∞∞∞∞∞∞生彩ある人生 : 2008年04月

2008年04月27日06:30

情報の機密性・完全性・可用性

カテゴリ

「情報セキュリティ・マネジメント」は、経済協力開発機構（OECD）が2002年7月に公表した「情報システム及びネットワークのセキュリティ・ガイドライン」に基づく概念です。（http://www.oecd.org/dataoecd/24/57/2496199.pdf）

情報とは以下の3つの要素を持つものであり、これらの要素を常に保ちえるような安全管理を行なうべきとしています。

①機密性（Confidentiality）
　情報が、必要最低限の範囲で利用され、不当な開示・流出・漏えいがなされれないこと。これを保証するためには、情報に対するアクセスの管理や情報の暗号化が有用です。

②完全性（Integrity）
　情報が、意図しない改ざん・破壊などをされることなく、その正確性・網羅性を維持し、保証すること。これを保証するためには、プログラム開発の際における慎重な配慮、情報に対するアクセスの管理、ネットワークに対する信頼性の強化が必要です。

③可用性（Availability）
　情報や情報システムが、故障などにより利用不可能となる状態を防止し、許可されたものが必要なときにこれを利用できること。これを保証するためには、データやシステムの継続的利用を維持しえる手段を講じ、また、利用が中断した場合における早期復旧やバックアップを可能とする手段を講じることが必要です。

2008年04月20日06:17

情報管理による法体系

カテゴリ

企業の情報管理にはどのようなものがありますか？とご質問をいただきます。情報セキュリティ管理と個人情報管理に大別できます。

情報セキュリティ管理とは、企業秘密などの秘密情報や個人情報なども含めた企業情報全般の管理です。しかし、個人情報保護法制定後の現在は、これと個人情報管理を区別して扱う人用があります。個人情報取扱事業者に課せられた必要か津適切な安全管理措置（法20条）などを果たす意味から、個人情報管理を区別して考えるのが適切です。

今、企業には企業に係るすべての情報をトータルで管理することが求められています。

◆情報管理による法体系◆

《侵害行為を禁止するもの》
①不正競争防止法（営業秘密の保護）
②不正アクセス禁止法
③電波法（暗号化通信の傍受・漏えい禁止）
④刑法
　・電磁的記録不正作出・供用罪
　・電子計算機損壊等業務妨害罪
　・電子計算機使用詐欺罪
　・不正指令電磁的記録作成罪（コンピューター・ウイルス作成等の禁止）
　・文書毀棄罪

《事業者に管理義務を課すもの》
⑤プロバイダ責任法
⑥個人情報保護法（個人情報取扱事業者の義務）

《文書の効力に関するもの》
⑦電子署名法

（以上）

2008年04月15日06:36

第三者に提供するには

カテゴリ

Q：当社が持っている個人データーを下請け先につたえることはできますか？

A：下請け先であっても、別の会社ですから、「第三者」に当たります。よって、原則として、本人の同意がない限り、個人データーを提供することはできません。
　ただし、商品（サービス）についての欠陥の調査を下請け先に委託している場合には、下請け先は委託先にあたり、「第三者」にはあたらないことになります。そこで、本人の同意を得ることなく、個人データーを伝えることができます。　

Q: 個人データーの取扱について再委託（再々委託）がなされる場合に注意すべき点は何でしょうか。

A: このような場合、委託元は、再委託先を直接、監督することまでは要求されません。しかし、個人データーの安全管理について、必要かつ適切な監督を行うことが義務付けられていることに変わりはありませんので（個人情報保護法22条）、直接の委託先を通じて、再委託先における取扱の実態を把握しておく必要があります。また、委託先による再委託先の選定や監督について適切な指導を行なうことも必要です。