Q1-1. IPA ではワクチンベンダーから示されているトロイの木馬やワームとウイルスをどのように区別しているのか？

A1-1. ウイルスやワーム、トロイの木馬を含んだものを、悪意のプログラム（マルウェア）として、それらを広義のウイルスとしており、IPA では、これら広義のウイルスを取り扱っており、その中で狭義のウイルスを「プログラムファイル等の寄生宿主に感染するもの」、ワームを 「寄生宿主を必要としないもので、単体で自己複製を行うもの」として区別している。
IPA に対してウイルス届出が行われたものについて毎月情報公開しているが、届出情報の取り扱い上では、ウイルスやワーム、トロイの木馬等の区別は行っていない。また、上記の悪意のプログラムの範囲が広いこともあり、他のワクチンベンダーの取り扱っている対象及び発表する情報と内容が不一致となる場合が多くなってきた。
これはワクチンベンダーの発表が、検出した諸々の広義のウイルスを対象としているためである。ウイルス等に関する基準が変更されれば、IPA でも同じような情報発信が出来るようになると考えている。

Q1-2. Windows XP とウイルス対策ソフトを使っている。両方にセキュリティ保護機能があるためおかしい動作をすることがあるので、片方を止めるようにというメールが来た。どうすべきか？

A1-2. ソフトウエア製品間の相性が悪いということは実際にある。しかし同じ製品群を使っていても必ず不具合がでるとは限らない。また、このようなメールが来た場合、なりすましによる不正なメールの可能性もあるので、日本法人のサポート窓口に問い合わせた方がよい。

Q1-3. トロイの木馬に感染しているのか、PCを立ちあげるたびに、『感染しています隔離しました』のメッセージが表示されるが、どうすればいいのか？

A1-3. 完全に削除するには、必要なファイルのバックアップをした後でパソコンの初期化をするのが有効であるが、対策ソフトを最新の状態にして駆除することを勧める。パソコンの復元機能が設定されている場合には、一度復元機能を止めてから駆除操作をすることを勧める。なお、各種スパイウェアの場合は、フリーのスパイウェア駆除ツールもあるので、それらを試してみることもお勧めする。

Q1-4. セキュリティを強化するためにウイルス対策ソフトを2つインストールする場合の問題点はあるか？

A1-4. ウイルス対策ソフトは、ウイルス感染を防ぐために、オペレーティングシステムの深い部分に入り込んで、プログラムの動作をチェックしたり、妨害したりする。しかし、その行動そのものが通常のプログラムの動作と異なるため、他のウイルス対策ソフトからみると、不正なプログラムと見えてしまうことがある。それぞれ他社のプログラムの仕様が詳しくは分からないため、互いに相手のプログラムの動作を止めたりする可能性がある。また、動作が重くなる場合もあるので、ベンダーの指示に従ってほしい。

Q1-5. Web の検索やメールによる通信を行う仕事が多いが、現在、社員全員がウイルス対策ソフトを使っている。Windows Update も実施している。セキュリティ対策はこれしか行っていないが、これで大丈夫か？導入しているウイルス対策ソフトは一社だけであるが、他のウイルス対策ソフトも導入する必要があるか？

A1-5. 複数のウイルス対策ソフトをパソコンにインストールすると問題が発生する場合があるため、この点は注意する必要がある。これは、それぞれのウイルス対策ソフトの処理論理が、お互いに干渉することがあるためである。パソコンの脆弱性をなくすためのパッチの適用をまめに行うことと、ウイルス対策ソフトの定義ファイルをまめに更新することを忘れなければ、Web の検索やメールによる通信のみであれば問題はない。ただし、講演の中でも説明したように、人が判断して怪しいと思ったらウイルスチェックをする、あるいはおかしなメールは開かないといった対策も必要である。

Q1-6. 事業所内が新旧の Windows OS が混在する状況である。ネットワーク境界ではファイアーウォールを設定しているが、旧 OS については Windows Update がサポートされていないものもある。ウイルス対策ソフトは利用しているが、特に対策が必要か？ OS のバージョンをあわせる必要はあるのか？

A1-6. 管理上の問題からは同一の OS のほうが管理し易い面は否定できない。旧 OS を使い続けてはいけないと言うことではないが、最新の OS を利用されることをお勧めする。使い方にも留意することが必要である。社内ネットワークをセグメントに分けて、危なそうなパソコンは隔離できるような構成にする方法もある。金銭的な問題もあるので、利用目的を検討して、うまく使い分けるのが良い。

Q1-7. ウイルスメールが特定の ISP より大量に送られてくる。送信者欄は詐称されているが、ヘッダ情報の IP アドレスを who is で調べて特定の ISP であることがわかった。この ISP に対してウイルスメールを送らないように指導することはできないのか？

A1-7. IPA では ISP に対する指導は行っていない。メールのヘッダ情報などを示して、直接その ISP に善処を申し入れていただいてはどうか。

Q2-1. BIOS のパスワードを設定しても、コンピュータを分解してハードディスクを取り出せば情報を盗み取られてしまうのではないか？

A2-1. BIOS のパスワードは、ハードウェアのメーカや BIOS のメーカによって仕様が異なるので、そういう場合もある。マニュアルで確認するか、メーカへ問い合わせてみる必要がある。

Q2-2. アメリカでは無線 LAN の導入はどのような状況か？

A2-2. アメリカの状況は特に把握していないが、企業においては、日本と同様、検討中のところが多いのではないか。無線 LAN を企業の基幹 LAN に使用するには、セキュリティ上の危険性について理解することが重要である。

Q2-3. 無線 LAN の施工を行っている業者だが、施工先に対するセキュリティのコンサルのようなことはすべきだろうか？ 現状では、施工作業者は特に問題意識もなく施工のみしている。施工費用あるいはメンテナンス費用に上乗せをお願いして、セキュリティに関するサポートは行ったほうが良いのだろうか？

A2-3. 設備を施工される方が、利用者へいろいろな説明をしていただけるのは良いことだと思う。そのためにも、施工される方々のセキュリティ知識あるいは意識を向上する必要があると考える。利用者の方に安心してお使い頂くために、金銭を伴うサービスも必要かとも思われる。販売店や施工業者の方にセキュリティのアドバイスが受けられたら、顧客としても、そのお店や業者さんは信用できると思うかもしれないので、今後ともよろしくお願いしたい。

Q2-4. PGP の利用は簡単に導入できるのか？

A2-4. PGP 対応しているメールソフトウエアであれば、導入も操作もそれほど難しくない。PGP 対応していないメールソフトウエアの場合は、暗号化するテキストをクリップボードにコピーして暗号化や復号ができるが、操作性は悪い。PGP は、GnuPG のように、フリーのものも出回っており、入手は容易である。

Q2-5. 不正アクセス届出で、IDS または IPS を導入していても被害にあったのはどの位の割合か分かるか？

A2-5. そのようなデータをとっていないので分からない。なお、届出の他に、年度毎にセキュリティ実態調査をしているので、今後検討する。

Q2-6. 誤ってクリックした URL から会員登録されてしまった場合、支払い義務はあるのか？

A2-6. 支払い義務はない。また、個人情報を入力していない限り、ブラウザや携帯電話から個人を特定できる情報が送信されていないため、請求書も来ないはずである。もし支払いを求めるメールなどが送付されてきても、無差別に送りつける詐欺メールの可能性があるので、怪しいメールには返答しないほうが良い。判断がつかない場合、消費者センターに相談することをお勧めする。

Q2-7. Windows XP の SP2 を適用しなければセキュリティレベルを高めることは不可能なのか？

A2-7. 各組織により、グループウェア等が動作しなくなる可能性があるので、個々の対応が必要である。テストマシンで検証してから導入するなど、各々で対応すればよい。SP2 に関する情報はパソコンメーカーやマイクロソフトなどから多くの情報が提供されているので、参考にして欲しい。

Q2-8. スライド12「ある技術的対策・人為的ミス」にある、設定ミスによって情報資産が阻害された事例はあるか？

A2-8. パスワード入力などのアクセス制御をかけずに、Web サーバにアップロードした個人情報が一般に暴露した事例がある。

Q2-9. パーソナルファイアウォール機能で、SVCHOST や RUNDLL 等から、アクセス許可を求められる場合があるが、許可してよいか？

A2-9. 特定のウイルスでは、システムに存在する実行ファイル名を使い、サービスを装い動作する場合がある。このような場合、ウイルス対策ソフトをお持ちであれば、最新の状態でウイルス検査をすることをお勧めする。特定のウイルス名が分かるようであれば、各ウイルス対策ソフトのベンダーから、個々のウイルスの駆除ソフトが無償で提供されている場合があるので、そちらをお使いになるのも良い。すべての対策を行った後であれば、SVCHOST や RUNDLL のアクセスに対して許可を出して構わない。パーソナルファイアウォールを含む対策ソフト等は、常に最新の状態で動作させることが大切である。それでも、更新のタイミングでウイルスがすり抜ける可能性もあるので、おかしいと思ったら、ウイルス対策ソフトを更新し、検査することが大切である。

Q2-10. スパムメールに書かれている URL のサイトに問題がないか IPA として調査しないのか？

A2-10. IPA としては、個別の件の調査は実施しない。

Q2-11. DoS 攻撃が行われた場合、攻撃元の告訴を IPA ではやらないのか？

A2-11. 告訴は攻撃を受けた被害者や警察が行うことであり、IPA としては実施しない。

Q2-12. 不正アクセスや DoS 攻撃などで IP アドレスを詐称しているものがあるが、現在は攻撃元を特定できないのではないかと思う。こういう攻撃に対する対策はあるのか。自衛するしかないのか？

A2-12. IP アドレスを詐称された場合、攻撃元の特定は難しいので、自衛するしかない。ただ、ウイルスやワームに感染して、気づかないうちに、送信元を詐称したメールを大量に送信されたり、DoS 攻撃に加担している PC も多いと思われるため、ウイルス感染に気づいていない人への啓発活動は IPA として今後とも行っていく。

Q2-13. DoS 攻撃などは、アクセス元の IP アドレスを詐称できるので、アクセス元を特定することは困難と思うが、本来のアクセス元を特定しようという動きなどはあるのか？

A2-13. 不正アクセスのアクセス経路特定の技術を応用した技術開発例として、
　 2001年度「広域セキュリティ管理のためのセンサアレイシステムの技術開発」がある。
http://www.ipa.go.jp/SPC/report/01fy-pro/egovsec/snsrarry/snsrarry.pdf
その他、不正アクセス追跡技術について、参考資料として「不正アクセスの高感度検出およびグローバル警戒機構に関する研究」がある。
http://www.ipa.go.jp/SYMPO/sympo2000/pdf/ipa19_2_62_2.PDF

Q2-14. サイバー犯罪の例に「ホームページ上に児童ポルノ画像を置き、公開した場合など」とあるが、今後は公開せずとも単に所持しているだけで違法となる可能性も考えられるのではないか？

A2-14. 2004年6月の改正案では単純所持は除外されたようであるが、除外の理由として「プライバシーを侵害する捜査が行われる危険があるため」といった理由のようである。また、単純所持と児童の人権侵害との因果関係の説明が難しいという議論もあったようである。今後、違法になる可能性については、何とも言えない。

Q2-15. 「実際のセキュリティ対策（2）」で S/MIME を利用する場合の認証局について話があったが、認証局というのは絶対に安全と言い切れるものなのか？ また、root CA の上に立つ CA というのはあるのか？

A2-15. 認証局を運営している企業のシステムが侵入される可能性などを考えると100%安全とは言えるものではないが、認証サービスを提供するためにより厳格に運用されているので、安全性は高いと考えて構わない。また、もしそのような事態になったとしても、実際の認証サービスに直接影響が出る前に何らかのアナウンスがあると思われるので、知らないうちに証明書の信頼性が失われるということは考えにくい。root CA の上に立つ CA はない。誰かが一番上に立って認証を行わなければならないため、root CA がその役割を担っている。root CA の正当性を証明するための証明書は、別の手段を使って配布されている（ブラウザに埋め込むなど）。

Q2-16. セミナーの資料中には無いようなので、スパイウェアについて説明して欲しい。

A2-16. IPAではスパイウェアの定義を現状では行っていない。一般論としては、広告を主な目的とするアドウェアより悪質な、個人の情報を盗むためのソフトウエアと考えて良いが、スパイウェアをマルウェア（悪意のプログラム）であるとするかどうかは微妙である。一般的には、下図のように考えられている。

Q2-17. 大量のスパムメールに困っているが、ISP 側で対応できないのか？ あるいは法的対策はできるのか？

A2-17. 送信者が使用するプロバイダが分かれば、そのプロバイダに対応を依頼することは可能である。ただし、確実に対応してくれるかは不明。法的対処については警察に確認すべきである。いわゆる犯人が特定でき、かつ証拠が保全されていれば、警察の範疇となる。

Q2-18. 不要なサービスを止めるとか削除すると言うが、サービスの一覧のようなものが掲載されている情報はないか？

A2-18. インターネット上には、そのような情報（自分の経験を元に集めた対策情報等）を掲載しているサイトもある。しかし、個々のサービスについてはメーカ（Windowsであればマイクロソフト）が用意しているサポート情報（オンライン/オフライン）を参照することになる。IPA では、対策実践情報（http://www.ipa.go.jp/security/awareness/awareness.html）として読者層別の情報提供をしている。その中では、SOHO（小規模サイト）向けのページ
（http://www.ipa.go.jp/security/awareness/soho/soho.html）などが参考になるかもしれないので、参照されてはどうか。

Q2-19. ログの大切さは理解できるが、一般的にログの保存期間はどれくらいか？

A2-19. ログを保存し、定期的に解析することは、セキュリティ侵害の検知、事故発生時の原因究明のために非常に大切な作業と言える。保存期間についてはガイドラインや目安があるわけではないが、インシデントが発生した際に、証拠保全が必要という意味でも一定期間のログ情報を保存する必要はある。証拠保全ということでは、サマリー等に加工した状態は不可と思われる。サーバやネットワーク機器のアクセスログに関しては、そのサーバやネットワーク内にどのような情報資産が蓄積されているかによってもログの保存期間は異なる。個人情報保護の対象となるデータが含まれている場合には、まずは個人情報の保護に関する法律や、個人情報管理基準を策定している企業であれば、その基準に則って扱う必要がある。アクセス頻度や、ログを保存するストレージ容量などの制限も考慮すべき問題かと思われる。保存期間に関しての明確なガイドラインなどが無い現状では、各組織で、それぞれのセキュリティポリシーにより、環境に見合った保存期間設定を自己責任において行うということになる。半年〜数年まで会社によって保存期間には幅があるようである。

Q2-20. Windows 系の OS にトラステッド OS はあるか？

A2-20. Windows 系 OS については、TCSEC に準拠している厳密な意味での Trusted OS は存在しないようである。ただし、セキュリティ強化の設定を行う他、アクセス制御機能を強化する製品を導入するなど様々なセキュリティ強化の方法がある。また、最近ではセキュア OS である SELinux (Security-Enhanced Linux)上に VMware を利用して Windows 環境を構築する製品等も出てきていると聞いている。

Q2-21. 135番ポートや445番ポートへのアクセスが未だに多いということは、企業においてワームに感染したまま放置されている PC が多いと考えてよいか？

A2-21. 企業に限定されず、個人で使用している PC も含めて、感染していることに気付かずに放置されている PC が多いのではないかと推測される。対策をせずに放置していると自分が気付かずに、ワーム感染に悪用されたり、不正アクセスの踏み台にされたりしていることがある。ウイルスやワームについて、感染に気づいていない人への啓発活動は IPA として今後とも行っていく。

Q2-22. ログを管理する上で、参考となるサイトなどは無いか？

A2-22. 少し古い資料になるが、IPA の1999年度の調査報告書の中に「ログの活用方法に関する調査」というものがある。
http://www.ipa.go.jp/security/fy11/report/contents/intrusion/log-report/
logreport.pdf

Q2-23. ハニー・ポットを設置することは違法になるのか？

A2-23. ハニー・ポットとは、攻撃者の侵入手法などを調査するために、侵入しやすいよう設定されたサーバやネットワーク機器のことで、攻撃者からの攻撃を待ちうけ、攻撃方法の詳細な記録を攻撃者に知られることなく採取するものである。踏み台にされて攻撃に加担することの無いような設定もされており、自らが積極的に攻撃を仕掛けるわけではないので、違法ではない。侵入手法は日々新しくなっているため、ハニー・ポットで収集した情報は対策を考える上で有用な情報となる。

Q2-24. 高校の教師をしているが、いまどきの高校生の中には、コンピュータに詳しいものもおり、学校のネットワーク経由で不正アクセスをされるかもしれない。学校のネットワークを使う際には個々の高校生に ID を与えておらず、グループ ID での使用である。もし自分の高校の生徒が不正アクセスを働いた場合、学校が監督責任を問われることになるのか？

A2-24. 学校のネットワーク経由で不正アクセスをされた場合、学校側は管理責任を問われる可能性が高いので、日ごろから情報倫理について教育をし、そのような行為は犯罪となることを教えるのが望ましい。また、学校のネットワークを使って外部にアクセスできる状態であれば、ID 管理をしっかりして、どの学生がどのようなアクセスをしたのかわかるようにしておくことが重要である。ただ、実際にどの程度までの管理責任が問われるか、学校に落ち度ありとして罪に問われるかどうかは、現実にそのような事件が起きて裁判所の判例などの参照するべき前例が無い限りは、何とも言えない。ケースバイケースの判断になると思う。

Q3-1. ASP で業務システムを構築する場合、セキュリティポリシー上は、どうすべきか？

A3-1. ASP は、アウトソーシングのような業務委託と同様に考えればよい。ASP を使って行なう業務や取り扱う情報に対する対策状況が、自組織のセキュリティポリシーに照らし合わせて問題ないか検討し、選定や契約を行なう必要がある。

Q3-2. ネットワーク監視を外部委託するとしても、その会社が信頼できるか判断することが難しい。IPA で信頼が置ける会社を紹介したり、お墨付きをつけることをしてもらえるか？ またはそのようなことを行なっている組織はあるか？

A3-2. IPA では行なっていない。行なっている組織についての情報も無い。セキュリティ関係のサービスを提供している会社は多くあるので、その中から、ご自分で情報を集めたり、調べたりして、自社にとってより良いところをお選びいただくことになる。選択にあたっては、ISMS を取得している企業から選択したり、経済産業省の情報セキュリティ監査企業台帳
（http://www.meti.go.jp/policy/netsecurity/is-kansa/）を参照するなどの方法もあるかと思う。但し、情報セキュリティ監査企業台帳への登録は、自己申告制なので、お墨付きを与えられた企業というわけではない。
なお、その会社が信頼できるか判断が難しい場合には、業務委託契約の中で、機密保持を含むセキュリティ対策強化を義務付けたり、その会社への立ち入り検査（きちんと情報管理しているかの検査）が可能なように条項を盛り込んでおくなどの方法もあるかと思う。

Q3-3. 上司の教育というのは非常に難しいと思うが、アドバイスをいただけるか？

A3-3. 情報セキュリティマネジメントは上司・部下には関係なく、全ての従業員が対象になる。また、情報セキュリティの最高責任者は経営者であり、セキュリティポリシーの基本方針策定においては、組織のトップがポリシーを承認し、ポリシーに則ったセキュリティ対策をすることを宣言している。上司に対して部下が進言するのは難しいと思われるので、組織のトップからの指示であることを利用すること。また、マネージャ教育制度があれば、その中で、部下に対するセキュリティ教育と監督は管理者の仕事であることを教育するよう組み込んでもらうのが良いと考える。上司に、セキュリティの基礎を知ってもらうには、「情報セキュリティ読本」の一読を勧めるのも有効と思う。

Q3-4. IPA でもセキュリティポリシーを策定する前から紙の文書に関する管理規定のようなものはあったと思うが、セキュリティポリシー策定時に既存規定との整合をどのようにしたか？

A3-4. IPA の場合、ほとんどの業務を電子化し、法人文書のほとんどが電子ファイル化されている。電子ファイル化された紙の文書は廃棄処理された。現在の文書管理に関する内規は、それに併せて改定され、セキュリティポリシーと整合をとっている。

Q3-5. ISO9000 などのマネジメントシステムを既に導入している会社にとって、ISMS を導入することは、また新たなマネジメントシステムの追加となり、負荷増や、不整合は起きないか？

A3-5. ISMS は、ISO9000 や ISO14000 と同様の PDCA サイクルというマネジメントシステムの考え方を踏襲しており、非常に親和性がある。実際、ISO9000 などを導入している会社の方が、PDCA サイクルに馴染みがあり、ドキュメント管理も徹底しているため、取得の負荷が少ないと思われる。

Q3-6. 前の会社では、しかるべき部署がセキュリティ対策を行っていたが、今の会社ではそのような部署は無く、私一人で対策を実施しないといけない状況にある。今回のセミナーは非常に有意義であったが、実際にどこから手をつけたらよいのか、どのように勉強・情報収集してよいのか、わからない。

A3-6. このようなセミナーに参加する、セキュリティ関連の書籍で学習する、雑誌記事などを収集する、セキュリティに詳しい知人（相談役）をつくる、インターネットで情報検索する、実際に設定を行ってみる、・・・など方法は様々である。セキュリティに関して、専門家からのコンサルテーションを受けて、対策方針やアクションプランを作成するのもよい。できるところから、あせらずに対策を講じて欲しい。

Q3-7. セキュリティポリシーは、事件・事故が起きる前に作成すべきという意味で「予防的」対策になると思うが、「検知」や「回復」などについてはどう考えるのか？

A3-7. 確かに、セキュリティポリシーを作成・公布する時期を考えれば、事件・事故がおきる前の対策であるが、その記述内容としては、予防策に留まらず、検知策（IDS の導入など）や、回復策（バックアップ取得など）についても含んでおり、総合的、体系的な内容となっている。

Q3-8. プライバシーマークの取得を考えているが、申請はどのようにすればよいか？

A3-8. プライバシーマーク制度は、個人情報の取扱いを適切に行っている事業者を、第三者機関である財団法人 日本情報処理開発協会（JIPDEC）及びその指定機関が評価・認定し、認定の証としてプライバシーマークの使用を許諾する制度で、平成10年4月にスタートしている。財団法人 日本情報処理開発協会（JIPDEC）のホームページ（http://privacymark.jp/）に、プライバシーマーク制度の説明や、申請方法、各種資料が掲載されているので、参照して欲しい。

Q3-9. リスク対応のところで「リスク移転」（保険に加入する、外部委託するなどしてセキュリティリスクを移転すること）についての説明があったが、実際に、情報漏洩などに関する保険に加入している割合についての統計などはあるのか？

A3-9. 情報セキュリティ上のリスクを担保する保険の加入割合などに関する統計情報は、残念ながら IPA では把握していない。

Q3-10. 資料集111ページ（組織的取り組みと情報セキュリティマネジメントシステム　スライド46）に「同意書」とあるが、委託先の企業の従業員から同意書をとることの意義は何か？

A3-10. 委託先の企業の従業員から（委託先企業が）同意書を取ることで、個人情報や機密情報に関して守秘義務があり、情報漏えいを引き起こさないよう注意喚起する効果がある。
なお、委託元企業と委託先の従業員との間には直接の雇用関係は無いので、同意書は、委託先企業とその従業員との間で取り交わすことになる。委託元としては、同意書を取ることを委託の条件とするような運用が考えられる。

Q4-1. 会計事務所が監査業務において顧客の情報を扱う場合、5千を超える個人情報が含まれていると、個人情報保護法の対象となるのか？

A4-1. 会計事務所が監査業務において個人情報を取り扱う場合、情報の委託先として、個人情報の保護管理を適切に行う義務があり、個人情報保護法の対象となる。なお、個人情報の保護に関する法律施行令（平成15年12月10日政令第507号）には、（個人情報取扱事業者から除外される者）は、「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数 (中略）の合計が過去6月以内のいずれの日においても5千を超えない者とする」とあり、5,00１件以上の（5千を超える）個人情報が含まれている場合が対象となる。

Q4-2. 個人情報保護対策で、委託業者に個人情報を送る場合、暗号化が有効と聞いたが、PGP などを使いたい場合、具体的にどうすればよいか？

A4-2. 情報を送る側と受取る側の両方が PGP 暗号化ツールを導入して、それぞれ公開鍵を相手に渡し、送る側は相手の公開鍵で送るファイルを暗号化し、受取り側は、自分の秘密鍵でファイルを復号する。電子メールでも電子媒体の郵送でもよく、万が一盗聴や紛失があっても情報漏洩にはならない。PGP 暗号化ツールは販売されている製品の他に、GnuPG のように自由に利用できるものもある。PGP や S/MIME が使えるメールソフト、例えばマイクロソフト社のアウトルックエクスプレスなどでは、操作はそれほどむずかしくない。

Q4-3. 個人情報の入力作業を請け負っている会社の者だが、情報主体への利用目的の通知等、必要なのか？ 当社は、膨大な個人情報を取り扱っているが、作業は発注元のデータセンター内で行い、持ち帰り作業も発生しない状況である。

A4-3. 利用目的や利用範囲の明示は、上記作業の発注元の会社が行うべき事項なので、御社から行う必要は無い。ただし、入力作業にあたる御社社員の方が勝手に個人情報ファイルを持ち出すリスクもあるので、機密保持の契約締結を含め、漏えい対策は必要となる。経済産業省や他の省庁から個人情報保護法に関するガイドラインも出されており、内閣府個人情報保護に関する法律のページ（http://www5.cao.go.jp/seikatsu/kojin/index.html）には、様々な情報が掲載されているので、これらの資料を参照されたい。

Q4-4. 同窓会名簿のようなものでも、名簿に記載された個人の数が5千を超える場合は個人情報保護法の対象となるのか？

A4-4.個人情報保護法の対象となるのは、情報を利用する事業者が、個人情報を事業の用に供している場合であるので、個人的な親交を深める目的で同窓会名簿を利用しているのであれば、個人情報保護法の対象にはならない。しかし、同窓会組織や学校法人等が同窓会名簿を何らかの事業に利用する場合（例えば、それを利用してOBに連絡し、生徒の就職支援を依頼する等）であれば、名簿に記載された個人の数が5千を超える場合は個人情報保護法の対象となる。

Q4-5. 十数名の社員が全員個人情報を取扱うので、経済産業省のガイドラインにある、個人情報の取扱い業務に携わらない者が監査すべきという条件をクリアできない。外部監査だとそれなりに費用がかかるので、別部門がお互いに監査しあうという方法でもよいか？

A4-5. 透明性の確保という点から第三者に監査してもらうのが好ましいが、監査スキルのある社員が複数おり、同一の個人情報の取扱い業務に携わらず、別々の部門に所属している場合などは、相互監査を行うという方法もある。

Q4-6. 他組織から職員の個人情報の提出を求められた場合、どういう点に注意すればよいか？

A4-6. 企業内の他組織から個人情報の提出を求められた場合には、その組織での個人情報の利用が個人情報を入手した時の利用目的の範囲内かどうか確認することが必要となる。また、提出先から職員の個人情報が流出したり目的外利用されたりしないよう、文書による取り決めをするなども必要な措置と言える。
一方、別法人から個人情報の提出を求められた場合には、第三者提供となるので、法第23条「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」という規定に該当する。第三者提供に関しては、各省庁の個人情報保護法に関するガイドラインや内閣府個人情報保護に関する法律のページ（http://www5.cao.go.jp/seikatsu/kojin/index.html）を参照されたい。

Q4-7. 住宅地図業者や名簿販売事業者で、個人情報の掲載停止を求められた場合、今後の掲載に関しては対応するが、すでに販売している個人データも遡って削除（販売した名簿の回収など）をしなければならないのか？

A4-7. 2005年4月の法律施行以後はこの法律に則って事業を行う必要があるため、同意を得た（もしくは同意を得たとみなされる）個人情報を掲載することになるが、2005年3月以前の第三者提供に関しては、法律の施行前なので遡ってすでに販売した名簿の回収などを行う必要は無いと思われる。参考までに、法律の施行後については、2005年4月に掲載の同意を得、１年後の2006年4月に本人より第三者提供の停止（名簿掲載の停止）の申し出があり、申し出があった時以降の掲載は停止した場合、2005年4月〜2006年3月までは本人の掲載の同意があった期間であるため、すでに販売しているデータを遡及して削除する（もしくは名簿を回収する）必要は無い。

Q5-1. インシデントとセキュリティ事件・事故という言葉に違いはあるのか？

A5-1.インシデントという単語が先にあり、それを日本語にしたものなので、同義である。

Q6-1. 最近とみに情報セキュリティ（情報漏洩）の話題が多いようだが、この方面での事業で数年間の特需はありそうなのか？ あるいは継続的に需要はありそうか？

A6-1. 特需になるかどうかは IPA としては発言できない。最近情報漏洩に関する話題が世間で大きく報道されているが、情報漏洩に関しては、以前から存在していたと思われる。最近、情報漏洩を隠蔽することよりも発表する方向に、企業の考え方が変ってきている状況と思われる。したがって、情報漏洩等に対する対策は、企業にとって重要になる。

Q6-2. 今回のセミナー資料を社内の研修用で用いたいが、問題ないか？

A6-2. 以下の条件であれば、社内の研修等でご利用いただくのは問題無い。

1. 営利目的でないこと。
2. 配布する場合は、社内（含：支店、営業所等）及び校内に限ること。
3. 原本のまま複製、掲載すること(グラフの形式を変更する程度は構いません）
4. 掲載するサーバは、外部からアクセスできないこと。
5. 出典元を独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）と明記すること。（文字数の制限等により対応できない場合は、必ずし、この書式でなくとも結構です。「IPAセキュリティセンター」として頂いても構いません。）
   　　　注：ISEC：Information-technology SEcurity Center

Q6-3. セミナーでの情報（講演資料）や CD-ROM 内の情報を、セキュリティ製品の店頭販売時の POP 広告等に利用することは可能か？

A3. IPA の Web サイトから｢お問い合わせ｣→｢セキュリティお問い合わせページ｣→Web 入力で、どういう情報をどのように使いたいか具体的にご記入の上、お問い合わせいただきたい。

Q6-4. ウイルス対策スクールの CD-ROM を学校等の授業で利用するとした場合、ある程度の数まとめて入手可能か？いままでは手焼きしていたが、新版も出たという事なのでお聞きしたい？

A6-4. 必要枚数をご連絡頂ければ送付する。但し、枚数によっては、ご希望に添えない場合もあるため、その点はご承知願いたい。送付先、必要枚数、用途等を記載の上、 宛にご連絡いただきたい。

Q6-5. 資料46ページ（実際のセキュリティ対策 (1) スライド12, 16）の情報漏洩の原因における「誤操作」とは具体的に何か？

A6-5. メールアドレスのスペルミスや、Bcc: に書くべきアドレスを To: や Cc: に書いてしまうなどである。

以上

第10回 情報セキュリティセミナー実施報告