| 1.「なぜ、いま情報セキュリティリスクなのか?」 |
その前に、確認しておくべきことがあります。それは「プライバシー」と「個人情報」の違いです。個人情報を保護するにあたり、用語の定義をはっきりさせておくことは不可欠です。また、認証を取得しようとしている企業にとっては、「Pマーク」や「ISMS」の違い及び特徴を理解し、自社にとってどちらを取得する方が効果的であるのか考える必要があります。そこで今回は、特徴項目(対象や適用範囲、申請時の留意事項など)を13に分類し、解説を行いました。受講企業の皆様にはそれを今後の認証取得のための判断材料にしていただきました。
|
↑ 個人情報事件について説明する講師 |
その他に、「個人情報保護法」の用語の定義についても解説を行いました。特に、個人情報保護法で掲げられている「個人情報取扱事業者」の定義は紛らわしいため、以下のことに注意する必要があります。
「個人情報取扱事業者」
= 業務上データベースなどで5000件以上の個人情報を6ヶ月以上保有している事業者。 |
注意すべきことは、「5000件」という数字は、顧客数が「5000件」ということではありません。同じ内容であっても、媒体が違えば(電子媒体、紙媒体など)それは2件にカウントされます。したがって、5000件とは多いように思えて、実はそうではありません。
 『用語の定義をしっかり理解することが大切』
次に、自社のリスク対策を行うにあたり、どんな予備調査を行う必要があるのか、考えていただきました。
例) ・ 自社において個人情報にはどんな情報が含まれるか特定していますか?
・ 自社ではどのようなリスク対策を行っていますか?
・ 被害額以上の対策を行おうとしていませんか?
・ リスクマネジメントについての社内教育を行っていますか? |
『自社の情報セキュリティ状況を把握することからはじめよう』
|
|
| 2.
「個人情報保護のためのPマーク(JISQ15001:2006)」の解説 |
↑ 研修テキスト |
ここでは、JISQ15001のPDCAサイクルやPMS構築スケジュール、個人情報一覧表、委託先情報一覧表などの文書類を実際に提示し、特徴と留意点について説明を行いました。特に、PMS構築フェーズ別タスク一覧では、現状分析やPMS策定、文書化におけるタスクの内容や成果物の例を見ていただきました。
委託先情報一覧表に関連し、委託先に関して注意すべきことがあります。例えば、あなたの会社には外注の清掃業者や警備業者が入っていませんか?その企業と機密保持契約を締結していますか?企業は、もしかすると、あなたより、会社の個人情報や機密情報に詳しいかもしれません。下の例はあるテレビCMの話です。
|
A社員はデスクで仕事中。清掃業者の人がAさんに近寄ってくる。
・ 掃除のおばさん 「あんた、聞いたよ。この4月から北海道へ転勤だってね。」
・ A社員 「え・・・聞いていないよ(ショック)」
上記の例は「社員より、清掃業者の方が社内の機密情報を知っている可能性がある」ことを表しています。 |
|
その後、2006年に改正されたJISQ15001のポイントや2006年版への移行計画及び審査についても解説を加えました。ここで注意すべきことは、今後、99年版のPマーク申請を検討し、準備している企業様は、平成18年の11月19日までに申請する必要があることです。それ以降になると、2006年版に対応しなければなりませんのでご留意ください。
|
|
| 3.【ワークショップ】「リスク対応チェックリスト」を活用した自己チェックの実践 |
企業は個人情報漏洩事件の要因の多くは「内部犯行」であることを認識し、「未然防止のための抑止力を発揮」することが必要です。そのためには、リスクの認識を行うことからはじめなければなりません。
そこで、受講生の皆様に「リスク対応チェックリスト」を活用して自己チェックを行っていただきました。チェック項目は大きく分けて7つです。
- パスワード管理
- 情報管理
- パソコン管理
- ソフト管理
- ウィルス対策
- 入退室管理
- 紙媒体管理
|
|
↑ 「リスク対応チェックリスト」の結果解説 |
チェックの結果、ほとんどの方が「セキュリティ評価」が「低い」もしくは「極めて低い」というスコアになりました。特徴としては、個人の場合は、セキュリティレベルが高いが、企業全体のレベルはそれより低くなってしまう点でした。受講者の中には「会社で(チェックリストに書いてあるような)対策を行っているかどうか知らない」という方が多くいらっしゃいました。実はこれこそ「リスク」なのです。つまり、
「知らないことがリスク」であり、
「リスクをリスクだと思っていないことこそリスク」なのです。
|
|
| 4.
リスク対応のためのISMSの解説
|
↑ ISMSの解説中
|
ここでは、リスク対応のためのPマークの解説に引き続き、ISMSの解説を行いました。まず、 ISO27001:2005のPDCAサイクルについて学習し、その後、構築のポイントとして、段階別の作業内容及びそれに費やす期間の目安をご紹介しました。ただ、今回は例という形でご紹介しましたので、会社の規模や事業所によって期間が変わるということに注意する必要があります。
流れとしては、情報セキュリティ基本規程の概要を説明した後、具体的な台帳や文書類に関して解説しました。例えば、「情報資産管理台帳」を作成するにあたって、個々の情報資産に対してリスク分析を行わなければなりません。そして、その結果に基づいたセキュリティ対策を決定する必要があります。ここはISMS認定取得するために非常に重要な段階であり、多くの時間を費やさざるを得ないこともあります。その他にも同様に、「適用宣言書」や「情報資産取扱基準」、「情報セキュリティ基準」について解説を行いました。具体的なことに関しては、ワークも交えて、10月17日に開催される1日コースで行う予定です。
次に、認証取得及び運用にあたって、最も重要な「教育」について解説しました。ここでは、教育の目的をパートやアルバイトを含める全従業員の皆さんに理解・認識させることが大切です。そして、教育を受講した後、「教育受講アンケート」やテストなどによって、理解度を確認すると良いでしょう。
|
|
| 5.【ワークショップ】リスク対策の検討 |
最後に、「リスク対応チェックリスト」を参考にグループでリスク対策に関するディスカッションを行いました。他社の情報セキュリティ状況を知ることができるだけでなく、具体的な対策を話し合うことで、今後の行動を決定できたようです。
受講者の皆様も、今回の研修で、いかに自社のセキュリティ意識が低く、対策がとれていないか気づいていただいたようです。セキュリティ担当者はもちろん、従業員のセキュリティ意識向上のためにも、是非自社の現状を把握し、企業全体でリスク対策を行っていただければと思います。
『自社のリスクを把握し、リスク対策を行うことが大切』
|
↑ リスク対策についてディスカッション中 |
|
