 |
|
| 企業の社会的責任に必要な情報セキュリティマネジメント |
第7回:情報資産のライフサイクル上のセキュリティ管理(後編)
著者:みずほ情報総研 牛尾 浩平 2006/8/10
|
|
|
| 1 2 3 次のページ
|
|
| 情報の交換など
|
組織が組織内外と情報の交換などをする際の、法による要求事項や具体的な管理例を説明する。
|
| 法による要求事項
|
個人情報保護法では、個人情報取扱事業者が個人データを第三者提供する際の事前対応が定められている。
具体的には、法第23条により原則として本人の同意を得ずに個人データを第三者に提供することは禁止されている。また、個人データをグループ企業や提携先企業などと共同利用する際は、共同利用する旨などをあらかじめ本人へ通知などとしておかなければならない。
上記の内容を確実に実施し、規程などに明確に定め、従業員に徹底させる必要がある。
|
| 情報の外部委託
|
続いて、情報の処理やシステム開発・運用などを外部の組織に委託する場合の委託管理について説明する。
個人情報保護法においては、個人データの委託先を監督することが要求事項として定められている。外部委託を実施する際には、前項で説明した個人情報の第三者提供や共同利用のように、事前の本人の同意や本人への通知は必要ないが、表1に示す内容に留意した管理を行うことを推奨する。
- 委託先の選定基準の整備とそれに従った委託先の選定
-
選定基準の例を下記にあげる。
- 委託先の選定基準として、情報セキュリティポリシーが整備済み
- 情報セキュリティに関連する認証を取得済み
- 委託先と締結する契約書へ盛り込むセキュリティ要求事項の雛形作成
- 契約書に必ず盛り込む要求事項や、委託する業務内容や情報に応じて記載する要求事項などを分けて定めておく。必ず盛り込む要求事項の例を下記にあげる。
- 情報の取り扱いにあたっての秘密保持や知的財産権についての要求事項
- 委託先で情報セキュリティ事件などの問題が発生した際の対応方法の明確化
- 委託業務終了後の情報の返却や廃棄
- 委託先の点検や監査
- 重要な業務などの委託先に関しては、契約書の中で委託先を委託元が点検する権利や、第三者に監査を依頼する権利を明確にしておき、必要に応じて点検や監査を実施する。
- 委託先への管理の見直し
- 委託先の点検や監査の結果に基づいて、委託先の管理の強化や、委託先の見直しを行う。
表1:情報セキュリティに留意した委託管理の例
表1に示す内容は個人情報保護の範囲に限らず、情報全般を外部委託する際も同様である。
|
1 2 3 次のページ
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 システムコンサルティング部
コンサルタント 牛尾 浩平
2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。
|
|
|
|
|
|
