情報セキュリティ対策実践情報：情報漏えいインシデント対応方策に関する調査

2005年4月に個人情報保護法が本格施行され、個人情報保護の重要性が広く世間に認知されるようになりましたが、民間企業、公的機関を問わず個人情報の漏えい事故・事件の報道が後を絶ちません。
例えば、自宅や出張先で使用するために持ち運んでいたノートパソコンやUSBメモリなどを紛失してしまうという事故や、ウイルスに感染したパソコンからWinnyやShareといったファイル交換ソフトを介して企業・組織の重要情報や顧客の個人情報が漏えいするという事故、従業員による個人情報の不正持出し事件などがあります。
このような情報漏えいインシデントが発生した場合、速やかに適切な対応を行う必要がありますが、情報セキュリティの専門家がいない中小企業等においては、インシデント対応マニュアルや対応ノウハウを持っていない場合が多く、いざそのような事故が起きてからどうしたらよいか苦慮していると推察されます。
本調査では、過去5年間に報道されたり自らウェブで発表した情報漏えい事故153件を、情報漏えいのタイプ別に調査分析し、専門家からのヒアリングと合わせて、情報漏えいインシデント発生時にどのような対応をとるのが良いか、各分野の専門家で構成する調査委員会で検討し、ベストプラクティスとして報告書にまとめました。
また、情報漏えいインシデントが発生した時にインシデント対応チームが簡便に利用できる小冊子「情報漏えい発生時の対応ポイント集」を作成しました。
小冊子は、インシデント対応の作業ステップと、情報漏えいタイプ毎の留意点、流出した情報の種類毎の留意点、通知・報告・届出における留意点などについて分かりやすく解説してあります。
法律や技術などを専任で担当する従業員などを十分確保することが困難な中小企業等で情報漏えいインシデントが発生した場合に、これらの資料が有効に活用され適切な対応を速やかに行うことに役立つことを期待します。

第1　情報漏えい対応の定義・態様

1. 情報漏えいの概念
2. 本報告の基本的な立場について
3. <情報漏えいの態様について/li>
4. 情報の分類

第2　事故事例の調査分析

1. 調査分析の概要
2. 調査分析手法
3. 調査結果
4. 分析結果

第3　情報漏えい対応策

1. 情報漏えい対応の枠組みと基礎
2. 情報漏えい対応の具体的な段階

第4　情報漏えい対応のまとめ

1. 情報漏えいパターン別対応フロー　～紛失・盗難～
2. 情報漏えいパターン別対応フロー　～誤送信・Web誤公開等～
3. 情報漏えいパターン別対応フロー　～内部犯行～
4. 情報漏えいパターン別対応フロー　～Winny/Share等への漏えい～
5. 情報漏えいパターン別対応フロー　～不正プログラム～
6. 情報漏えいパターン別対応フロー　～不正アクセス～
7. 情報漏えいパターン別対応フロー　～その他（風評・ブログ掲載）～
8. 全般的な留意事項
9. 事後告知、謝罪などの構成例

付録1　Winny (P2Pネットワーク) とインターネットの関係
付録2　Winnyネットワークの特性および情報漏えい対応に影響を与える特殊性について
付録3　Winnyトラフィックの制限と通信の秘密
付録4　Winnyをめぐる法律問題の概観
付録5　警察に助力を求める際の留意事項

参考文献一覧