|
■情報セキュリティ意識チェック
情報セキュリティに対する皆様の意識や知識をセルフチェックするものです。
「YES」か「NO」か、考えてみてください。
Q.本人が判別できるのであれば、映像も個人情報となりうる。
|
| |
(1)YES(そう思う)
(2)NO(そうは思わない)
|
| ※解答及び解説は本文末尾に記載しています。 |
■情報セキュリティ基礎講座
「ファイル交換ソフト」
皆さんもご存知の通り、最近は毎日のように新聞やインターネット上でファイル交換ソフトが原因の一端である情報流出・漏洩事件を目にします。それに伴いファイル交換ソフトを発見、削除するソフトがリリースされたり、ファイル交換ソフトによるデータの送受信を制限、排除するプロバイダなどが出てきています。
しかし、事件として最も多く目にするのは、私用PCに業務データを保存し、そのPCにインストールされたファイル交換ソフトを介して流出するというケースなので、上記のような対策で万全だとは言い切れません。
そうなると、業務データを私用PCに保存させないような仕組みが必要になるので、「ファイル交換ソフト対策=情報の持ち出し対策」ということになるでしょう。
「自宅のPCにもファイル交換ソフトを入れるな」
「自宅でもこのプロバイダを使え」
とはなかなか言いにくいと思うのですが、皆さんはいかがでしょうか?
■[連載]〜コンサルの現場から〜
内部監査について その2
ISO27001における内部監査の目的は、「適合性」の評価です。主に、以下の部分において、「適合しているか否か」を評価していきます。
・規格要求への適合
(ISO27001の規格が要求している事項を満たしているか)
→文書を主体とした監査
・セキュリティ要求事項への適合
(組織において求められているものが満たされているか)
→運用を主体とした監査
・関連する法令または規制への適合
(コンプライアンスに問題ないかどうか)
これらについて、監査員は「適合」もしくは「不適合」と判断していきます。その際に、主観ではなく、客観的な証拠に基づき、判断せねばなりません。客観的な証拠とは、以下のようなものです。
・文書、記録類の確認
・現場の観察
・インタビュー
もし、問題点があった場合、「不適合」という評価をしなければなりません。不適合は、2種類に分かれます。「重大な不適合」と「軽微な不適合」です。その線引きは難しいものがありますが、マネジメントシステムに多大な影響を及ぼすものが「重大」であり、たとえば基本ポリシーを作成していなかったり、情報セキュリティ委員会(セキュリティ組織)を構築していない場合などは「重大な不適合」でしょう。
その他は「軽微な不適合」と判断されます。
また、現状ではほぼ適合していても、やや問題があり、放置しておけば将来的に不適合発生の懸念があるようなものは「観察事項」として、指摘しておくことも必要です。
問題はなくても、「こうやれば、もっと良くなるのでは」といった改善の余地が見られるものも「観察事項」として挙げておけば、ISMSのレベルアップに繋がります。
---------------情報セキュリティ意識チェック 解答・解説--------------
Q.本人が判別できるのであれば、映像も個人情報となりうる。
(1)YES(そう思う)
(2)NO(そうは思わない)
(1)YES(そう思う) が正解
経産省のガイドラインに、個人情報に該当する事例として「防犯カメラに記録された情報等本人が判別できる映像情報」と記されています。
|
