重要な情報(たとえば個人データや機密情報など)については、入手、作成、利用、保管、交換、提供、消去、破棄などの一連の業務プロセスごとにきめ細かくセキュリティ上の適切な措置を講じていますか。
(適切な措置とは、業務プロセスごとの作業責任者や作業手順の明確化、取扱者の限定、処理の記録や確認などを指します。また、業務プロセスは、手作業で行うか、情報システムに依存するかを問いません。)
重要情報の入手、作成、利用、保管、交換、提供、消去、破棄などに当たっては、そうした一連の業務プロセスごとの作業責任者や作業手順の明確化、取扱者の限定、処理の記録や確認などが必要です。
1.各業務プロセスにおける作業責任者や作業手順を明確化し、その手順に基づいて作業を実施しているか
2.各業務プロセスにおける作業を適切な担当者のみに限定し、その作業担当者の認証や権限付与の状況を確認しているか
3.重要情報に対するアクセスの記録・保管、権限外作業の有無の確認など、対策の実施状況を把握しているか
4.組織内外での情報の交換について、ルールと手順を定め、その手順に基づいて作業を行っているか
5.重要な情報が消失、変更、誤用されないよう、操作ミスを考慮した運用方法を定めているか
6.重要な情報について、漏えいや不正利用を防ぐために、保護対策を実施しているか
個人データや営業秘密など特に重要な情報については、その情報が電子化されているかどうかによらず、入手、作成、利用、保管、交換、提供、消去、破棄など一連の業務プロセスごとにセキュリティを考慮した処理の手順を定めておく必要があります。業務プロセスごとに行うべき作業とその実施責任者を定義し、誰が実施しても間違いがないように明確に手順を定めておくこと、実施状況をチェックする責任者を設置し、作業が手順通りに実施されていることを確認することが求められます。
セキュリティを考慮した処理の手順とは、たとえば次のようなものです。
1.情報の入手・作成時には、情報の分類と格付けを行う。
2.利用に際しては、業務目的以外の利用の禁止や、ルールや手順に沿った取扱を行う。
3.保存に際してはアクセス制御やバックアップといった基本的な保護対策を確実に行う。
4.情報の交換に際しては、情報の送信や運搬の際に、情報漏えいが起こらないような対策を行う。
5.情報の提供に際しては、提供先で適切な情報の取扱がなされるような措置を行う。
6.消去や破棄に際しては、破棄された文書や電子媒体からの情報漏えいが起こらないよう、紙は裁断などを行い、電子的情報は復元が困難なように、消去ソフトで消去するなどしてから破棄する。
7.電子データの公開に際しては、公開しようとするファイルの取り違えや、ファイルのプロパティ(属性)情報の消し忘れなどによる不用意な情報の流出を防止するため、十分な確認を行う。
各業務プロセスにおける作業は決められた担当者だけが実施するようにしておく必要があります。具体的には、情報が保管されているシステムや書庫にアクセスできる人を制限する、あるいはアクセスできる情報を作業担当者ごとに制限することが求められます。
また、作業担当者の交代が多い組織では、作業担当者の ID 管理や作業権限の定期的なチェックが必要になります。作業担当者には、それぞれ別のID を付与し、誰が作業を実施したのかが識別できるようにします。複数の作業担当者が一つの ID を共有することは、情報にアクセスしたのが誰なのかを後から特定することができないといった問題があるので避けるべきです。また、各作業担当者が実施可能な作業についても、作業担当者ごとに個別に必要十分なだけの権限を付与し明確化しておくことが必要です。
重要情報に対するアクセスの記録を取得し、一定の期間保管しておく必要もあります。アクセスの記録は定期的にチェックし、不正なアクセスが行われていないかどうか、権限外の作業が行われていないかどうかなどの点についてチェックすることも有効な管理策です。
重要な情報の消失、変更、誤用、漏えい、不正利用を防ぐため、担当者の操作ミスや不正も考慮した運用方法や保護対策を策定・実施する必要があります。