TOP情報セキュリティ> はじめに
CSR
企業の社会的責任に必要な情報セキュリティマネジメント

第6回:情報資産のライフサイクル上のセキュリティ管理(前編)
 著者:みずほ情報総研   牛尾 浩平   2006/7/27
1   2  3  次のページ
はじめに

   第4〜5回では、情報セキュリティポリシーと情報セキュリティ実施手順書の作成・維持管理について解説してきた。続く第6〜7回では、情報資産のライフサイクル(図1)にそって、個人情報保護法やe-文書法などの法による要求事項、情報セキュリティ対策実施の考え方およびその具体例を解説する。
情報資産のライフサイクル
図1:情報資産のライフサイクル
(画像をクリックすると別ウィンドウに拡大図を表示します)
情報の取得など

   まずは、個人情報の取得、組織内の重要文書の作成、システム・機器類の導入の際に重要となる法による要求事項、具体的な管理例を説明する。
法による要求事項

   個人情報保護法の施行により、個人情報取扱事業者の個人情報の取得に関して、その方法/取得時の対応/取得が制限される情報などが定められている。

   具体的には、法第17条により個人情報取扱事業者が偽り、その他の不正の手段による個人情報の取得(表1)は禁止されている。

  • アンケート調査と偽って個人情報を取得する方法
  • 本人以外の人から本人の同意を得ないで個人情報を取得する方法
  • 不正の手段で個人情報を集めている名簿業者などから個人情報を取得する方法

表1:禁止されている個人情報の取得方法の例

   また、法第18条により個人情報を取得する際の事前対応(利用目的の公表)や事後対応(利用目的を公表していない場合、利用目的を通知あるいは公表)が定められている。

   さらに、電気通信分野や金融分野の個人情報保護法のガイドラインなどでは、いわゆるセンシティブな個人情報(信教、人種、門地、犯罪歴など)の取得が原則として禁止されている。

   他には、2005年に改正された不正競争防止法がある。同法により、退職者の持ち出した営業秘密を使用した退職者の再就職先の法人は、最大1億5000万円の罰金を科される可能性があるため、情報の取得先には十分注意する必要がある。

   従業員の遵守を徹底するためには、上記した内容を規程などに明確に定めることが必要である。
管理責任者の決定

   続いて、情報資産を取得/導入/作成する際に実施すべき事項を説明する。

   まずは、情報セキュリティポリシーに従い情報資産が適切に利用・運用されていることに責任を持つ管理責任者(あるいは管理部署)を定める。管理責任者の役割として、続いて述べる情報資産の分類や情報資産目録の作成と維持を管理監督することが含まれる。
情報資産の分類

   次に、情報資産の組織に対しての価値、法的要求事項、取り扱いに慎重を要する度合い、重要性などの観点から分類を行い、分類に応じた管理を行う。

   分類の例として情報を公開可能な対象別に分類すると、極秘情報/部外秘情報/社外秘情報/公開情報などが考えられる。事前に情報分類の基準や分類に応じた管理方法や保管期限などをルールとして明確にしておくことが重要である。情報の分類や分類に応じた管理を適切に行わない場合、組織にとって重要な情報を十分に高くないレベルで管理してしまう可能性やそれほど重要ではない情報を不必要に高いレベルで管理してしまう可能性がある。

   また留意点として、情報資産によっては情報の取得/作成/導入後の経過期間に応じて、重要度や利用目的、価値が変化することに伴い、保管形態や保管場所などの管理方法が変更される可能性があることを踏まえたルールとしておく必要がある。
情報資産目録(情報資産台帳)への登録

   さらに、情報資産を情報資産目録(あるいは情報資産台帳)へ登録する。情報資産目録には、情報資産名/所在地/分類/管理責任者(管理部署)/管理開始日/廃棄予定日などが含まれる。すべての情報資産を情報資産目録に登録するのは労力を要するため、登録の対象を重要度の高い情報資産に限定することや、情報資産を類型化した上で登録することなどにより、効率的な管理を行うことが望ましい。

   また、情報資産目録への登録後も適切に維持管理しなければならない。情報資産を取り巻く環境の変化(情報資産の設置場所の変更、管理責任者や管理部署の変更など)の際に、情報資産目録を更新する。情報資産目録への登録や更新は、日常業務の中で必要な際に随時行う必要があるため、そのルールと実施体制を整備する必要がある。また、点検や監査の際に、情報資産目録の維持管理状況を確認することにより適切な管理を促すことができる。
1   2  3  次のページ

みずほ情報総研 牛尾 浩平氏
 著者プロフィール
みずほ情報総研株式会社  システムコンサルティング部
コンサルタント   牛尾 浩平
2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。
INDEX
第6回:情報資産のライフサイクル上のセキュリティ管理(前編)
はじめに
  情報の保管など
  アクセス制御