CATEGORY セキュリティ

ウィルス対策、情報漏えい対策等、セキュリティに関する運用のお話です。

法人が管理すべき情報セキュリティリスクと対策について

対象とする読者 ・「情報セキュリティは重要」と会社から常々言われるけど、いまいちわからないサラリーマン ・情報セキュリティ対策について何から手を付ければいいのか今更人に聞けない経営層 ・上記の人たちにセキュリティの重要さを説明するけど、なかなか響かなくて困っている情シス ・通りすがりのセキュリティに興味のある人   話の要点 法人の情報セキュリティ対策が必要な理由は事業を継続するためであ […]

社内の個人情報保護体制について | 企業の個人情報保護法への取組と事例:2018年版(7)

イントロダクション 「個人情報取扱事業者の安全管理措置について」にある”やるべきこと”を実運用にのせるための手順として、前回は個人情報の管理手順として個人情報管理台帳の手順と棚卸しについてお話ししてきました。 今回は「組織体制の整備」についてお話していきたいと思います。 法令で決まっている義務とはいえ、企業が管理する情報は社員一人一人の注意だけでは守り切ることはできません。 組織としての対応を行う […]

個人情報の管理手順について | 企業の個人情報保護法への取組と事例:2018年版(6)

イントロダクション 「個人情報取扱事業者の安全管理措置について」において、「組織体制の整備」「規律に従った運用」「確認する手段の整備」などの”やるべきこと”が定義されていますが、具体的にどのように実施していけばいいかは明記されていません。 実運用にのせるためには具体的な手順が必要になります。 今回は「規律に従った運用」をするための大前提となる個人情報の管理のための手順を考えていきます。 個人情報の […]

個人情報漏えいの影響と原因 | 企業の個人情報保護法への取組と事例:2018年版(5)

イントロダクション 「個人情報保護士」という資格があります。 民間資格ですが多くの企業で取得を推奨しており、取得後の実務への活用度も高いということで人気のある資格です。 この資格の学習体系は「制度の総論」と「保護対策と情報セキュリティ」の2つの軸で構成されています。 私自身この資格を保有しているわけではありませんが、社内の個人情報保護対策の立案や今回の記事のベースに多くを活用させてもらっています。 […]

個人情報取扱事業者の安全管理措置について | 企業の個人情報保護法への取組と事例:2018年版(4)

イントロダクション 個人情報保護法への取組と事例をテーマにしたお話しの4回目になります。 これまで個人情報保護法の経緯や個人情報の定義、「個人情報取扱事業者」の定義とその義務についてお話ししてきました。 法律的な解説が多かったので、言葉の解説が多くやや流れの悪い説明になってしまうところもありましたが、言葉の定義がブレると正しい意味で伝わらなくなってしまうので一応きちんと説明してきました。 今回から […]

個人情報取扱事業者の定義と義務 | 企業の個人情報保護法への取組と事例:2018年版(3)

イントロダクション 個人情報保護法への取組と事例をテーマにしたお話しの3回目になります。 前回は「個人情報」の定義と、個人情報保護法が定義するその他の単語の定義をお話しまsた。 本稿に出てくる「個人情報」「個人情報データベース」「個人データ」「保有個人データ」等の単語の定義は、前回の「個人情報の定義」を参照してください。 今回からいよいよ企業が対応すべき義務についてお話していきます。 今回も一部言 […]

個人情報の定義 | 企業の個人情報保護法への取組と事例:2018年版(2)

イントロダクション 個人情報保護法への取組と事例をテーマにしたお話しの2回目になります。 前回は個人情報保護の経緯と背景として、2003年の個人情報保護法の成立に至るまでの情勢と個人情報が狙われる背景の話をしてきました。 今回は個人情報保護の取組に入るにあたって、最も根本的な部分である「個人情報」とは何か、をお話ししていきたいと思います。 個人情報保護と一口に言いますが、そもそも何が個人情報なのか […]

個人情報保護の経緯と背景 | 企業の個人情報保護法への取組と事例:2018年版(1)

【2019/9/5更新】 企業のセキュリティにおいて重要な要素の1つとして「個人情報」が挙げられます。 個人情報の保護は「個人情報保護法」という法律で義務付けられています。法令順守はもちろんですが、個人情報の取り扱いを誤ると社会的信用を失いビジネスに多大な影響を及ぼすことは、過去の個人情報流出事故等からも多くの方に知られるところになっています。 しかし実際の現場や、ITセキュリティを預かる情シスに […]

無料Wi-fiスポットなんて繋いではいけない | 無線LANのセキュリティ

イントロダクション パソコンもスマホも、当然のように無線LAN接続が行われるようになってきています。 社内システムやパソコンのことをなかなか覚えてくれない人でさえ、個人所有のスマホのWi-Fi接続だけはちゃっかりできたりします。 理由はスマートフォンのデータ使用量の節約が第一でしょう。自分に有益だとわかったことは誰でも積極的に利用しようとします。それが自身の支出に関わったり、仕事でも自身の売上につ […]

「ソーシャルエンジニアリング」なんて呼ばずに「犯罪」と呼ぶべきじゃないだろうか

イントロダクション ITセキュリティは個人はもちろん企業・団体にとって重要であることはもはや誰もが認識していることでしょう。 コンピューターウイルスやマルウェア、ネットワークへの侵入を試みるハッキングやトラッキング、サイバーテロ等、セキュリティリスクは列挙にいとまが無く、日々複雑化・高度化していっています。それに伴いセキュリティへの投資も拡大していくことになりますし、セキュリティ担当者も知識や情報 […]

GDPRを斜め読みしてみよう

イントロダクション EUのGDPR(General Data Protection Regulation:一般データ保護規則)が2018年5月25日に施工され、初日にいきなりFacebookとGoogleが提訴されたことはIT界隈では比較的大きなニュースとして取り上げられました。他にもロサンゼルス・タイムスなどのアメリカの一般紙のWebサイトがEU域内から閲覧できなくなったりしているそうです。 こ […]

標的型攻撃メール訓練を行うためのポイント | 標的型攻撃メール訓練について

前回のおさらい 前回は標的型攻撃メール訓練(以下訓練)の悪い事例から、訓練の計画として必要な以下の点をお話しました。 ・セキュリティインシデントが発生した時の報告ルートを整備する。 ・訓練実施は報告ルートのメンバーには事前に周知した上で、報告のルールがきちんと守られているかを検証することも目的とする。 ・社内一斉送信ではなく、報告ルートのメンバーの在籍状況等を加味して送付先やタイミングを調整して送 […]