情報セキュリティ 第１３回：２００７年７月１３日（金）   

2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度， ISMS  コンピュータ犯罪を取り締まる法律  個人情報保護法 セキュリティポリシーとは，組織の情報資産を守るため の方針や基準を明文化したものである 情報セキュリティに関する規格・制度により，セキュリ ティの水準を客観的に評価できる 個人情報保護法は，企業・組織が，個人情報を適切に管 理・使用するための方針を定めた法律である

3 セキュリティポリシー セキュリティポリシーとは？  組織の情報資産を守るための方針や基準を明文化したもの あるとどうなる？  情報セキュリティレベルの向上  セキュリティ対策の費用対効果の向上  対外的な信頼性の向上 何を書く？  組織の長の，情報セキュリティに関する方針・考え  適切な情報セキュリティを確保・維持するために遵守すべ きルール

4 セキュリティポリシーの基本構成 情報 セキュリティ 基本方針 情報セキュリティ 対策基準 情報セキュリティ 対策実施手続き，規定類 詳細 概要 Procedure Standard Policy

5 セキュリティポリシーをだれが作る？どう書く？ セキュリティポリシー策定担当者の例  情報システム部門の責任者  総理部門・法務部門・監査部門の責任者  人事部門・人材育成部門の責任者  組織内システム管理者，組織内ネットワーク管理者 セキュリティポリシー策定の注意点  ポリシーを策定する範囲を明確にする  適用対象者を明確にする  目的や罰則を明確にする  運用を意識して，実現可能な内容にする 「パスワードは毎週変更すること」と書いて，みんな やって くれる？

6 情報セキュリティに関する規格・制度：背景 なぜ規格や制度が必要？  一体どこまでコストをかけて，セキュリティ対策を実施す ればいいのか？  自分の組織の情報セキュリティの水準は，同業者や世間一 般と比較してどの程度なのだろうか？  情報セキュリティの水準を客観的に評価するための基準や 制度があればいい！

7 規格・制度の例 ISO/IEC (JIS X 5070)  ＩＴ関連製品のセキュリティ品質を評価・認証 プライバシーマーク制度 (JIS Q 15001)  企業における個人情報保護措置の適切性を評価・認定 ISO/IEC (JIS Q 27002, ISMS)  情報セキュリティマネジメントの適切性を評価・認定  ISO/IEC (BS7799, JIS X 5080) の発展版 ISO 9000  品質マネジメントシステム ISO  環境マネジメントシステム JABEE  技術者教育プログラム

8 ISMS （ Information Security Management System ） 組織の情報マネジメント体制を維持管理していくための 管理文書・管理体制・実施記録等からなる一連の仕組み 情報セキュリティマネジメントのデファクトスタンダー ド Plan-Do-Check-Act (PDCA) のサイクル  Plan: 情報セキュリティ対策の計画・ 方針・目標などを策定  Do: 計画に基づいて対策を実施  Check: 対策の実施・運用状況を 点検・監視  Act: 対策の適切性について評価・ 是正処置 P D C A やりっぱなしで は いけない

9 ISMS 適合性評価制度 評価希望事業者の申請により，日本情報処理開発協会 （ JIPDEC ）が指定した審査登録機関が審査・認証する 予備審査（任意），文書審査，実地審査を受け，合格す れば認証される 認証後も，半年～１年ごとの継続審査，３年ごとの更新 審査がある

10 ISMS 認証を受けるために 「 ISMS 基本方針」は，事業目的を反映したものでなけ ればならない  借り物は不可 リスクアセスメントへの取り組みが不可欠  （セキュリティ）リスクとは，何かしらの損失を発生させ る事態や状況への可能性のこと． 管理策の有効性検証を行う  ウイルスや不正アクセスの被害回数などを監視・報告する 内部監査（組織自身による監査）も行う

11 コンピュータ犯罪を取り締まる法律 電子計算機損壊等業務妨害（刑法第２３４条の２）  コンピュータや電子データの破壊  コンピュータの動作環境面での妨害 電子計算機使用詐欺（刑法第２４６条の２）  財産権に関する不実の電子データを作成  財産権に関する偽の電子データを使用 不正アクセス行為の禁止等に関する法律（不正アクセス 防止法）  権限を持たない者がアクセス  そのようなアクセスを助長  他人のパスワードを勝手に公開，販売  具体的な被害を与えていなくても処罰の対象になる

12 個人情報保護法 目的（第１条）  個人の権利と利益の保護 個人情報は，データ化した企業・組織のものではなく， 個人情報の本人のもの  高度情報通信社会における個人情報の有用性の配慮 企業・組織が，個人情報を 適切に管理・使用するため の方針を定める 完全性 機密性 個人情報 可用性

13 個人情報の例 氏名 生年月日，住所，居所，電話番号，メールアドレス 会社における所属や職位 電話帳や刊行物などで公表されている個人情報 名刺  電子化するしないに関わらず対象  施行前に収集した情報も対象 個人情報でないもの  法人などの団体に関する情報（企業の財務情報など） 役員氏名などは個人情報になり得る  特定の個人を識別できない形にした統計情報

14 個人情報とプライバシーの違い 個人情報保護  事業者の個人情報に対する管理責任に関するもの プライバシーの保護  他人に知られたくないことを秘匿すること ハガキの表裏  ハガキの表（宛名）に書かれるのは個人情報  ハガキの裏（文面）に書かれるのはプライバシー

15 個人情報取扱事業者 事業活動を行っていれば，個人でも法人でも非営利団体 でも任意団体でも対象となる 個人情報取扱事業者に該当しないもの  国の機関，地方公共団体，独立行政法人，独立地方行政法 人 同じ役割の別の法律がすでに施行  個人情報の数が，過去６か月で５０００件以下の事業者 「法」には基づかないが，社会的な信頼を考えると，対 応しておくべきである

16 運用上の義務① 利用目的をはっきりさせ，本人の同意を得る．  利用目的は具体的に  利用目的・利用者が変更する場合も，事前に告知と同意を 適切な方法で個人情報を取得する．  子供から親の情報を聞き出すのは違法  名簿業者から買うのはもってのほか 個人情報は安全に管理する．  アクセス制限やデータの暗号化も  委託してもよいが，管理・監督の責任を負う  ノート PC や USB メモリに入れて，紛失することのないよ うに

17 運用上の義務② 本人からの依頼には適切に対処  開示・訂正・利用停止など  問い合わせ窓口を設置  本人確認も忘れずに 個人情報の破棄も細心の注意を払う．  紙 … シュレッダー，溶解処理  コンピュータ … 抹消用ソフトウェア，物理的な破壊 個人情報保護への取り組み  プライバシーポリシー・個人情報保護規定を制定し， PDCA のサイクルで運用  プライバシーマークの取得

18 オプトアウト 「あらかじめ同意を得る」という原則（オプトイン）の 例外規定 第三者提供におけるオプトアウト（第２３条第２項）  第三者への提供にあたり，あらかじめ本人に通知するか， 本人が容易に知り得る状態にしておき，本人の求めに応じ て第三者への提供を停止すること 目的・手段・対象のほか，本人の求めに応じて第三者へ の提供を停止することを明記しておく．

19 個人情報保護 運用上の注意（１） メールアドレスは個人情報にならない？  は個人情報になるかも 個人情報を暗号化しておけば，個人情報としての取り扱 い義務が免除される？  暗号化しても個人情報であることには変わりない 電話帳にある氏名や電話番号は個人情報ではない？  個人情報であるかどうかは，公にされているかとは関係な い 社会貢献だけを目的とする団体なら，個人情報取扱事業 者にならない？  営利であるか，法人であるかに関係なく，社会通念上「事 業」と認められる活動をしていれば，なり得る NEC ネクサソリューションズ : よくわかる「個人情報保護」，東洋経済新報社 より

20 個人情報保護 運用上の注意（２） 名刺は社員個人で収集管理するので，個人情報にあたら ない？  事業に関連して収集するので，会社の責任で管理する（個 人情報になり得る） 学校でクラス名簿を作ってはいけない？  生徒がお互いを知るためであれば，作ってよい 病室の入口に患者の名前を記入してはいけない？  緊急援助や患者の取り違い防止のためならば，禁止する必 要はない 牧野二郎 : 間違いだらけの個人情報保護，インプレス より

21 今後の予定 第１４回：７月２０日  質問に答えます  おさらい問題とその解説 第１５回：７月２７日  試験  いつもの時間，いつもの場所で

22 まとめ 組織のセキュリティ  セキュリティポリシー，個人情報保護  だれのために実施する？ 組織のため？ 社会（対外的アピール）のため？ 情報の持ち主のため？