・制度:背景 なぜ規格や制度が必要? q q q 一体どこまでコストをかけて,セキュリティ対策を実施すればい いのか? 自分の組織の情報セキュリティの水準は,同業者や世間一般 と比較してどの程度なのだろうか? 情報セキュリティの水準を客観的に評価するための基準や制 度があればいい! 6 規格・制度の例 ISO/IEC 15408 (JIS X 5070) q プライバシーマーク制度 (JIS Q 15001) q q 品質マネジメントシステム ISO 14001 q 情報セキュリティマネジメントの適切性を評価・認定 ISO/IEC 17799 (BS7799, JIS X 5080)の発展版 ISO 9000 q 企業における個人情報保護措置の適切性を評価・認定 ISO/IEC 27001 (JIS Q 27002, ISMS) q IT関連製品のセキュリティ品質を評価・認証 環境マネジメントシステム JABEE q 技術者教育プログラム 7 ISMS (Information Security Management System) 組織の情報マネジメント体制を維持管理していくための管理 文書・管理体制・実施記録等からなる一連の仕組み 情報セキュリティマネジメントのデファクトスタンダード やりっぱなしでは Plan-Do-Check-Act (PDCA)のサイクル q q q q Plan: 情報セキュリティ対策の計画・ 方針・目標などを策定 Do: 計画に基づいて対策を実施 Check: 対策の実施・運用状況を 点検・監視 Act: 対策の適切性について評価・ 是正処置 いけない P A D C 8 ISMS適合性評価制度 評価希望事業者の申請により,日本情報処理開発協会 (JIPDEC)が指定した審査登録機関が審査・認証する 予備審査(任意),文書審査,実地審査を受け,合格すれば 認証される 認証後も,半年~1年ごとの継続審査,3年ごとの更新審査 がある 9 ISMS認証を受けるために 「ISMS基本方針」は,事業目的を反映したものでなければな らない q リスクアセスメントへの取り組みが不可欠 q (セキュリティ)リスクとは,何かしらの損失を発生させる事態や 状況への可能性のこと. 管理策の有効性検証を行う q 借り物は不可 ウイルスや不正アクセスの被害回数などを監視・報告する 内部監査(組織自身による監査)も行う 10 コンピュータ犯罪を取り締まる法律 電子計算機損壊等業務妨害(刑法第234条の2) q q 電子計算機使用詐欺(刑法第246条の2) q q コンピュータや電子データの破壊 コンピュータの動作環境面での妨害 財産権に関する不実の電子データを作成 財産権に関する偽の電子データを使用 不正アクセス行為の禁止等に関する法律(不正アクセス防 止法) q q q q 権限を持たない者がアクセス そのようなアクセスを助長 他人のパスワードを勝手に公開,販売 具体的な被害を与えていなくても処罰の対象になる 11 個人情報保護法 目的(第1条) q q 個人の権利と利益の保護 個人情報は,データ化した企業・組織のものではなく, 個人情報の本人のもの 高度情報通信社会における個人情報の有用性の配慮 企業・組織が,個人情報を 適切に管理・使用するため 可用性 機密性 の方針を定める 個人 情報 完全性 12 個人情報の例 氏名 生年月日,住所,居所,電話番号,メールアドレス 会社における所属や職位 電話帳や刊行物などで公表されている個人情報 名刺 q q 電子化するしないに関わらず対象 施行前に収集した情報も対象 個人情報でないもの q q 法人などの団体に関する情報(企業の財務情報など) 役員氏名などは個人情報になり得る 特定の個人を識別できない形にした統計情報 13 個人情報とプライバシーの違い 個人情報保護 q プライバシーの保護 q 事業者の個人情報に対する管理責任に関するもの 他人に知られたくないことを秘匿すること ハガキの表裏 q q ハガキの表(宛名)に書かれるのは個人情報 ハガキの裏(文面)に書かれるのはプライバシー 14 個人情報取扱事業者 事業活動を行っていれば,個人でも法人でも非営利団体で も任意団体でも対象となる 個人情報取扱事業者に該当しないもの q q 国の機関,地方公共団体,独立行政法人,独立地方行政法人 同じ役割の別の法律がすでに施行 個人情報の数が,過去6か月で5000件以下の事業者 「法」には基づかないが,社会的な信頼を考えると,対応して おくべきである 15 運用上の義務① 利用目的をはっきりさせ,本人の同意を得る. q q 適切な方法で個人情報を取得する. q q 利用目的は具体的に 利用目的・利用者が変更する場合も,事前に告知と同意を 子供から親の情報を聞き出すのは違法 名簿業者から買うのはもってのほか 個人情報は安全に管理する. q q q アクセス制限やデータの暗号化も 委託してもよいが,管理・監督の責任を負う ノートPCやUSBメモリに入れて,紛失することのないように 16 運用上の義務② 本人からの依頼には適切に対処 q q q 個人情報の破棄も細心の注意を払う. q q 開示・訂正・利用停止など 問い合わせ窓口を設置 本人確認も忘れずに 紙…シュレッダー,溶解処理 コンピュータ…抹消用ソフトウェア,物理的な破壊 個人情報保護への取り組み q q プライバシーポリシー・個人情報保護規定を制定し, PDCAのサイクルで運用 プライバシーマークの取得 17 オプトアウト 「あらかじめ同意を得る」という原則(オプトイン)の例外規定 第三者提供におけるオプトアウト(第23条第2項) q 第三者への提供にあたり,あらかじめ本人に通知するか,本人 が容易に知り得る状態にしておき,本人の求めに応じて第三者 への提供を停止すること 目的・手段・対象のほか,本人の求めに応じて第三者への 提供を停止することを明記しておく. 18 個人情報保護 運用上の注意(1) メールアドレスは個人情報にならない? q 個人情報を暗号化しておけば,個人情報としての取り扱い義 務が免除される? q 暗号化しても個人情報であることには変わりない 電話帳にある氏名や電話番号は個人情報ではない? q [email protected]は個人情報になるかも 個人情報であるかどうかは,公にされているかとは関係ない 社会貢献だけを目的とする団体なら,個人情報取扱事業者 にならない? q 営利であるか,法人であるかに関係なく,社会通念上「事業」と 認められる活動をしていれば,なり得る NECネクサソリューションズ: よくわかる「個人情報保護」,東洋経済新報社 より 19 個人情報保護 運用上の注意(2) 名刺は社員個人で収集管理するので,個人情報にあたらな い? q 学校でクラス名簿を作ってはいけない? q 事業に関連して収集するので,会社の責任で管理する(個人情 報になり得る) 生徒がお互いを知るためであれば,作ってよい 病室の入口に患者の名前を記入してはいけない? q 緊急援助や患者の取り違い防止のためならば,禁止する必要 はない 牧野二郎: 間違いだらけの個人情報保護,インプレス より 20 今後の予定 第14回:7月20日 q q 質問に答えます おさらい問題とその解説 第15回:7月27日 q q 試験 いつもの時間,いつもの場所で 21 まとめ 組織のセキュリティ q q セキュリティポリシー,個人情報保護 だれのために実施する? 組織のため? 社会(対外的アピール)のため? 情報の持ち主のため? 22