「情報セキュリティ管理」の解説
リスクマネジメント
情報システム、特にネットワークに接続された情報システムを利用する場合には、情報セキュリティを顧慮する必要があります。情報セキュリティを考える上では、リスクの管理(「リスクマネジメント」)が欠かせません。
リスクマネジメントは、以下のような流れで実施されます。
- リスクの特定
- どのようなリスクが、どのような形で存在しているのかを特定します。
- リスクの分析
- リスクの評価
- リスクの発生確率や、損失額などを切り分け、影響の大きいものから優先順位を付けます。
- リスクの対策
- リスクへの対応マニュアの整備や教育・訓練などの準備をします。
情報セキュリティマネジメント
「情報セキュリティマネジメント(ISMS:Information Security Management System)」においては、組織全体の統一を図るため、「情報セキュリティポリシ」(情報セキュリティポリシー)が策定されます。
情報セキュリティポリシ
情報システムが、各個人の独断や裁量によって扱われるようなことがないよう、情報セキュリティポリシは文書として明文化される必要があります。明文化は、情報セキュリティポリシの内容の明確化に繋がり、また、個々人の意識の向上にも寄与します。
情報セキュリティポリシは、大きく分けて「基本方針」、「対策基準」に分類することが可能です。さらに、これらを踏まえた「実施手順」を加えることもあります。
- 基本方針
- 対策基準
- 基本方針に基づいた、ルールや判断基準、セキュリティ対策の確保といった行動を示します。
- 実施手順
- 通常の情報セキュリティポリシには含まれませんが、実施手順の策定により対策基準に基づいた個々の行動を具体化します。
個人情報保護
企業が収集・保管している個人情報が漏洩して、営利目的の第三者の手に渡ってしまい、その漏洩した個人情報をもとにして大量のダイレクトメールや不当請求などが送りつけられる、という事故が、近年ひんぱんに発生しています。個人情報の収集に際しては、収集した情報を適正かつ厳重に取り扱うことが求められています。
個人情報の保護は、「個人情報保護法」が整備されたことにより、従来よりいっそう厳格に行うことが義務付けられています。企業などでは、個人情報保護を徹底するための取り組みとして、「プライバシーマーク制度」の取得などが重要視されています。
プライバシーマーク制度
「プライバシーマーク制度」は、個人情報の取扱について適切な保護措置を実行できる体制を整備している組織に対して、認定証となる「プライバシーマーク」を付与する制度です。財団法人日本情報処理開発協会(JIPDEC)が執り行っています。「Pマーク」とも呼ばれます。
Pマーク制度には大きく以下の2つのような意義があります。
- 「プライバシーマーク」という、消費者の目に見える印で示すことにより、個人情報の保護に関する消費者の意識の向上を図ることができる。
- 適切な個人情報の取扱を推進することによって、消費者の個人情報の保護意識の高まりに応え、社会的な信用を得るためのインセンティブを事業者に与える。
ポイント
情報セキュリティ管理に関する基本的な考え方を理解しましょう。
リスクマネジメントの必要性を理解し、その一環として情報セキュリティマネジメントと個人情報保護の目的や基本的な考え方を理解しましょう。