情報セキュリティ 第13回:2007年7月13日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度, ISMS  コンピュータ犯罪を取り締まる法律  個人情報保護法 セキュリティポリシーとは,組織の情報資産を守るため の方針や基準を明文化したものである.

Slides:



Advertisements
Similar presentations
学校における個人情報の取り扱い 京都市教育委員会総務課 企画広報係長 西田 良規. <個人情報保護の基本原則> ○ 利用目的を特定して個人情報を入手する ○ 個人情報を入手する際には本人の同意を得る ○ 利用目的を超えて情報を取り扱わない ○ 情報処理を外部委託する際はしっかり監督する ○ 本人から請求があれば,保有する個人情報を開.
Advertisements

情報セキュリティ 第13回:2005年7月8日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度  コンピュータ犯罪を取り締まる法律  個人情報保護法.
個人情報を守る学習指導 柏市立土南部小学校 教諭 西田 光昭
個人情報保護講座 目 次 第1章 はじめに 第2章 個人情報と保有個人情報 第3章 個人情報保護条例に規定されている県の義務 第4章 個人情報の漏えい 第5章 個人情報取扱事務の登録 第6章 保有の制限 第7章 個人情報の取得制限 第8章 利用及び提供の制限 第9章 安全性及び正確性の確保 第 10.
情報漏洩トラブル根絶に向けて 平成20年度 光風台小学校 情報主任 松﨑作成.  要点は6つ ウィニー 個人情報とは?パスワード 情報管理 ウィルスモラル・ルール.
2.校務情報の整理と管 理 6 校務の情報化. この項目のねらい 校務に関する情報の整理の考え方について理 解する。校務に関する情報の管理にかかる留 意点について理解する。
1 個人情報保護について 弁護士法人龍馬 弁護士 舟木 諒,板橋俊幸. 情報化社会 □ 個人情報保護法の概要 2003 年(平成 15 年) 5 月 23 日成立, 2005 年(平成 17 年) 4 月 1 日全面施行。 ◆成立の背景 プライバシー侵害 国際上の問題 住民基本台帳問題 個人情報漏洩問題.
1 1.制度の理解と住民説明 平成 28 年 1 月 個人番号の利用開始(申請者等に対し、各種申請書類へ個人番号の記入を求め る等) このため、窓口担当者を含め関係業務に関わる職員は、住民等からの問合せに対応できるよう、 番号制度への理解を深める必要がある。 ※ マイナンバーホームページ(内閣官房 HP.
オープン&ビッグデータ活用・地方創生推進機構 事務局 オープン&ビッグデータ活用・地方創生推進機構 自治体条例調査資料 平成26年度 第1回データガバナンス委員会資料 資料1-6.
オープン&ビッグデータ活用・地方創生推進機構 事務局 オープン&ビッグデータ活用・地方創生推進機構 民間保有データの有効活用に関する意見の とりまとめ 平成26年度 第2回データガバナンス委員会資料 資料4.
東北大学全学教育科目 情報基礎 A 担当:大学院 情報科学研究科 塩浦 昭義 1セメスター 木曜1,3講時 経済学部・法学部 第 1 回 オリエンテーション.
社会保障・税番号制度について 資料3. 10 番号制度の導入準備について(住基関連) 時期項目いつまでにやること 26 年度 から 既存住基システム改 修完了 26 年度末までに改修を完了させる。 平成 27 年 上半期 既存住基システム連 携テスト 機構が個人番号とすべ.
1 Copyright © Japanese Nursing Association. All Rights Reserved. Copyright 2016, Japanese Nursing Association. 日本看護協会 情報システム部 会員情報課 2016年7月29日 新会員情報管理(ナースシップ)
第6章 インターネットと法律(後編) [近代科学社刊]
個 人 情 報 保 護 法 情 報 社 会 と 情 報 倫 理 10/18/07.
情報セキュリティ読本 - IT時代の危機管理入門 -
学校ホームページの発信 情報化推進総合センター 指導主事  永井 賢次.
2014年6月男女平等月間 学習会資料 連合総合男女平等局
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ 西村 和夫 オープンキャンパス/模擬授業 2008年7月21日 駒澤大学 経営学部 教授 1
情報モラル.
マイナンバー対策 実演セミナー 1 2 第一部 13:30~14:30 2015年7月21日(火) 第二部 14:40~15:40
PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員
Q q 情報セキュリティ 第13回:2006年7月14日(金) q q.
 テーマ別解説 情報モラルの5つの領域 岐阜聖徳学園大学 教育学部 准教授 石原 一彦.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
大谷経営労務管理事務所のISO9001認証取得について
社会人基礎Ⅱ 第2回 業界・企業分析の基礎 法令の視点から.
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
個 人 情 報 保 護 法(2) 情報社会と情報倫理 第5回.
セキュリティ・チェックリスト解説 【5~10分】
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
マイナンバーは 企業のさまざまな場面で 取り扱われるため 企業の規模を問わず 情報漏えい対策は必須です!
情報セキュリティ - IT時代の危機管理入門 -
第6章 インターネットと法律(後編) [近代科学社刊]
GDPRの適用開始に向けて 個人情報保護委員会事務局.
ニッセン WEB広告での個人情報取り扱い審査内容について
情報モラル学習(教職員) これだけは知っておいてほしい情報モラル.
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
社会人基礎Ⅱ 第2回 業界・企業分析の基礎 法令の視点から.
マイナンバー制度導入に伴う システム対応について
情報セキュリティとは? 環境情報学部1年      卯野木邦宏.
情報セキュリティ - IT時代の危機管理入門 -
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
第2回 コンピュータ化システム 適正ガイドラインについて
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
「コンピュータと情報システム」 10章 システムの運用と管理
Japan Adult Expo 2014出展申込書 シート1
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
トレーニングの際はスライド, ノートの両方を確認してください
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
セキュリティ・チェックリスト 【5分】 セキュリティ全般について USBメモリ等でデータを持ち出す際について
2014年6月男女平等月間 学習会資料 連合総合男女平等局
2001.12.4 エルティ総合法律事務所所長弁護士 システム監査技術者 藤 谷 護 人
NPOマネジメント 第3回目 NPO と 法律.
平成24年4月から 業務管理体制整備の届出が必要となります。 休止・廃止届を事前届出制にするなどの制度改正が併せて行われました。
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
企業の知的財産を守るエビデンスソリューション
校内研修・導入編 【10分】 ① ② ☞研修例=研修の導入として10分程度,情報セキュリティに関する基本的な
総合講義B:インターネット社会の安全性 第12回 権利の保護
コミュニケーションと ネットワークを探索する
第一回 情報セキュリティ 05A1027 後藤航太.
トピック6 臨床におけるリスクの理解と マネジメント 1 1.
内部統制とは何か.
情報モラル06 情報 セキュリティ.
○ 大阪府におけるHACCP普及について S 大阪版 評価制度を設ける 大阪府の現状 大阪府の今後の方向性 《従来型基準》
個人情報に関する基本方針 基本方針 具体的な取り組み 相談体制
Presentation transcript:

情報セキュリティ 第13回:2007年7月13日(金)   

2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度, ISMS  コンピュータ犯罪を取り締まる法律  個人情報保護法 セキュリティポリシーとは,組織の情報資産を守るため の方針や基準を明文化したものである 情報セキュリティに関する規格・制度により,セキュリ ティの水準を客観的に評価できる 個人情報保護法は,企業・組織が,個人情報を適切に管 理・使用するための方針を定めた法律である

3 セキュリティポリシー セキュリティポリシーとは?  組織の情報資産を守るための方針や基準を明文化したもの あるとどうなる?  情報セキュリティレベルの向上  セキュリティ対策の費用対効果の向上  対外的な信頼性の向上 何を書く?  組織の長の,情報セキュリティに関する方針・考え  適切な情報セキュリティを確保・維持するために遵守すべ きルール

4 セキュリティポリシーの基本構成 情報 セキュリティ 基本方針 情報セキュリティ 対策基準 情報セキュリティ 対策実施手続き,規定類 詳細 概要 Procedure Standard Policy

5 セキュリティポリシーをだれが作る?どう書く? セキュリティポリシー策定担当者の例  情報システム部門の責任者  総理部門・法務部門・監査部門の責任者  人事部門・人材育成部門の責任者  組織内システム管理者,組織内ネットワーク管理者 セキュリティポリシー策定の注意点  ポリシーを策定する範囲を明確にする  適用対象者を明確にする  目的や罰則を明確にする  運用を意識して,実現可能な内容にする 「パスワードは毎週変更すること」と書いて,みんな やって くれる?

6 情報セキュリティに関する規格・制度:背景 なぜ規格や制度が必要?  一体どこまでコストをかけて,セキュリティ対策を実施す ればいいのか?  自分の組織の情報セキュリティの水準は,同業者や世間一 般と比較してどの程度なのだろうか?  情報セキュリティの水準を客観的に評価するための基準や 制度があればいい!

7 規格・制度の例 ISO/IEC (JIS X 5070)  IT関連製品のセキュリティ品質を評価・認証 プライバシーマーク制度 (JIS Q 15001)  企業における個人情報保護措置の適切性を評価・認定 ISO/IEC (JIS Q 27002, ISMS)  情報セキュリティマネジメントの適切性を評価・認定  ISO/IEC (BS7799, JIS X 5080) の発展版 ISO 9000  品質マネジメントシステム ISO  環境マネジメントシステム JABEE  技術者教育プログラム

8 ISMS ( Information Security Management System ) 組織の情報マネジメント体制を維持管理していくための 管理文書・管理体制・実施記録等からなる一連の仕組み 情報セキュリティマネジメントのデファクトスタンダー ド Plan-Do-Check-Act (PDCA) のサイクル  Plan: 情報セキュリティ対策の計画・ 方針・目標などを策定  Do: 計画に基づいて対策を実施  Check: 対策の実施・運用状況を 点検・監視  Act: 対策の適切性について評価・ 是正処置 P D C A やりっぱなしで は いけない

9 ISMS 適合性評価制度 評価希望事業者の申請により,日本情報処理開発協会 ( JIPDEC )が指定した審査登録機関が審査・認証する 予備審査(任意),文書審査,実地審査を受け,合格す れば認証される 認証後も,半年~1年ごとの継続審査,3年ごとの更新 審査がある

10 ISMS 認証を受けるために 「 ISMS 基本方針」は,事業目的を反映したものでなけ ればならない  借り物は不可 リスクアセスメントへの取り組みが不可欠  (セキュリティ)リスクとは,何かしらの損失を発生させ る事態や状況への可能性のこと. 管理策の有効性検証を行う  ウイルスや不正アクセスの被害回数などを監視・報告する 内部監査(組織自身による監査)も行う

11 コンピュータ犯罪を取り締まる法律 電子計算機損壊等業務妨害(刑法第234条の2)  コンピュータや電子データの破壊  コンピュータの動作環境面での妨害 電子計算機使用詐欺(刑法第246条の2)  財産権に関する不実の電子データを作成  財産権に関する偽の電子データを使用 不正アクセス行為の禁止等に関する法律(不正アクセス 防止法)  権限を持たない者がアクセス  そのようなアクセスを助長  他人のパスワードを勝手に公開,販売  具体的な被害を与えていなくても処罰の対象になる

12 個人情報保護法 目的(第1条)  個人の権利と利益の保護 個人情報は,データ化した企業・組織のものではなく, 個人情報の本人のもの  高度情報通信社会における個人情報の有用性の配慮 企業・組織が,個人情報を 適切に管理・使用するため の方針を定める 完全性 機密性 個人情報 可用性

13 個人情報の例 氏名 生年月日,住所,居所,電話番号,メールアドレス 会社における所属や職位 電話帳や刊行物などで公表されている個人情報 名刺  電子化するしないに関わらず対象  施行前に収集した情報も対象 個人情報でないもの  法人などの団体に関する情報(企業の財務情報など) 役員氏名などは個人情報になり得る  特定の個人を識別できない形にした統計情報

14 個人情報とプライバシーの違い 個人情報保護  事業者の個人情報に対する管理責任に関するもの プライバシーの保護  他人に知られたくないことを秘匿すること ハガキの表裏  ハガキの表(宛名)に書かれるのは個人情報  ハガキの裏(文面)に書かれるのはプライバシー

15 個人情報取扱事業者 事業活動を行っていれば,個人でも法人でも非営利団体 でも任意団体でも対象となる 個人情報取扱事業者に該当しないもの  国の機関,地方公共団体,独立行政法人,独立地方行政法 人 同じ役割の別の法律がすでに施行  個人情報の数が,過去6か月で5000件以下の事業者 「法」には基づかないが,社会的な信頼を考えると,対 応しておくべきである

16 運用上の義務① 利用目的をはっきりさせ,本人の同意を得る.  利用目的は具体的に  利用目的・利用者が変更する場合も,事前に告知と同意を 適切な方法で個人情報を取得する.  子供から親の情報を聞き出すのは違法  名簿業者から買うのはもってのほか 個人情報は安全に管理する.  アクセス制限やデータの暗号化も  委託してもよいが,管理・監督の責任を負う  ノート PC や USB メモリに入れて,紛失することのないよ うに

17 運用上の義務② 本人からの依頼には適切に対処  開示・訂正・利用停止など  問い合わせ窓口を設置  本人確認も忘れずに 個人情報の破棄も細心の注意を払う.  紙 … シュレッダー,溶解処理  コンピュータ … 抹消用ソフトウェア,物理的な破壊 個人情報保護への取り組み  プライバシーポリシー・個人情報保護規定を制定し, PDCA のサイクルで運用  プライバシーマークの取得

18 オプトアウト 「あらかじめ同意を得る」という原則(オプトイン)の 例外規定 第三者提供におけるオプトアウト(第23条第2項)  第三者への提供にあたり,あらかじめ本人に通知するか, 本人が容易に知り得る状態にしておき,本人の求めに応じ て第三者への提供を停止すること 目的・手段・対象のほか,本人の求めに応じて第三者へ の提供を停止することを明記しておく.

19 個人情報保護 運用上の注意(1) メールアドレスは個人情報にならない?  は個人情報になるかも 個人情報を暗号化しておけば,個人情報としての取り扱 い義務が免除される?  暗号化しても個人情報であることには変わりない 電話帳にある氏名や電話番号は個人情報ではない?  個人情報であるかどうかは,公にされているかとは関係な い 社会貢献だけを目的とする団体なら,個人情報取扱事業 者にならない?  営利であるか,法人であるかに関係なく,社会通念上「事 業」と認められる活動をしていれば,なり得る NEC ネクサソリューションズ : よくわかる「個人情報保護」,東洋経済新報社 より

20 個人情報保護 運用上の注意(2) 名刺は社員個人で収集管理するので,個人情報にあたら ない?  事業に関連して収集するので,会社の責任で管理する(個 人情報になり得る) 学校でクラス名簿を作ってはいけない?  生徒がお互いを知るためであれば,作ってよい 病室の入口に患者の名前を記入してはいけない?  緊急援助や患者の取り違い防止のためならば,禁止する必 要はない 牧野二郎 : 間違いだらけの個人情報保護,インプレス より

21 今後の予定 第14回:7月20日  質問に答えます  おさらい問題とその解説 第15回:7月27日  試験  いつもの時間,いつもの場所で

22 まとめ 組織のセキュリティ  セキュリティポリシー,個人情報保護  だれのために実施する? 組織のため? 社会(対外的アピール)のため? 情報の持ち主のため?