また、震災の影響による計画停電に対応するため、サーバやストレージデバイスの電源管理をなされている方々のご尽力に感謝致します。
情報セキュリティを手がける企業情報管理士 |
企業情報管理士は企業が事業に供する情報全般にわたる知識から、事業者が守るべき情報を特定して管理する手法に至るまで、ITをメインに据えたマネジメントに関する高い水準の知識を有していることを認定された資格保持者です。試験の内容的には多くの要素を検討し、瞬時に回答ができる能力が必要とされる資格です。
企業情報管理士の手がける仕事は情報セキュリティ全般に関わるもので、ISMS(情報セキュリティマネジメントシステム)の構築段階では、組織体制の整備、セキュリティーポリシーの策定、規程の整備、マニュアルの整備を手がけます。さらに、リスクアセスメントの定期的な実施によってISMSのPDCAサイクルを手がけます。さらに通常の業務としてはデータの保護とログインユーザーの管理が正確に行われているかを監視するものがあります。
企業情報管理士の業務の中で、最も重要なのが、事業者が持っている情報資産を特定して、機密重要性に応じた情報保護対策を適用していくことです。そのために企業情報管理士は常に事業者が意識していなければならなない法律について研究しています。
企業情報管理士が関わる法律の例は以下の通りになります。
不正競争防止法 |
制定されたのが1934年という、古い法律ですが、時代を経るごとに新たな内容がもりこまれています。最も新しい改定は2009年に行われ、2010年7月1日に施行されたばかりです。この法律では公正な自由競争を保証するために以下の行為を禁止することが定められています。
最新の改定によって大きく変わったことは、営業秘密の不正取得についての
不正競争防止法の条文はいわゆる、法律の文体で書いてあり、法律関連の勉強をしたことのない人にとっては難解な内容ですが、企業に就職して業務に服する以上は、常識として知っていなければならないものであるといえます。
不正アクセス禁止法 |
1999年に制定・公布された法律です。管理者によって管理されているアクセスするために必要な情報を解読することは勿論、アクセス管理者によってパスワードや利用を制限されているシステムやネットワークにパスワードなどを不正に取得してアクセスするなどの行為を禁止することが定められています。
不正アクセス禁止法は、情報にアクセスするために必要なログイン情報とパスワードを不正に取得することを、主眼においています。従ってハッキングのような、高度なITスキルを駆使したものは勿論のこと、アナログ手段によってそれらの情報を取得することまでを禁止しています。
知的財産基本法 |
この法律は、事業者に対して、知的財産権の保護と、知的財産を創出できる発明者になどに対して適切な処遇をすることを努力目標として掲げています。
著作権法 |
小説や絵画をはじめ、発信されているコンテンツのほとんどは著作物です。著作物に関する権利を定めたものが著作権法です。著作権には、著作者人格権、著作財産権、著作隣接権の三つに細分され、それぞれの権利と保護される範囲が決められています。
著作人格権とは著作者が著作物を発表する権利(公表権)、著作物に著作者の名前を表示できる権利(氏名表示権)、著作者以外のものが著作物に手を加えることを禁止する権利(同一性保持権)という三つの権利のことを差します。
これらの権利は一身専属権といって他人に譲渡することはできません。また、相続の対象ともなりません。
権利の保護期間は、
著作者が一人の場合には、著作物の創作時から始まり、著作者の死後50年で終わりになります。
複数の著作者による共同著作物の場合には、著作物の創作時から始まり、最後に亡くなった共同著作者のの死後50年で終わりになります。
団体名義で発表された著作物に関しては、著作物の創作時から始まり、著作物の公表後50年で終わりになります。著作物が公表されていない場合は著作物の創作後50年で終わりになります。
一般的に著作権と言われている権利はほぼ、著作財産権のことになります。具体的には、複製権、上演権、演奏権、上映権、公衆送信権、送信可能化権、口述権、展示権、頒布権、譲渡権、貸与権など、公開や興行など、著作物によって対価を得ることに関する権利が、著作財産権ということになります。
著作隣接権とは、著作物を公開、興行を行う人、組織に対して認められる権利で、具体的には実演家(俳優、女優など)に認められる実演家人格権。CD、DVD、BDなどのメディアに収めた著作物を製造販売する事業者に認められるレコード製作者の権利、放送事業者の権利があります。
著作隣接権の保護期間は50年で、保護期間の開始は、実演の場合、実演したときから始まり、レコードの場合は音源が固定されたときから始まり、放送の場合は番組が放送されたときから始まることとされています。
商標法 |
商標には商品商標(商品マーク)、役務商標(サービスマーク)がある。商標法は商標の認可基準、申請、審査、商標権について定めています。2008年の改定により、”長崎かすてら”、”関さば”など、地域名を冠する商標を取得することのできる、地域団体商標が認められるようになりました。
特許法 |
事業者が保持している情報の中で、もっとも重要度の高い発明という技術情報に対する権利を定めている法律です。発明は自然法則を利用した技術的創作として高度なものです。この法律によって、特許として認められる情報の要件は、以下の三点です。
特許の有効期間は登録出願の日から20年となっています。特許の出願については弁理士が取扱う業務となっていますが、特許の元となる技術情報の保護については情報セキュリティマネジメントを実施する情報部門が担うことになります。企業情報管理士はこのような情報の重要性を理解し、保護する施策を実施できる情報部門担当者の能力を認める資格です。
実用新案法 |
特許法と同じく事業者が保持している情報の中で、もっとも重要度の高い考案という技術情報に対する権利を定めている法律です。考案は自然法則を利用した技術的創作です。特許で認められる発明と異なり、この法律によって認められる考案は、高度でなくても良いものとなっています。また、実用新案で認められるのは、
となっています。実用新案の有効期間は登録出願の日から10年となっています。特許の出願と同様に、実用新案の出願に関する業務は弁理士が扱うこととなっていますが、考案の元となる技術情報の保護については情報セキュリティマネジメントを実施する情報部門が担うことになります。実用新案は基本的に出願が早い方に認められるため、実用新案に関する技術情報は、や発表前の情報管理がより重要な意味を持つことになります。企業情報管理士はこのような情報の重要性を理解し、保護する施策を実施できる情報部門担当者の能力を認める資格です。
意匠法 |
意匠とは基本的に物品の外観を意味するものです。同じような機能を持つ製品でも、外観情報の特徴により差別化を図ることで、公正な競争の元に、事業を進めていくことができます。意匠は他の技術情報と異なり、社外に対して事業者が扱う商品の個性を決定付ける情報です。意匠として認められる要件については、主にの4つのポイントがあります。
意匠権の有効期間は登録出願の日から20年となっています。意匠に関する情報の保護については情報セキュリティマネジメントを実施する情報部門が担うことになります。企業情報管理士はこのような情報の重要性を理解し、保護する施策を実施できる情報部門担当者の能力を認める資格です。
個人情報保護法 |
個人情報保護法では個人情報を取扱う事業者(個人情報取扱事業者)に対して、以下のことを定めています。
個人情報保護法については個人情報保護のページに詳しい記述があります。
ISMS−情報セキュリティマネジメントシステム T |
ISMS−情報セキュリティマネジメントシステムは、事業者が利用しているITインフラについてのセキュリティ対策を設定し、運営して行く為のシステムです。従って、ISMSを構築するにあたって先ず重要なことは、マネジメントシステムが及ぶ範囲を定義することが必要です。最近のITインフラは、SCM−サプライチェーンマネジメントを通じて事業所の外にまでITシステムが拡がっている場合があるので、責任範囲を明確にして、ITインフラ上のどの箇所までを事業者の責任範囲とするかの境界をしっかりと定義しておくことが重要です。
ISMSが目指す、短期的な目標として、情報が客観的に見て守られている状態におくことが求められます。従って、すべての情報を丸抱えして保護する責任を事業者が負うのはコスト的に見合わないものになります。例えばサービスを提供するのに事業者が管理しているサーバーにアクセスする際に使用される端末のセキュリティについては、事業者のシステムが及ぶ範囲ではありますが、事業者が責任を持てない部分でもあります。適用範囲と境界をしっかりと線引きをしておくことが重要なのです。
セキュリティーポリシーは、情報セキュリティーに対する事業者の考えを示すものです。事業者が事業を始めてから、順次整備してきたITインフラによってセキュリティーポリシーは大きく変ります。このため、セキュリティーポリシーについては定型文や雛形を参考にして、策定することはできません。このため、以下に挙げる、3つの要求事項について、よく吟味し策定する必要があります。
どのような事業者であれ、1990年代後半よりオフィスに導入されたパソコンに始まり、多くの資源を投じて、ITインフラを構築しているはずです。ITインフラの整備は、その時々に行われているものなので、すべてのソフトウェアとハードウェアが最新のモノであることは、まず、ありえません。このような事業者では、セキュリティーポリシーに「使用しているソフトウェアを常に最新の状態に保ち・・・」というようなセキュリティーポリシーを謳うことは現実的ではありません。このように、事業者が現状使っているITインフラは、業務ごとに使用しているソフトウェア、ハードウェアを把握しておく必要があります。そして、それらをすべて考慮にいれた上で、セキュリティーポリシーを策定する必要があります
セキュリティーポリシーに影響を与える法令としては、不正競争防止法、不正アクセス禁止法、そして個人情報法保護法があります。このうち個人情報保護法では、個人情報の適切な保護管理を義務付けています。この適切な保護管理には、経済産業省が発表しているものをはじめ様々ガイドラインがあります。このガイドラインの中には個人情報保護方針(プライバシーポリシー)を持つことが必須となっています。
情報セキュリティについての要求は取引先からもたらされるものも少なくありません。例えば事業者が、セットメーカーに対するサプライヤーというような取引関係にある場合などは、セットメーカーのSCMシステムにサプライヤーがアクセスして、取引を行うように要求されることは多くあります。このときに機密保持契約、電子決済に関する覚書などに、情報セキュリティに関する項目が含まれていることがあります。セキュリティーポリシーの策定にはこの要求事項を満たしていなければなりません。
リスクアセスメントはISMSだけでなく、PMS(プライバシーマネジメントシステム)をはじめ、BCP(事業継続計画)でも扱われるリスクマネジメントの根幹をなす業務です。2010年中には ISO 31000 を日本工業規格に翻訳したリスクマネジメントシステム JIS Q 31000 が公表される予定ですので、この業務は多くの場面で扱われることになるはずです。
リスクアセスメントは資産を識別し、脅威およびぜい弱性を把握した上で、リスクによる事故(インシデント)が発生する確率と発生した場合の損害額を算定する、リスク分析と分析した結果をリスク評価基準と比較するリスク評価までのプロセスのことを指します。具体的には以下のような手順でリスクアセスメントを行います。
情報資産の内容、システムの状況などの情報資産を洗い出し特定すします。次に情報資産の目録を作成し資産項目ごとにグループ化します。
脅威とは情報システムや組織に損失や損害をもたらすセキュリティインシデントの潜在的な原因のことをいいます。脅威の種類としては地震など、天災によるものから、停電など社会インフラに起因するもの、盗難や不正アクセスなどの人の悪意による流出や、操作ミスなどの不注意による逸失などがあります。ぜい弱性とはそれらの脅威に対しての抵抗力の無さを示すものとなっています。
保有している情報資産に対して、どのような脅威があり、それぞれの脅威に対して、どれだけのぜい弱性が存在するかを分析するとともに、脅威によって発生する損害額などを試算することで、被害の程度を評価します。
一連の作業を通して、事業者が抱える情報資産に対してそのリスクを評価するのがリスクアセスメントということになります。
リスクアセスメントによって特定された情報資産へのリスクを評価した結果により、どのような対応をするのかをきめるのがこのプロセスになります。対応の方法は評価の度合いによって以下のように分かれています。
リスクへの対応は、大雑把にいえば、対策することを決定するか、対策をしないで、人的注意に任せるか、情報資産そのものを破棄してリスクの存在しない状態にするか、情報資産の管理を事業者以外にさせたり、損害が発生した場合の損失を補填してもらう(盗難保険のような金融商品の購入)かということになります。
ISMS−情報セキュリティマネジメントシステム U |
ISMSを構築するためには情報セキュリティ保護方針(セキュリティーポリシー)が決まった後、事業者内部で実務の一貫として運用するための組織を整備することが求められています。
PMSを構築するためには、いつまでに何をするか?という詳細な計画に基づいた作業が必要となります。
システムの構築には設計段階からセキュリティーポリシーを反映していなければなりません。従って、マネジメントシステムの構築作業に着手する前に、方針を周知しておく必要があります。
情報資産の特定は、管理台帳を作成するとともに、保管方法と管理責任者を明確にしておくという作業が必要です。
個人情報保護法など、国が定めた法律と、これを基にした、政令や条例は勿論、業界団体が出している自主規制やそのガイドラインについても、特定することが求められています。
情報資産を取扱う業務について、漏洩事故等のリスク分析(発生頻度、被害額の多寡など)を行い、その対策についても個々に設定しておくことが求められています。
事業者は、全ての情報資産の取り扱い業務に関して、内部規定を策定し、これが守られる形で日々の業務が行われることが求められています。そのためにはマネジメントシステムの基本となる文書管理規程をはじめ、おおくの書類を作成する必要があります。そこで、これらの業務を行うための人的資源と、技術的資源を確保する必要があります。
人的資源を必要とするのは、PMS(プライバシーマネジメントシステム)の構築と同じく、ISMSでも、書類の作成ということになります。
とくにセキュリティーポリシーを内部規定に落とし込む作業は、業務の現状の評価による業務改善を同時に進めるケースも多いため、その作成には、多くの労力を費やさざるをえません。しかしながら、マネジメントシステム構築には避けて通れない部分でもあるので、充分な注意を払って、作業を進めていく必要があります。以下に、ISMS構築のために作成しなければならない書類をあげておきます。
| 1 | 情報セキュリティ保護方針 | (セキュリティーポリシー) | |
| 2 | 内部規定 | 組織、権限、教育など | |
| a) | 情報の特定 | ||
| b) | 関連法規の特定 | ||
| c) | リスク分析と対応 | ||
| d) | 権限の定義 | ||
| e) | 緊急事態への対応 | ||
| f) | 情報の取得と利用および提供 | ||
| g) | 情報の適性管理 | ||
| h) | 開示要求への対応 | ||
| i) | 社内教育 | ||
| j) | 文書管理 | ||
| k) | クレーム対応 | ||
| l) | 運用状況の確認と監査 | ||
| m) | 是正措置、予防措置 | ||
| n) | 代表者による見直し方法 | ||
| o) | 違反に対する罰則 | ||
| 3 | 運用マニュアル | 部署ごと、業務ごとに分けて作成 |
ここに掲載したのはあくまでも、一例です。書類を細かく分けずに、内部規定を一部の書類にしておくと、文書管理によって一部の変更であっても版を上げるなどを行わなければならないため、関連法規など、時間の経過によって変更の可能性があるような書類を分けて作成し、変更があった部分だけ、版を上げるようにすれば、文書管理が楽になるとともに、参照する側も変更の有無が解かり易くなります。
大まかには、セキュリティーポリシーと内部規定、そして作業マニュアルという三つの文書を作成するだけに見えますが、セキュリティーポリシーはともかく内部規定文書の作成には、かなりの時間と労力を使います。従って、決算期末前などを避けて、余裕を持って作業にかかれるように作業予定を組むなどの工夫が必要です。
また、技術的資源については、既存のシステムの回収や、セキュリティソフトの導入などがありますが、設備の増設や更新にあわせて投入する計画を立てるようにします。
ISMS−情報セキュリティマネジメントシステム V |
セキュリティーポリシーは、情報セキュリティに対する方針を広く内外に向けて発表するものです。従って、事業者内で周知されている必要があります。その為には、セキュリティーポリシーを従業者全員について、教育を施し、事業者が掲げるセキュリティーポリシーを周知、徹底させることが重要になります。情報セキュリティに関するものに限らず、方針は従業者の頭の中に、つねにあることができるように、簡潔な文章でシンプルなメッセージとなるように策定することが必要となります。
PDCAサイクルとは
の4段階のサイクルを繰り返すことで、より高度なマネジメントシステムを構築していく作業です。このサイクルは個人情報の保護以外にも、品質保証、環境対応などの取り組みでも使われているものです。計画したことを実施してその検証を行い、改善策を策定する。その改善策を取り込んだ計画をたてて、実施、検証を重ねていくことで、よりよい結果を模索していくというものです。
この手法の特色は、マネジメントシステムの導入によってレベルアップを果たした上で、新たな問題に取り組むことができるため、有効に機能すれば、組織のレベルを飛躍的に向上させることができることです。このPDCAサイクルによるマネジメントの経験の有無は組織の実力を大きく左右するといっても過言ではない優れた手法であると言えます。
