|
個人情報保護法
2003年5月30日に公布、2005年4月1日に施行された、個人情報取扱事業者(5000名以上の個人データを保有する企業)に対して、個人情報の不正な取得の禁止や、本人同意を得ずに行う第三者への提供の禁止、個人情報漏えいの防止、苦情への迅速な対応が義務づけられた法律。参考はこちら
OECD8原則
OECD(経済協力開発機構)は、1980年に「プライバシー保護と個人データの国際流通についての勧告」を採択し、その中に「OECD8原則」と呼ばれる8つの原則を示し、各国間での個人情報に関する法制化のばらつきを是正する統一案を示しました。OECD8原則は、目的明確化の原則、利用制限の原則、収集制限の原則、データ内容の原則、安全保護の原則、公開の原則、個人参加の原則、責任の原則の8つからなっています。
日本ではOECD8原則の勧告から20年以上遅れた2003年に、OECD8原則を包含する「個人情報保護法」を制定、2005年から完全施行されました。また、1999年には「個人情報保護に関するコンプライアンスプログラムの要求事項(JIS Q 15001)」が制定され、プライバシーマークもこのガイドラインに準じています。
セキュリティポリシー
事業者全体の情報セキュリティに関する基本方針。セキュリティ対策基準や個別具体的な実施手順などを含む場合が多い。参考はこちら
プライバシーマーク
事業者が個人情報を適切に取扱っているかどうか第三者である財団法人日本情報処理開発協会(JIPDEC)または指定機関が審査を行い、審査が通ると「プライバシーマーク」がJIPDECから付与されます。
1998年4月1日から始まった制度であり、個人情報保護に対する取り組みが一定レベルに達していると第三者が評価したことになります。
ISMS
事業者が自身の情報セキュリティを確保・維持するために、ルール(セキュリティポリシー)に基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する枠組みのこと。ISMSに求められる範囲は、組織全体に渡ってセキュリティ管理体制を構築・監査し、リスクマネジメントを実施することである。
ISMSをその組織が保持しているかどうかを第三者が認定する制度として「ISMS適合性評価制度」と呼ばれる評価認定制度がある。現在、日本情報処理開発協会(JIPDEC)を中心に2002年より正式運用されている。参考はこちら
BS7799
BSI(英国規格協会)によって規定される、企業・団体向けの情報システムセキュリティ管理のガイドラインのことを指す。特にセキュリティの運用管理に重点が置かれている点が特徴。BS7799-1は情報セキュリティ管理実施基準であり、ISO/IEC17799として発行された。BS7799-2は情報セキュリティ管理システム仕様であり、日本ではISMS適合性評価制度として派生している。
コンプライアンスプログラム
事業者が自ら保有する個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメントシステムのことで、JIS Q 15001として規格化されています。
「PDCAサイクル」を実現することによって、コンプライアンス(法令順守など)の実践を目指しています。
JIS Q 15001
正式名称を「個人情報保護に関するコンプライアンスプログラムの要求事項」と言い、1999年に制定されたJIS規格で、日本における個人情報保護マネジメントシステムのスタンダードになっていると同時に、プライバシーマークの認証基準でもあります。JIS Q 15001 では、まず最初に個人情報保護方針を定め、Plan(計画)、Do(実施運用)、Check(監査)、Act(事業者の代表者による見直し)というマネジメントサイクルを回すことでセキュリティを継続的に向上させていく仕組みになっています。
リスクアセスメント
リスクアセスメントとは、情報資産に対して、その情報がもつ重要度、発生確率、影響度などを評価・分析し、情報資産が内包するリスクを測定する行動を指します。
CIA
情報セキュリティの3大基本理念であるConfidentiality(機密性)、Integrity(完全性)、Availability(可用性)の略。情報セキュリティを推進または評価する際に、これら3つの視点から検討し均等に対策を施すことで全体としてセキュアな情報システムの構築をしていくための指針である。
リスク対応計画
リスク対応計画は“実行計画”のことです。リスクアセスメントの結果、リスク対応が必要と判断したリスクに関し、選択した管理策をどのように実施していくのかを明確にしたものです。
内部監査
内部監査とは、組織が自身の組織のマネジメントシステムが有効に運営されていることを確認する手段です。多くのマネジメントシステム規格では、規格要求事項として義務付けられており、マネジメントシステムの基本原則の中でも特に重要な事項の一つです。内部監査の目的には、日常手順の浸透を確認、手順のレベルアップ、業務効率化、従業員の自覚向上などがあります。内部監査に戦略的に取り組むことで、組織のパフォーマンスチェック、改善につなげることができます。
ISO27001(ISMS)審査指摘事項
指摘事項とは、「構築したマネジメントシステムが規格の要求事項を満たしていない」「マネジメントシステムの運用において、規格の要求事項を満たしていない」「構築したマネジメントシステムがきちんと運用されていない」などの場合に指摘される事項です。参考はこちら
ISO27001(ISMS)是正処置
是正処置とは、マネジメントシステムの改善により、情報への不正アクセス、情報の 紛失、破壊、改ざん及び漏洩などの予防、再発防止が図られるものと定義しています。
ISO27001
ISMSが2005年中にISO化される見込みで、ISO27001となります。またISMSのベストプラクティスであるISO17799も2005年版が発行され、内容的にISO27001と同期が取られます。しかし実際に審査認証されるのは審査機関の準備もあり、来年春以降でしょうから、それまでの間はISMSが併用されます。
現在ISMSで準備をされている方は特に心配なく従来通りの準備を進めて、実際の審査タイミングでどちらを受審するかを決めると良いと思います。というのはISO27001はISMSと大きく変わるものではありません。表面的には章立てや表現が変わっていますが、内容的には従来のISMSが全て含んでいたもので、むしろ従来判りにくいところが明解になったと捉えると良いでしょう。
また付属書「詳細管理策」で従来10章立てだったものが、「情報セキュリティ事件事故管理」という新しい章が増えて11章立てになり、詳細管理策も合計133に増えました。しかしこれも従来から盛り込まれた考えで目新しい物ではありません。
この辺りの情報は随時アップデートしていきます。
ISMSマニュアル
ISMS文書の中で最上位に位置する文書で情報セキュリティマネジメントに関する方針と概要を記載すると共に手順書などの下位文書の参照が出来るようにしたもの。
ISO27001(ISMS)文書
適用規格が要求する文書および組織が決めたISMSのための全ての文書(これらの文書には記録を含められている)
ISO27001(ISMS)審査
組織のISMSが適用規格に適合しているか否かおよび当該ISMSの下で要求される補足文書が当該ISMSに適合しているか否かを判定するために第三者機関が実行する行為。
ISO27001(ISMS)予備審査(事前打合会)
受審組織が構築しているISMSの適用規格への適合性を予め把握するため受審組織の要望によって審査契約以降に審査プロセスの一環として実施する予備的な文書、現地審査。
ISO27001(ISMS)文書審査
組織が作成したISMSマニュアルのISMS規格の要求事項への適合性の審査
ISO27001(ISMS)現地審査
組織が構築し運用・管理しているISMSの規格主要素への適合性に関する現地で行う審査で、リスクアセスメント結果に基づき、選択された主要な詳細管理策の手順及び実際の運用状況等の確認を行うための審査。
ISO27001(ISMS)認証合否判定
認証合否の最終判定は、審査機関内の、認証登録判定会議(審査期間により名称は変わる)により行われる。
ISO27001(ISMS)不適合
審査の中で発見された事項が下記の場合は「不適合」となります。
・組織のISMSがマネジメントシステムとして確立していない
・ISMS認証基準の必須条件に対する欠落があるか、または実施、維持されていない
・リスク評価のプロセスに大きい問題がある
ISO27001(ISMS)登録証
ISMSが適用規格に適合し、そのISMSが組織によって適切に遵守されている場合に、審査期間が発行する書面。
ISO27001(ISMS)維持審査
登録証の有効期間内に実施するISMS適用規格への適合性および継続的向上を含む遵守状態の確認のための定期審査
ISO27001(ISMS)更新審査
初回審査登録の3年後に登録の更新を行うための審査。
ISMSの適用範囲の決定
ISMSの場合、会社全体でも、一つの事業部門でもかまいません。また複数の部門にまたがった横断的なマネジメントシステムを一つの組織体として適用範囲にすることもできます。
ここで決定した適用範囲が、あとのプロセスの負荷に影響してくるので慎重に検討する必要があります。適用範囲か広ければ、洗い出す情報資産が増え、適用する管理策を検討する工数も増えることになるからです。
また対外的に告知(会社案内・名刺等)するのにも、その適用範囲(部署・部門)を明確にしなければいけない。
ISMSの基本方針の策定
基本方針(情報セキュリティポリシー)を策定するプロセスである。情報セキュリティポリシーとは組織として適用範囲で示した情報セキュリティに関して責任を負うという意思表示となる。当然、企業のビジョン(経営方針)と整合性かとれている必要があり、経営陣による承認か必要となる。
またISMSを構築するための組織体制を構築する。実作業を行う情報セキュリティ策定チームのメンバーの人選では、様々な情報の取り扱いに関して議論することになるので適用範囲に含まれる現場だけでなく、法務や総務部門など組織全体を横断する人材を配置する。
リスクアセスメントの体系的な取組方法を策定する
リスクアセスメント実施基準をアウトプットとして作り出すプロセスである。リスクアセスメントとは、情報資産に対しリスクを分析し、手順に従いリスク評価することである。
「リスク分析」とは情報資産にとって発生しては困る事象(脅威)と固有の弱点(脆弱性)を明確にすることで、どのような脅威か存在するのか、その脅威はどの程度、発生する可能性かあるのか、脅威か顕在化したときにどの程度の影響を受けるのか分析することである。
「リスク評価」とはリスクの重大さを決定するためにリスク分析で算定したリスクを与えられたリスク評価基準と比較することである。リスクの大小にあわせて情報資産をリスクから効率的に保護する対策をうっていくことになる。どのリスクから手を打てばよいか優先順位をつけることでもある。
リスクを識別する
このプロセスでは適用範囲の情報資産の保有状況を確認し、情報資産一つ一つの属性や価値を明確にしていく。情報資産を洗い出し、情報資産台帳を作り、脅威・脆弱性を明確にするプロセスである。
情報資産にはデータベース、データファイル、マニュアルの他に業務用ソフトウェア、オペレーティングシステムなどのソフトウェア資産、コンピュータ装置、通信装置などの物理的資産がある。サーバー室の暖房、照明、空調なども情報資産に該当する。
洗い出した情報資産をもとに情報資産台帳を作成していく。台帳には情報の管理責任者、情報資産の形態(紙・データなど)、保管形態、保管場所、保管期間、廃棄方法、用途、利用者の範囲などを記入していく。
情報資産の洗い出しの後、情報資産かさらされるであろう「脅威」と管理上の問題点などから「脆弱性」を明確化していく。
リスクアセスメントを行う
決定したリスクアセスメント手順に従い、まずリスク値の算出を行う。前段階までのプロセスで行った「情報資産の価値」「脅威の大きさ」「脆弱性の度合い」を用いて、リスク値=情報資産の価値×脅威×脆弱性で算出する。
次に組織としてリスクを受容できる範囲を決める。受容可能なリスクは現状の管理を受容したことになる。受容したリスクは組織にとって残留リスクとなる。
リスク対応を行う
リスク対応とは「適切な管理策を採用する」、「リスクを保有する」、「リスクを回避する」、「リスクを移転する」のいずれかを実施することである。適切な管理策を採用してリスクを低減させることかもっとも多く採用させる方法である。
ただ現実にはリスクの完全な除去は不可能で対策にかかる費用と効果のトレードオフとなる。そこで対策を行い受容可能な水準までリスクを下げて、「リスクを保有」する手もある。また「リスクを回避する」する手もある。情報資産を扱っている業務そのものを廃止する、情報資産を破棄する、売上げ効果のない顧客一覧を消去することでリスク回避を行う。
「リスクを移転する」とは契約などでリスクを他者へ移転させてしまう。例えば、情報資産や情報セキュリティをアウトソーシングする。また個人情報漏洩賠眉壹任保険などの保険を活用して、漏洩時にかかるコストなどのリスクを移転する方法かある。
管理目的と管理策を選択する
ISMS認証基準の付属書「詳細管理策」より、リスク対応に関する管理目的及び管理策を選択する。詳細管理策がない場合は、組織かリスクアセスメントやリスクマネジメントなどを通じて、必要と思われる管理策を追加することかできる。
適用宣言書を作成する
STEP7で選択した管理目的及び管理策、並びにこれらを選択した理由を文書化し、適用宜言言を作成する。
残留リスクを承認しISMSの実施を許可する
このプロセスはリスクマネジメントの結果、何が残留リスクなのか、残留リスクはどの程度あるのかを明確にした上で経営陣が承認し、ISMSを運用することを許可する最終工程である。
|
