情報セキュリティコンサルタントの提言
個人情報保護法に備える4つの課題
山口 毅治インターネット セキュリティ システムズ株式会社
プロフェッショナルサービス部シニアディレクター
BSI認証 BS7799スペシャリスト
2004/12/2
個人情報保護対策に向けて |
これまで、なぜ個人情報保護に向けた対策が未実施なのか、もしくは着手できないのかを述べてきた。ビジネスを行っていくうえで対策そのものが難しいことも、その対策には投資が必要であることも理解したうえで、個人情報漏えい防止に向けた最低限の対策について述べてみたい。
●現状把握の必要性
散在する個人情報とその内容、多種多様に加工した個人情報、複数の経路からアクセス可能な個人情報など、企業内に存在する個人情報の種類と使用目的を明確にすることで、当該個人情報に対するリスクを把握し、そのリスクに対して対策を講じることを推奨したい。また、すべてのリスクへの対策が難しいのであるならば、リスクの受容としての現状分析を実施する必要がある。
●セキュリティ監査(診断)の有効性
個人情報漏えい事故において問題なのは、容易に自社の情報が引き出せる、もしくはアクセス可能な環境が存在し、そのアクセス経路が複数ある場合が多いことである。
このような問題に対して、セキュリティ監査(診断)はアクセス経路を識別するうえにおいても有効である。また、そのアクセス経路上にあるサーバやネットワーク機器の脆弱性を調査することでアクセスコントロールをより強固なものにすることができるし、アクセス権限の見直しを行うことが可能となる。また、今後話題になるであろうSOA(企業改革法:Sarbanes-Oxley Act)の監査証跡としての有用性もある。
●継続的教育の必要性
個人情報漏えい事故の原因において、“モラルの問題”や“操作ミス”も挙げられる。日ごろ、慣れ親しんだ業務であっても“操作ミス”は発生し、その結果、情報漏えいにつながることも少なくはないだろう。
また、情報の重要度レベルを把握して業務を遂行している従業員はどのくらいいるのだろうか。就業規則に記述があり、不明なときは規則を読む従業員がどのくらいいるのだろう(せいぜい、入社後数カ月以内に読んで終わりではないか)。
しかし、個人情報保護法が施行されてからはそれでは済まなくなる。企業としての責任が問われてしまうからだ。個人情報取り扱いの規定を繰り返し教育・徹底することで従業員への気付きを促し、来るべき法施行に備える必要がある。
企業の社会的責任を見据えた対策を |
すでに個人情報保護法の施行をにらみ体制や規定の見直しを進めている企業には、「CSR(企業の社会的責任:Corporate Social Responsibility)」を見据えた対策を切にお願いしたい。自社の情報管理が確立されていても、従業員や外部委託業者にその意識がなく情報漏えいが発生した場合、当該企業における責任は回避できない。そのためには、外部機関による認証取得を1つのトリガーとし、「業務体」を包括する網羅的な個人情報管理体制の整備に取り組むとともに、2005年4月の個人情報保護法全面施行後、想定される新たな課題に対しても柔軟に対応できるよう、管理体制自体の継続的な「監理」が求められるといえる。
また、プライバシーマークなどの認証取得が難しい企業は、社内規定整備、従業員、派遣社員、外部委託業者への教育・啓発の実施を行い、意識の向上と規定の徹底に努める必要がある。さらに、技術的な側面からは定期的なセキュリティ監査(診断)やセキュリティシステムを構築することで、企業の持つリスクを低減すると同時に第三者認証と同等の品質を保持する必要がある。
いままでのコンサルティング経験から感じたことを書き綴ってみたが、その内容が企業における個人情報保護対策の一助になれば幸いである。
2/2 |
Index | |
個人情報保護法に備える4つの課題 | |
Page1 個人情報漏えい対策における課題 -セキュリティギャップ -プロジェクト体制と意思決定 -散在する情報と管理の難しさ -外部委託業者管理 |
|
Page2 個人情報保護対策に向けて 企業の社会的責任を見据えた対策を |
Profile | |
山口 毅治(やまぐち たけはる) インターネット セキュリティ システムズ株式会社 プロフェッショナルサービス部 シニアディレクター (BSI認証BS7799スペシャリスト) 同社におけるコンサルティング及び教育事業を統括、2004年9月1日に発表した「X-Force 個人情報漏洩対策統合ソリューション」の統括責任者。 同社コンサルティング部門でのコンサルティングサービスの確立と業務拡大に寄与、2001年にはセキュリティポリシー部隊の立上げを行った。 ともすれば上流と下流と言った専門分野に分かれがちであったコンサルティング事業において、前職のコンサルティング・ファームでの経験を活かし、上流コンサルティング〜現場レベルでの実装・運用までを幅広く網羅する、統合セキュリティコンサルティングサービスを実現、各顧客企業へ提供している。 インターネット セキュリティ システムズ プロフェッショナルサービス: http://www.isskk.co.jp/service/ProfessionalService.html |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|