| Contents | 某通信事業会社と同じレベルでセキュリティを対策するとグループの中には潰れてしまう会社も出る。某通信事業会社としてはセキュリティ憲章を設定し、グループ各社が個々に決めた一定のセキュリティ水準を守るようにする。
社員のすべてのPC上の行動は記録されている。ということを社員に説明しそのことに対して受け入れ異議を唱えないことを誓約書に署名してもらう。
企業防衛のためにプライバシーが犠牲になることは許されるべきである。
それに不服の人にはPCを使わない仕事に移ってもらう方針にした。
------------------
某通信事業会社は、個人情報漏洩事件を受け、緊急対策を発表した。同日、対策の総責任者に某通信事業会社の常務取締役が就任している。あわせて、中長期的にセキュリティ管理能力を高める取り組みも発表された。
「組織」「物理」「運用・技術」「業務委託・人」の4つの安全対策を柱に掲げた。まず、組織面では、情報セキュリティ管理責任者(CISO:Chief Infomation Security Officer)に取締役を任命。さらに、セキュリティポリシーを策定し、部門ごとに責任者を任命して徹底させるという。某通信事業会社では、氏を任命した理由に「マイクロソフトでのIT経験を評価した」とコメントしている。また、第三者からアドバイスを受ける諮問委員会を設置。設立された個人情報管理諮問委員会がこの役目を担う。
物理面では、コールセンター部門と情報システム運用部門を配置する高セキュリティエリアを設置。個人情報はこのエリアでのみ閲覧可能で、社員IDと入室時間を定期的に記録する。また、入室するにはCISOの承認が必要になる。なお、情報システム開発は他の業務と切り離し、個人情報のデータベースにはアクセスできないようにする。高セキュリティエリアの情報システム部門の全端末は、インターネットと物理的に接続しない方針だ。
運用面では、データベースにアクセスできる権限を持つ者を、CISOが承認する最低限の人数に制限する。アクセス権限者は3名を予定しており、この権限者が業務上必要とされた他の社員に対し、期限付きパスワードを発行して業務に対応するという。また、高セキュリティエリアからの情報送信に制限を加える。ファイルを添付したメール送信を禁止し、メール送信そのものの監視も行なう。外部記録装置の持ち込みも禁止する。今後は受信メールについても対策を検討するとしている。
技術的には、個人情報の一部を暗号化。さらに、記憶メディアへのコピーや印刷ができないようにシステムを対応させる。また、データベースにアクセスしたIDや時間、アクションを全日記録し、半永久的に保存。このほか、外部のセキュリティ対策専門会社とコンサルティング契約を締結中だ。PCやインターネット専門のセキュリティ対策会社だけでなく、幅広い分野で監査資格の持つ会社とも契約する予定で、外部からの不正侵入を防ぐ対策を強化するとしている。
人的対策については、全ての派遣社員と某通信事業会社従業員に対し、eラーニングなどで個人情報保護教育を実施。さらに、個人情報保護に関する誓約書を再度締結し、セキュリティポリシーや運用ルールの違反者には、「懲戒免職を含めた厳罰で臨む」という。また、業務委託先との契約も全て見直す。契約書に、「機密保持契約義務」「再委託に関する事項」「事故時の責任分担」「契約終了時の個人情報の取り扱い」「個人情報に関する取り扱い状況の監査権」の明記を確認した上で再契約を締結する。なお、「個人情報保護の教育費は原則、某通信事業会社で持つ」(同社広報)という。
某通信事業会社ではこのほか、中長期的な取り組みについても言及。OECDセキュリティガイドラインの「リスク対応の原則」「セキュリティのデザインと実装の原則」「セキュリティマネジメントの原則」を重視。これら原則に則り、セキュリティ対策を実施するという。また、総務省や経済産業省、日本規格協会などが定めるセキュリティスタンダードに準拠し、第三者による評価も得たいとしている。
|
|---|
