特集

情報セキュリティ事故に関するリリースのポイント

▼セキュリティ事故が起きたら
今月の特集は、情報セキュリティ事故の発生に関するリリースの方法です。セキュリティ事故が起きた際には、原因の調査や被害者及び関係者への報告・発表が不可欠となります情報公開の考え方とノウハウについて簡単に解説します。

 

▼いつ出すべきか
情報セキュリティ事故は、発覚後の社内の対応はもちろん外部への情報提供も迅速に行わなければなりません。なぜなら、事故の被害者や関係者にとって事故発生を知らされていない状態はそれだけで不利益であるからです。

続きを読む

特集

バイ・デザイン(by Design)

▼セキュリティ・バイ・デザイン
「セキュリティ・バイ・デザイン」という言葉を耳にしたことはありますか。設計によるセキュリティのことで、情報システムのセキュリティを企画・設計段階から確保するという考え方です。日本政府のサイバーセキュリティ戦略(※1)にも明示されています。

情報システムの開発は一般的に次のようなステップを踏みます。

  1. 企画・要件定義
  2. 設計
  3. 実装
  4. 検証・評価
  5. 保守・運用

「セキュリティ・バイ・デザイン」では、開発の早い段階1.企画・要件定義 、2.設計)でセキュリティを取り込むことにより以下のメリットがあると言われています。

続きを読む

特集

ISO/IEC29100の概要

▼プライバシーに関するISO規格
プライバシーに関する規格といえば、日本ではプライバシーマークの準拠規格であるJIS Q 15001が有名です。では、プライバシーに関するISO規格をご存知でしょうか?

今回はプライバシー保護に関する国際規格であるISO/IEC29100について、簡単にご紹介します。

ISO/IEC29100は、国際標準化機構(ISO)が2011年に発行したプライバシーフレームワークを規定する規格で、プライバシー保護のためのOECD8原則やEU指令をベースにして開発されました。ISO/IEC29100では、プライバシーに関する共通的な用語の特定、PII(personally identifiable information:個人識別可能情報)の処理に関する関係者及びその役割の定義等が示されています。

続きを読む

特集

セキュリティ学習サイト5選

▼「教育」は不可能?
今回は「教育」について、抽象的な話から始めます。

教育は、誰かが他の誰かに対して働きかけるものですが、少なくとも成人を相手にする教育は、このように働きかければ必ずこうなる、というものではありません。「馬を水飲み場まで連れて行くことはできるが、水を飲ませることはできない」と言われる通り、打っても響かないことが多く、教育を受ける人が自分で気づかないと始まりません。教育を受ける人次第、個人差があります。学習者に依存して学習を促す行為に過ぎないという意味では、「教育」は不可能なのかもしれません。

続きを読む

特集

カメラ画像利活用ガイド

▼「カメラ画像利活用ガイドブック」
経済産業省が「カメラ画像利活用ガイドブックver1.0」を策定しました。
http://www.meti.go.jp/press/2016/01/20170131002/20170131002.html

このガイドブックを拝見したところ、なんとも物足りない内容といいますか、何のためのガイドなのか分かりにくいものとなっています。筆者が物足りなさを感じたのは、「個人を特定する目的以外の目的でデータを利活用する事業」を適用対象としている点です。ガイドブックでは下記のケースを対象に含まないこととしています。

続きを読む

特集

読んでますか? プライバシーポリシー

  ▼”プライバシーポリシー”で検索
プライバシーポリシー、読んでいますか?最近では「プラポリ」と言う人もいます。プライバシーポリシー” でGoogle検索したところ表示された関連ワードは以下のとおりでした。

  • google プライバシーポリシー
  • プライバシーポリシー 雛形
  • プライバシーポリシー 例文
  • プライバシーポリシー テンプレート
  • プライバシーポリシー 書き方
  • プライバシーポリシー サンプル
  • プライバシーポリシー 文例
  • プライバシーポリシー 意味
  • プライバシーポリシー 義務
  • 個人情報保護法

どうやらプライバシーポリシーを作る時の参考情報を探している人が多いようです。今回は、よく目にするけれどいまいち馴染みにくいプライバシーポリシーについて解説していきます。

続きを読む

特集

営業秘密情報の管理も企業力

▼秘密情報の保護ハンドブックのてびき
12月5日、経済産業省が「秘密情報の保護ハンドブックのてびき」を公開しました。

「秘密情報の保護ハンドブックのてびき;情報管理も企業力」を策定しました!
http://www.meti.go.jp/press/2016/12/20161205001/20161205001.html

経済産業省は今年2月に「秘密情報の保護ハンドブック」を公開したのですが、140頁ほどある資料だったため、気軽な利用を目的に新たに「てびき」を策定したとのことです。「てびき」では秘密情報にまつわる身近なトラブルと対策のポイントが分かりやすくまとめられており、秘密情報の漏洩を未然に防ぐため、具体的な事例などを踏まえた対策例が示されています。

続きを読む

特集

EU一般データ保護規則と改正個人情報保護法

▼2018年、GDPR適用開始
2016年4月、欧州議会本会議においてEU一般データ保護規則(General Data Protection Regulation、以下GDPR)が正式に可決されました。現在は、GDPRの前身であるEUデータ保護指令の他、加盟各国にそれぞれデータ保護法が存在しています。

新たに可決されたGDPRは、2018年5月からEU全体で共通のものとして適用開始となり、以降は各国のデータ保護法は廃止となります。GDPRの適用範囲はEU市民をターゲットとしたサービスを提供する全世界の企業にまで及ぶものであり、EUで事業を展開するEU外の企業はもちろん、インターネット上でサービスを提供するすべての主体に影響を与える可能性があります。

続きを読む

特集

情報漏えい事故の報告・届出先

▼事故対応が少し落ち着いたら
情報漏えい事故が発生した場合には、株主、取引先、個人情報の漏えいであれば個人情報の本人など、様々な方への報告や説明が求められます。また、事故が発生した事実について(内容に拠りますが)、公的な機関への報告・届出も必要になります。

情報漏えい事故の発生に気づいた後は、速やかに対応しなければ事態がさらに悪化していきます。緊急の体制を敷き、事実を調査し、被害の拡大を防止しなければなりません。関係機関への報告・届出は、そのような緊急の対応を終えた後に実施することになります。

滅多に起きない事故が起きた時には、報告・届出先の存在を忘れてしまうかもしれませんから、いざという時に備えて、報告・届出先を確認しておきましょう。

続きを読む

特集

セキュリティは信頼の上に成り立ってるという話

福山雅治さんの自宅に不審者が侵入し、妻の吹石一恵さんと鉢合わせしたところ逃げ出したという事件がありました。

これだけであれば単なる芸能人宅での空き巣未遂事件のように見えますが、数日後逮捕されたのはそのマンションのコンシェルジュの女で、福山さんから預けられていた合鍵を使って侵入したということが判明しました。とはいえやはり芸能ニュースの域を出ない話題ですが、ちょっと見方を変えるととても重大なセキュリティインシデントの要素を多く含んでいる事件です。

続きを読む