2009/05/12
日常語ISO27001 with セキュリティ新事情 ~
No.214 09.05.11 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 昨年12月発行の196号で、USBメモリのオートラン機能を停止させ るやり方を紹介しました。あらかじめ、Windows Xpでの方法なので、Vista では少々違うと思われると断り書きをしておきましたが、実は厳密には Xp professionalでの設定方法でした。当方も、システム管理を請け負って おります客先も、ほぼ全機でproを利用していたので気が付きませんでした が、Xp homeでは全然違うやり方でないと設定できなかった様です。 その方法をようやく、IPAが公開しましたので、詳しくはそちらをご覧 下さい。Vistaでの設定方法も載っています。尚、Windows me以前のOSで の設定方法は紹介されていません。使う事自体に問題があるOSだからと いう事でしょう。 http://www.ipa.go.jp/security/txt/2009/05outline.html では、214号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 先月の事になりますが、今まで見たことのない発生経緯の情報漏洩が起き ていました。 複数の生命保険会社顧客情報が路上に散乱したというのです。嘱託医が 亡くなって、後継者が居なかった様で廃業することになり、秘密扱いされな いで焼却処分に向かい、その途中でトラックから落ちたという事です。 筆者が初めて目にしたくらいですからかなり珍しいケースなのですが、 これはあり得る範囲の出来事です。しかしながら、この方面に対策を打って あるISMSは、まだ見たことがありません。業種によっては、委託業者の 管理面で気にする必要がありそうですね。 この事件は、複数要素が絡み合って起きました。 1.医院は、1人の医師で運営されていて後継者が居なかったので、医師の 身に何かあれば廃業する事になる運命だった。 2.遺族にはおそらく医師がおらず、カルテは秘密扱いしなければならない 事を知る人が居なかった。(あるいは、知っていながらぞんざいな扱いを した) 3.廃棄物業者(又は自己運搬)が、運搬中廃棄物の落下防止の義務を怠っ て路上に落とした。 このうち、1.の原因はどうしようもない事が多いでしょう。生命保険用 の健康診断なんて、年配の医師が運営している医院でやっている事が多い です。3.は本当は起きないハズなのですが、廃棄物業者にはちゃんとして いない業者がどうしても居ます。2.に対策するしかないでしょうね。 すると1人で運営している事業者に情報を預託する場合には、『身に何か あった時に、秘密情報を安全に処分する方法を親族に伝えておく事』を求め る事になります。 理想的には、預けた側まで情報を返還して欲しいところですが、遺族が そこまでやってくれるとは期待しにく過ぎます。非現実的な事まで求める よりは、実施してもらえそうなところまでを確実に頼んでおくのが良いで しょう。その観点から、紙情報をシュレッダーにかけてもらう事や、秘密/ 秘密でないの区別をしてもらう事もあきらめましょう。 『(1)紙情報は段ボールに詰めて、焼却場か古紙溶解槽まで直接持って 行って欲しい。(2)データCD/DVDは、断裁して欲しい。(3)HDDや USBメモリは、ソフトウェアで復活不可能な形に消去して欲しい。』の 3点に絞って求めるのが現実的でしょう。 単独の事業者に情報を預ける先として考えられるのは、「医師」、「税理 士」、「社会保険労務士」、「翻訳家」などの専門職者あたりでしょう。 場合によっては「情報入力の内職」あたりも該当して来そうですが、その 場合は支払う報酬が低いでしょうから、こんな事まで要求出来ない可能性が あります。やはり、業務を下請け−孫請け−ひ孫請けにどんどん外注して いくのはセキュリティ上の問題になりやすくなります。 年配の委託先ばかりではなく、健康な委託先も注意しておかなければなり ませんね。交通事故で亡くなるかもしれませんし、怖れられている鳥由来の インフルエンザが大流行する場合には、2割以上の国民が亡くなる可能性も あると言われています。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 4.2.4 ISMSの維持及び改善 会社は、下の事を定期的に行って下さい。 a)8.1項にも書かれていますが、やると決めたISMSの”改善”を、実際に行 って下さい。 b)8.2項や8.3項にも書かれていますが、必要な是正処置や予防処置(再発 防止策や未然防止策)を行って下さい。 付属書A13.2.2にも書かれていますが、自社で起こった事の経験や、新聞 などで読んだ他社で起こった事の参考が生かされる様にして下さい。 c)すべての利害関係者(ISMSを実施する社内の人達、決断をしなければなら ない自社の経営者、自社を信用して良いかどうか判断するお客さん達など) に、ISMS運用の結果や事故・事件の結果、これから行う事を伝え下さい。 それらを伝えた利害関係者には、これから行う事が実施不可能だったり、 とても面倒くさかったり、あるいは不充分だったりしないかどうか、賛成を もらって下さい。 d)改善は、確実に『やろうと思っていた事』を達成する様に行って下さい。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
