読者です 読者をやめる 読者になる 読者になる

トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

METI「秘密情報の保護ハンドブック~企業価値向上に向けて~ 」メモ

2016年2月8日に経済産業省から公開されました。

秘密情報の保護ハンドブック~企業価値向上に向けて~

本文に出てくる参考資料をまとめたものも公開されています。

構成

第1章 目的及び全体構成
1-1 目的及び留意点等
1-2 本書の全体構成
1-3 本書の使い方
コラム① 本書をどのように使えばいいの?
第2章 保有する情報の把握・評価、秘密情報の決定
2-1 企業が保有する情報の評価
(1)企業が保有する情報の全体像の把握
(2)保有する情報の評価
2-2 秘密情報の決定
(1)秘密情報の決定に当たって考慮すべき観点のイメージ
第3章 秘密情報の分類、情報漏えい対策の選択及びそのルール化
3-1 秘密情報の分類
3-2 分類に応じた情報漏えい対策の選択
3-3 秘密情報の取扱い方法等に関するルール化
(1)ルール化の必要性とその方法
(2)秘密情報の取扱い等に関する社内の規程の策定
コラム② こんなに怖い、秘密情報の漏えい
3-4 具体的な情報漏えい対策例
(1)従業員等に向けた対策
(2)退職者等に向けた対策
(3)取引先に向けた対策
(4)外部者に向けた対策
コラム③ 標的型攻撃メールってどんなもの?
コラム④ 最低限のサイバーセキュリティって?
第4章 秘密情報の管理に係る社内体制のあり方
4-1 社内体制構築に当たっての基本的な考え方
4-2 各部門の役割分担の例
第5章 他社の秘密情報に係る紛争への備え
5-1 自社情報の独自性の立証
5-2 他社の秘密情報の意図しない侵害の防止
(1)転職者の受入れ
(2)共同・受託研究開発
(3)取引の中での秘密情報の授受
(4)技術情報・営業情報の売込み
5-3 営業秘密侵害品に係る紛争の未然防止
第6章 漏えい事案への対応
6-1 漏えいの兆候の把握及び疑いの確認方法
(1)漏えいの兆候の把握
(2)漏えいの疑いの確認
6-2 初動対応
(1)社内調査・状況の正確な把握・原因究明
(2)被害の検証
(3)初動対応の観点
(4)初動対応の体制
6-3 責任追及
(1)刑事的措置
(2)民事的措置
(3)社内処分
6-4 証拠の保全・収集
(1)証拠の保全
(2)証拠の収集

目的は

秘密情報を決定する際の考え方や、その漏えい防止のために講ずるべき対策例、万が一情報が漏えいした場合の対応方法等を示しており、それによって、経営者をはじめとする企業の方々に、自社における秘密情報の管理を適切に実施していく際の参考としていただく本書では、秘密情報を決定する際の考え方や、その漏えい防止のために講ずるべき対策例、万が一情報が漏えいした場合の対応方法等を示しており、それによって、経営者をはじめとする企業の方々に、自社における秘密情報の管理を適切に実施していく際の参考としていただく *1

となっています。

感想

144ページの大作です。自社の機密情報が何かを把握し、それを守るために何をすべきか、漏えいした場合どうするか、という話。ISMS認証取得のためのToDoという感じもして、そういえば来年度に認証制度を改定するって話があったのでその布石かなあと思いました。


まず気をつけたいのは以下。

秘密情報の漏えいの中には、従業員のミスによるものなど、漏えい者が意図しない形での漏えいも含まれますが、本書では、基本的に、意図的な秘密情報の漏えい防止を目的とした対策を紹介しています。*2

マルウェア感染や操作ミスによる情報漏えいは対象じゃありませんよ、と。

まったく個人的な意見ですが、マルウェア感染などによる意図しない情報漏えいを組織が防止しようというときには、まずやることは従業員になんらかの行動を促す/禁止するのではなく、システムや業務フローに感染や漏えいを防止する仕組みを組み込むことだと思ってます。ウイルス対策ソフトをすり抜けるマルウェアが、どう見ても自分宛のメールに添付されてくるような時代に、「あやしーめーるはひらかないようにしましょー」とかいう通達のみで済ますとか言語道断。これって「組織として対策する気はないんで、個人で頑張ってね」って言ってるだけじゃん。こんなんで漏えいさせたら責任取らせるとかいうのは隠蔽を助長するだけですよバーカバーカ。



さて。


初手の「第2章 保有する情報の把握・評価、秘密情報の決定」もうここから難しいですよねぇ。保有する情報の把握方法として、

① 経営者等の責任者が社内の各部署や担当者に対して直接ヒアリング等を実施することにより把握する方法
② 秘密情報の管理を統括する部署が統一的な基準を示しつつサポートしながら、各部署や個別の担当者に、その基準に則してそれぞれが有する情報を経営者等の責任者に報告させ、情報を集約することにより把握する方法 *3

とありますが、実際こんなことやるのは大変だ。まあこういうのは最大の理想を書くものなのでしょうね。


「6-1 漏えいの兆候の把握及び疑いの確認方法」はちょっと面白い。従業員、退職者、取引先、外部者それぞれの漏えいの兆候を紹介しています。

例えば従業員の兆候。社畜は疑われます。

① 業務量に比べて異様に長い残業時間や不必要な休日出勤(残業中・休日中に情報漏えいの準備等を行う従業者が多いことから兆候となり得る)
② 業務量としては余裕がある中での休暇取得の拒否(休暇中のPCチェック等による発覚を恐れるため兆候となり得る)*4


個人的に強く賛同するのはこれ。

a.職場の整理整頓(不要な書類等の廃棄、書棚の整理等)
○ 不要となった書類が廃棄されておらず、様々な資料が乱雑に積まれ、整理がなされていない状態となっていると、職場全体が情報管理に対して無関心であるとか、無責任であることを情報漏えい者に連想させ、情報漏えいを行ったとしても発覚しないと思わせることになってしまいます。*5

机の上が乱雑な企業にはセキュリティ対策は期待できません(断言。
ISMS認証を取得したいという企業に最初にすべき質問は、「机の上に紙の書類を置くことは一切禁止されますけどそれでも取りますか?」だと思ってます。


と、なんかメモにかこつけた自己主張になってますが、秘密情報を守りたいけど何からやっていいか分からない、という企業の人が読むといいのかなあと思いました。いつかは腰据えてこういうことしなきゃいけないよねっていう。

*1:P.1 (本書の目的)より

*2:P.3(本書の留意点) より

*3:P.8 より

*4:P. 123より

*5:P. 40【管理の行き届いた職場環境を整える対策】より