CATEGORY セキュリティ

ウィルス対策、情報漏えい対策等、セキュリティに関する運用のお話です。

社内の個人情報保護体制について | 企業の個人情報保護法への取組と事例:2018年版(7)

イントロダクション 「個人情報取扱事業者の安全管理措置について」にある”やるべきこと”を実運用にのせるための手順として、前回は個人情報の管理手順として個人情報管理台帳の手順と棚卸しについてお話ししてきました。 今回は「組織体制の整備」についてお話していきたいと思います。 法令で決まっている義務とはいえ、企業が管理する情報は社員一人一人の注意だけでは守り切ることはできません。 組織としての対応を行う […]

個人情報の管理手順について | 企業の個人情報保護法への取組と事例:2018年版(6)

イントロダクション 「個人情報取扱事業者の安全管理措置について」において、「組織体制の整備」「規律に従った運用」「確認する手段の整備」などの”やるべきこと”が定義されていますが、具体的にどのように実施していけばいいかは明記されていません。 実運用にのせるためには具体的な手順が必要になります。 今回は「規律に従った運用」をするための大前提となる個人情報の管理のための手順を考えていきます。 個人情報の […]

個人情報漏えいの影響と原因 | 企業の個人情報保護法への取組と事例:2018年版(5)

イントロダクション 「個人情報保護士」という資格があります。 民間資格ですが多くの企業で取得を推奨しており、取得後の実務への活用度も高いということで人気のある資格です。 この資格の学習体系は「制度の総論」と「保護対策と情報セキュリティ」の2つの軸で構成されています。 私自身この資格を保有しているわけではありませんが、社内の個人情報保護対策の立案や今回の記事のベースに多くを活用させてもらっています。 […]

個人情報取扱事業者の安全管理措置について | 企業の個人情報保護法への取組と事例:2018年版(4)

イントロダクション 個人情報保護法への取組と事例をテーマにしたお話しの4回目になります。 これまで個人情報保護法の経緯や個人情報の定義、「個人情報取扱事業者」の定義とその義務についてお話ししてきました。 法律的な解説が多かったので、言葉の解説が多くやや流れの悪い説明になってしまうところもありましたが、言葉の定義がブレると正しい意味で伝わらなくなってしまうので一応きちんと説明してきました。 今回から […]

個人情報取扱事業者の定義と義務 | 企業の個人情報保護法への取組と事例:2018年版(3)

イントロダクション 個人情報保護法への取組と事例をテーマにしたお話しの3回目になります。 前回は「個人情報」の定義と、個人情報保護法が定義するその他の単語の定義をお話しまsた。 本稿に出てくる「個人情報」「個人情報データベース」「個人データ」「保有個人データ」等の単語の定義は、前回の「個人情報の定義」を参照してください。 今回からいよいよ企業が対応すべき義務についてお話していきます。 今回も一部言 […]

個人情報の定義 | 企業の個人情報保護法への取組と事例:2018年版(2)

イントロダクション 個人情報保護法への取組と事例をテーマにしたお話しの2回目になります。 前回は個人情報保護の経緯と背景として、2003年の個人情報保護法の成立に至るまでの情勢と個人情報が狙われる背景の話をしてきました。 今回は個人情報保護の取組に入るにあたって、最も根本的な部分である「個人情報」とは何か、をお話ししていきたいと思います。 個人情報保護と一口に言いますが、そもそも何が個人情報なのか […]

個人情報保護の経緯と背景 | 企業の個人情報保護法への取組と事例:2018年版(1)

イントロダクション 情シスの担当領域について、大体4つくらいに分類されると考えます。 1.インフラ整備:ネットワーク、サーバ/PC、携帯等物理的な設備の調達・保守 2.システム整備:業務システムやソフトの調達・保守 3.セキュリティ管理:ウィルス対策、情報漏えい、盗難紛失等のハード/ソフト面の対応 4.IT経営戦略:経営計画との整合、データ活用や業務効率化の提案・計測等 ハード、ソフト、セキュリテ […]

無料Wi-fiスポットなんて繋いではいけない | 無線LANのセキュリティ

イントロダクション パソコンもスマホも、当然のように無線LAN接続が行われるようになってきています。 社内システムやパソコンのことをなかなか覚えてくれない人でさえ、個人所有のスマホのWi-Fi接続だけはちゃっかりできたりします。 理由はスマートフォンのデータ使用量の節約が第一でしょう。自分に有益だとわかったことは誰でも積極的に利用しようとします。それが自身の支出に関わったり、仕事でも自身の売上につ […]

「ソーシャルエンジニアリング」なんて呼ばずに「犯罪」と呼ぶべきじゃないだろうか

イントロダクション ITセキュリティは個人はもちろん企業・団体にとって重要であることはもはや誰もが認識していることでしょう。 コンピューターウイルスやマルウェア、ネットワークへの侵入を試みるハッキングやトラッキング、サイバーテロ等、セキュリティリスクは列挙にいとまが無く、日々複雑化・高度化していっています。それに伴いセキュリティへの投資も拡大していくことになりますし、セキュリティ担当者も知識や情報 […]

GDPRを斜め読みしてみよう

イントロダクション EUのGDPR(General Data Protection Regulation:一般データ保護規則)が2018年5月25日に施工され、初日にいきなりFacebookとGoogleが提訴されたことはIT界隈では比較的大きなニュースとして取り上げられました。他にもロサンゼルス・タイムスなどのアメリカの一般紙のWebサイトがEU域内から閲覧できなくなったりしているそうです。 こ […]

標的型攻撃メール訓練を行うためのポイント | 標的型攻撃メール訓練について

前回のおさらい 前回は標的型攻撃メール訓練(以下訓練)の悪い事例から、訓練の計画として必要な以下の点をお話しました。 ・セキュリティインシデントが発生した時の報告ルートを整備する。 ・訓練実施は報告ルートのメンバーには事前に周知した上で、報告のルールがきちんと守られているかを検証することも目的とする。 ・社内一斉送信ではなく、報告ルートのメンバーの在籍状況等を加味して送付先やタイミングを調整して送 […]

標的型攻撃メール訓練の悪い例 | 標的型攻撃メール訓練について

前回のおさらい   前回は標的型攻撃メールからビジネスメール詐欺の実例、標的型攻撃メール訓練の概要をお話しました。 ビジネスメール詐欺の話は、JALの件が発生してすぐくらいのタイミングで経営層も出ている会議でちょっとだけ説明したところ、かなりの食いつきがありました。 今回お話している標的型攻撃メール訓練の検討に至った原因の一つでもあります。 セキュリティの重要性はみんななんとなく分かって […]