情報セキュリティ - IT時代の危機管理入門 -

Slides:



Advertisements
Similar presentations
4/ 17の予定 1.ネチケット、セキュリティについて 2.電子メールについて 3. Web メールの設定・利用の仕方 (ポータルサイトの利用) 4.情報処理関連の資格(IC3, MOS, IT パスポート, 基本情報処理等)
Advertisements

情報セキュリティ 第13回:2005年7月8日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度  コンピュータ犯罪を取り締まる法律  個人情報保護法.
私情協 授業情報技術講習会 個人情報の取扱い 慶應義塾大学理工学部 山本 喜一 授業情報技術講習会 2 個人情報の定義 JIS Q : 1999 個人情報とは、個人に関する情報であって、 当該情報に含まれる氏名、生年月日その他の 記述、または個人別に付けられた番号、記号.
個人情報保護講座 目 次 第1章 はじめに 第2章 個人情報と保有個人情報 第3章 個人情報保護条例に規定されている県の義務 第4章 個人情報の漏えい 第5章 個人情報取扱事務の登録 第6章 保有の制限 第7章 個人情報の取得制限 第8章 利用及び提供の制限 第9章 安全性及び正確性の確保 第 10.
1 個人情報保護について 弁護士法人龍馬 弁護士 舟木 諒,板橋俊幸. 情報化社会 □ 個人情報保護法の概要 2003 年(平成 15 年) 5 月 23 日成立, 2005 年(平成 17 年) 4 月 1 日全面施行。 ◆成立の背景 プライバシー侵害 国際上の問題 住民基本台帳問題 個人情報漏洩問題.
1 1.制度の理解と住民説明 平成 28 年 1 月 個人番号の利用開始(申請者等に対し、各種申請書類へ個人番号の記入を求め る等) このため、窓口担当者を含め関係業務に関わる職員は、住民等からの問合せに対応できるよう、 番号制度への理解を深める必要がある。 ※ マイナンバーホームページ(内閣官房 HP.
東北大学全学教育科目 情報基礎 A 担当:大学院 情報科学研究科 塩浦 昭義 1セメスター 木曜1,3講時 経済学部・法学部 第 1 回 オリエンテーション.
電子社会設計論 第12回 Electronic social design theory 中 貴俊.
サイバーセキュリティ基礎論 ― IT 社会を生き抜くために ― 法律を知る.  サイバーセキュリティ基本法  刑法  不正アクセス行為の禁止等に関する法律  著作権法  電子署名及び認証業務に関する法律  特定電子メールの送信の適正化等に関する法律  有線電気通信法  電波法  個人情報保護法.
情報モラルと著作権 道徳・特別活動・総合的な学習の時間. 目次  情報モラル 情報モラル  著作権 著作権  関連する Web ページの紹介 関連する Web ページの紹介.
情報セキュリティ 第13回:2007年7月13日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度, ISMS  コンピュータ犯罪を取り締まる法律  個人情報保護法 セキュリティポリシーとは,組織の情報資産を守るため の方針や基準を明文化したものである.
1 Copyright © Japanese Nursing Association. All Rights Reserved. Copyright 2016, Japanese Nursing Association. 日本看護協会 情報システム部 会員情報課 2016年7月29日 新会員情報管理(ナースシップ)
第6章 インターネットと法律(後編) [近代科学社刊]
  IronKey セキュアデバイスWEBサイト 
情報セキュリティ読本 - IT時代の危機管理入門 -
秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然として知られていないもの(不2Ⅳ)
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
電子署名及び認証業務に関する法律 (概要)
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
2016年度秋期 情報セキュリティマネジメント試験 対策講座のご案内
日EC・日シンガポール相互承認制度の御紹介
マイナンバー対策 実演セミナー 1 2 第一部 13:30~14:30 2015年7月21日(火) 第二部 14:40~15:40
CADシステムの運用と 情報セキュリティ 電子制御設計製図Ⅰ   2013年5月29日 Ⅱ限目.
Q q 情報セキュリティ 第13回:2006年7月14日(金) q q.
 テーマ別解説 情報モラルの5つの領域 岐阜聖徳学園大学 教育学部 准教授 石原 一彦.
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
サイバー犯罪と捜査 ~なぜ犯人は捕まったのか~
著作権.
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
インターネット社会を生きるための 情報倫理
第5章 情報セキュリティ(前半) [近代科学社刊]
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
情報関連教室オリエンテーション 情報関連教室 オリエンテーション C000.
個 人 情 報 保 護 法(2) 情報社会と情報倫理 第5回.
第6章 インターネットと法律(前編) [近代科学社刊]
セキュリティ・チェックリスト解説 【5~10分】
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
情報セキュリティ - IT時代の危機管理入門 -
【第1回】マルチメディアとは① 画像の処理 J000
第6章 インターネットと法律(後編) [近代科学社刊]
ご提案資料 xxxxx株式会社 作成日:2016.xx.xx.
GDPRの適用開始に向けて 個人情報保護委員会事務局.
ニッセン WEB広告での個人情報取り扱い審査内容について
情報モラル学習(教職員) これだけは知っておいてほしい情報モラル.
情報セキュリティとは? 環境情報学部1年      卯野木邦宏.
情報セキュリティ - IT時代の危機管理入門 -
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
国際的な情報セキュリティへの取り組み 各国の対応とサイバー犯罪条約 インターネット時代のセキュリティ管理.
「コンピュータと情報システム」 10章 システムの運用と管理
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
2001.12.4 エルティ総合法律事務所所長弁護士 システム監査技術者 藤 谷 護 人
平成24年4月から 業務管理体制整備の届出が必要となります。 休止・廃止届を事前届出制にするなどの制度改正が併せて行われました。
サイバーセキュリティと法律.
情報セキュリティ - IT時代の危機管理入門 -
社会と情報 情報社会の課題と情報モラル 情報化が社会に及ぼす影響と課題
総合講義B:インターネット社会の安全性 第12回 権利の保護
コミュニケーションと ネットワークを探索する
第一回 情報セキュリティ 05A1027 後藤航太.
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
情報社会の安全と情報技術.
ご提案資料 xxxxx株式会社 作成日:2016.xx.xx.
情報スキル入門 第8週 情報倫理.
資料2 2 政府標準利用規約(1.0版)の見直し.
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
情報モラル06 情報 セキュリティ.
○ 大阪府におけるHACCP普及について S 大阪版 評価制度を設ける 大阪府の現状 大阪府の今後の方向性 《従来型基準》
個人情報に関する基本方針 基本方針 具体的な取り組み 相談体制
Presentation transcript:

情報セキュリティ - IT時代の危機管理入門 - (第6章 情報セキュリティ関連の法規と制度) 株式会社エージェント BPO通信事業本部 井上 龍児

第6章 情報セキュリティ関連の法規と制度 情報セキュリティの国際標準 情報セキュリティに関する法律 知的財産を守る法律 迷惑メール関連法 第6章 情報セキュリティ関連の法規と制度 情報セキュリティの国際標準 情報セキュリティに関する法律 知的財産を守る法律 迷惑メール関連法 情報セキュリティ関連制度

1. 情報セキュリティの国際標準 1) 情報セキュリティマネジメントの国際標準ISO/IEC 27000シリーズ 2) セキュリティ製品の評価認証のための国際標準 ISO/IEC 15408 3) OECD情報セキュリティガイドライン

1) ISO/IEC 27000 シリーズ ・ 情報セキュリティマネジメントの国際標準 ・ISO/IEC 27000: 概要と用語 ・ISO/IEC 27001: 要求事項 ・ISO/IEC 27002: 実践のための規範 ・ISO/IEC 27003: 実装に関する手引き ・ISO/IEC 27004: 測定に関する手引き ・ISO/IEC 27005: リスクマネジメント ・etc…

2) ISO/IEC15408 ・ セキュリティ製品の評価認証のための国際標準 ・ 機能要件と保証要件の集大成 ・ 7段階の評価保証レベル(EAL)を定義 ・ ISO/IEC15408→(JIS化)→JIS X 5070 ・ ISO/IEC15408(CC)に基づいて「ITセキュリティ評 価及び 認証制度」が運用される CC: Common Criteria ISO/IEC 15408を制定するもとになった共通基準

3) OECD情報セキュリティガイドライン ・ 1992年、OECD(経済協力開発機構)により制定 ・ 5年ごとに見直し ・ 2002年には、米国同時多発テロの影響を受け、   全面的に改正 参考)OECD 情報セキュリティガイドライン見直しに関する調査 http://www.ipa.go.jp/security/fy14/reports/oecd/guideline.html

2. 情報セキュリティに関する法律 1) 刑法 2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) 3) 電子署名及び認証業務に関する法律 (電子署名法) 4) 個人情報の保護に関する法律 (個人情報保護法)

1) 刑法 ・ 2011年の改正で、コンピュータ・ウイルスに関する 罪が追加 ・電子計算機損壊等業務妨害罪 ・電磁的記録不正作出及び供用罪 ・ 2011年の改正で、コンピュータ・ウイルスに関する 罪が追加 ・電子計算機損壊等業務妨害罪 ・電磁的記録不正作出及び供用罪 ・電子計算機使用詐欺罪 ・不正指令電磁的記録に関する罪  ・ コンピュータやデータの破壊や改ざんには 刑事罰が科せられる

2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) ・ 電気通信回線を通じて行われる不正アクセス犯罪を 防止することが目的 ・ 不正アクセス行為と不正アクセスを助長する行為を 処罰 【不正アクセス行為】 ・他人のIDやパスワードを無断使用し不正アクセスす る ・直接侵入攻撃 ・間接侵入攻撃 【不正アクセスを助長する行為】 ・他人のパスワードを許可無く他人に教える 参考)不正アクセス行為の禁止等に関する法律    http://www.ipa.go.jp/security/ciadr/law199908.html 

3) 電子署名及び認証業務に関する法律 (電子署名法) ・ 電子署名(ディジタル署名)に署名や押印と同じ効 力を 持たせることが目的 ・ 電子署名により、電子政府や電子商取引における 情報の真正性を証明 ・ 電子署名と電子証明書を規定し、さらに、 認証業務や認証事業者についても規定 参考)電子署名、認証関連 http://www.meti.go.jp/policy/netsecurity/digitalsign.htm 

4) 個人情報の保護に関する法律 (個人情報保護法) (1) ・ 個人情報を取り扱う事業者の遵守すべき義務を規定 ・ 個人情報 氏名、生年月日その他の記述により特定の個人の識 別が可能な情報 ・ 本人の了解なしに個人情報の流用、売買、 譲渡することを規制

4) 個人情報の保護に関する法律 (個人情報保護法) (2) ・ 個人情報保護の基本原則を規定 ・適正な方法による取得 ・収集目的の範囲内での利用 ・漏えいを防ぐためのセキュリティ対策を実施する 等 ・ 2005年4月より本格施行 参考) 消費者庁 個人情報保護に関するページ      http://www.caa.go.jp/seikatsu/kojin/index.html      

4) 個人情報の保護に関する法律 (個人情報保護法) (3) 個人情報保護の基本原則 利用目的による制限 適正な方法による取得 内容の正確性確保 安全管理措置の実施 透明性の確保

3. 知的財産を守る法律 1) 著作権法 2) 不正競争防止法

1) 著作権法 ・ 創造性のある思想や表現などの著作物や著作者を 保護することが目的 ・ 著作者人格権と著作財産権に分けられる ・著作者人格権 公表権、氏名表示権、同一性保持権 ・著作財産権 複製権、上演権、公衆送信権、口述権など

2) 不正競争防止法 ・ トレードシークレットを保護することが目的 ・トレードシークレット 著作権や商標権では保護されない、企業の重要な情 報であるノウハウや営業秘密等 ・ 第三者がトレードシークレットを不正入手したり、 不正使用することに対し、差止請求権、損害賠償請求権 が認められる

4. 迷惑メール関連法 2002年7月1日に施行された次の2つの法律を迷惑メール関連 法という 特定商取引に関する法律(改正法) 特定電子メールの送信の適正化等に関する法律 迷惑メール(スパムメール)の規制が目的 2005年の改正→特定電子メールの範囲が拡大され、架空アド レス宛の送信が禁止 2008年の改正→あらかじめ同意したものに対してのみ送信が 認められる「オプトイン方式」が導入 規定違反のメールを受信した際の連絡先 一般財団法人日本データ通信協会 (http://www.dekyo.or.jp) 財団法人日本産業協会  (http://www.nissankyo.or.jp)

5. 情報セキュリティ関連制度 1) ISMS適合性評価制度 2) ITセキュリティ評価及び認証制度 3) 暗号モジュール試験及び認証制度 4) プライバシーマーク制度 5) 情報セキュリティ監査制度 6) コンピュータウイルス及び不正アクセスに関する届 出制度 7) 脆弱性関連情報に関する届出制度

1) ISMS適合性評価制度 ・ 組織の情報セキュリティマネジメントシステム (ISMS)が 基準に適合しているかどうかを第三者機関が客観 的に 評価する制度 ・ 認証基準は、JIS Q 27001(ISO/IEC 27001) (第6章 p.108参照) 参考) ISMS適合性評価制度       http://www.isms.jipdec.jp/isms.html

2) ITセキュリティ評価及び認証制度 ISO/IEC 15408 に基づき、セキュリティ製品やシステムを 評価・認証する制度。認証機関はIPA http://www.ipa.go.jp/security/jisec

3) 暗号モジュール試験及び認証制度 ・ 暗号モジュールが、JIS X 19790 に示されたセキュ リティ   要求事項に適合しているかどうかを第三者機関が客 観的    に試験・認証する制度  参考) CRYPTREC      http://cryptrec.go.jp/

4) プライバシーマーク制度 ・ 個人情報保護の取り組みが適切であると認められた 事業者に、それを認定するプライバシーマークの使 用を 許可する制度 ・ 「 JIS Q 15001 個人情報保護に関するマネジメン ト システムー要求事項 」に適合しているかどうかを検 証 参考) プライバシーマーク制度      http://privacymark.jp/

5) 情報セキュリティ監査制度 ・ 監査人が、組織の情報セキュリティ対策の状況を客 観的に 検証・評価し、保証及び助言を行う制度 ・ 情報セキュリティ管理基準と情報セキュリティ監査 基準が 策定されている ・ 情報セキュリティ監査サービスを行う企業等を登録 する 情報セキュリティ監査企業台帳がある 参考)情報セキュリティ監査制度     http://www.meti.go.jp/policy/netsecurity/audit.htm 

6) コンピュータウイルス及び不正アクセスに 関する届出制度 ・ コンピュータや不正アクセスの届出を受け付ける制 度 ・ コンピュータウイルス対策基準およびコンピュータ 不正 アクセス対策基準に基づく(経済産業省制定) ・ 届出の受付機関としてIPAが指定されている 参考)コンピュータウイルスの届出     http://www.ipa.go.jp/security/outline/todokede-j.html      不正アクセスの届出     http://www.ipa.go.jp/security/ciadr/

7) 脆弱性関連情報に関する届出制度 ・ ソフトウェア製品やWebアプリケーションの 脆弱性に関する情報の届出を受け付ける制度 ・ ソフトウェア等脆弱性関連情報取扱基準に基 づく (経済産業省制定) ・ 届出の受付機関としてIPAが指定されている ・ 調整機関としてJPCERT/CCが指定されてい る 参考)脆弱性関連情報の届出     http://www.ipa.go.jp/security/vuln/report/