オフィス機器の管理

FAX、プリンター

まず、オープンエリアには置かないことです。個人情報が部外者の目に触れてしまうのはまずいからです。

また、意外に思われるかもしれませんが、これらの機器にもハードディスクがついていて印刷するデータを保管しています。プリンターの遠隔保守サービスなどのためにインターネットにつながっている場合もありますので、部外者が自由にデータを閲覧できるようになっていないか、暗号化はされているか、注意しないといけません。

ファイルサーバー

事務所内のデータ共有にファイルサーバーを用いている場合があります。大量の個人データをファイルサーバー内に保管する場合は特に設置場所に注意すべきです。

また、定期的にバックアップを取得すべきです。バックアップは外付けのハードディスクなどにとることが多いでしょうが、バックアップをとった媒体をどこに保管するか検討が必要です。同じ事務所内では災害時にサーバーもバックアップも共倒れになるかもしれません。外部に保管する場合は輸送中の紛失に要注意です。

パソコン

離席中ののぞき見に要注意です。パスワード付きのスクリーンセーバーを利用するといいでしょう(これをクリアスクリーンポリシーといいます。机上の整理整頓をして情報管理を徹底するクリアデスクポリシーと混同しないよう注意しましょう)。ディスプレイの電源を落とすだけではすぐに電源を再投入されるのであまり意味がありません。

特にモバイルパソコンは盗難のリスクが高いです。セキュリティワイヤーで机に固定すると盗難リスクを下げられます。

盗難/紛失リスクが一定程度あることを前提に、BIOSパスワード(パソコンを起動する際に最初に動くプログラムをBIOSといいます。)やログインパスワードを知らないとパソコンを起動できないようにすることや、ハードディスクを暗号化することも有効です。

そもそも、パソコンに個人情報の保管を禁止するというやり方もあります。

電子媒体(USBメモリなど)

USBメモリを介したウイルス感染事例が多く報告されています。私物のUSBメモリの使用を禁止すること、ウイルスチェックを徹底すること、オートラン機能(差し込まれたUSB内のプログラムを自動的に起動するWindowsの機能)を停止することなどが有効です。

携帯電話・スマートフォン

近年の携帯電話は記憶容量が大きくなり、携帯電話から個人情報が漏えいするリスクもそれに伴い大きくなっています。

パソコン同様にパスワードでの起動を必須としたり、データを暗号化することが有効です。また、紛失時には遠隔でデータを消去することも可能です。

BYOD(Bring Your Own Devices)

IT機器の費用を抑制する等の理由から、あえて個人所有のパソコン等を持ち込むことを許すという会社も少なくありません。

この場合、私物のパソコンに保管してよいこととするデータの範囲などを明確に決めておく必要があります。

リモートアクセス

事務所の外から事務所内のパソコンにアクセスする仕組みもあります。離れた場所から事務所のパソコンのデスクトップ上の操作ができてなかなか便利です。

便利な分、情報漏えいのリスクも高まりますので、パスワード管理の徹底や外部に持ち出せるデータの範囲を決めることが重要になります。

入退室管理

ゾーニング

情報資産を事務所のどこにおくべきか、情報資産の重要性に応じて情報の置き場所を分けることをゾーニングといいます。

一般的には、外部の人の出入りを許す「オープンエリア」、部外者の出入りを認めない「セキュリティエリア」、内部の者の中でも入室を限定する「高度なセキュリティエリア」の3区分とするのが一般的です。

オープンエリア

受付や打ち合わせコーナーなどです。ここには個人情報を置かないようにします。警備員による監視をします。

セキュリティエリア

IDカードなどにより入室を制限します。監視は社員相互により行ないます。

高度なセキュリティエリア

役員室やサーバールームが該当します。IDカードだけでなく暗証番号を入力しないと入室できないようにするなど、厳格な入室制限をします。サーバーの保守などのために部外者の入室を許すときは必ず社員が立ち会うようにします。

重要な個人情報を大量に保管する場所ですので、持ち出しを警戒してスマートフォンの持ち込みを禁止します。

IDカードの管理

偽造・なりすまし防止のため顔写真を印刷したりします。

訪問者にIDカードを貸与するときは、

  • 必要な枚数のみ貸与する
  • 退出時の回収を徹底する
  • 訪問者用IDカードで入室できるエリアを限定する

などの注意が必要です。

また、IDカード紛失時は直ちに無効化の処理をして拾得者による入室を防ぐこと、破損時には破損したIDカードも回収して偽造を防止することなども重要です。

入退室記録帳

訪問者がセキュリティエリアに入室するときは、訪問者に入退室記録帳を記録してもらいます。記録帳には、日付、入退室時刻、氏名、訪問先、訪問目的などを記入します。

重要なのは入退室記録帳を単票式にするということです。入退室記録帳自体が個人情報になるので、単票式にしないと他の訪問者に個人情報を公開することになってしまうからです。

認証技術

暗証番号

導入は容易ですが、忘れてしまうことがあるというのがやっかいです。また暗証番号盗用のリスクもあります。

磁気カード

カードをリーダーに通す方式です。カード紛失のリスクがあるほか、摩耗によるカード劣化スキミングによる偽造のリスクが指摘されています。

非接触カード(ICカード)

カードから赤外線や微弱な電波が出ていてこれを専用の機器で読み取る方式です。登録できる情報が多いこと、摩耗によるカード劣化がないことがメリットです。

SUICAやPASMOなど交通系ICカードを利用できるので、通勤定期券と入館証を兼用させることもできます。

生体認証(バイオメトリクス)

指紋や虹彩による認証方式です。忘却リスクや盗用リスクがないことがメリットです。ただ、導入にはそれなりのコストがかかるようです。

覚えておきたいその他の用語

フラッパーゲート

IDカードをかざしたその人だけを一人ずつ通すゲートです。駅の自動改札のイメージです。

入退室の記録を自動的にとれること、ピギーバックを防止できることがメリットです。

オープンドアポリシー

使用していない部屋のドアを開けておくという決まり事をいいます。侵入者に隠れ場所を与えないためです。

派遣社員の受入れ、委託先の監督

派遣社員の受入れ

派遣社員を雇用しているのは派遣元

まず確認すべきは誰と誰の間にどのような契約関係があるのか、ということです。

派遣社員は派遣先の指示に従って仕事をしますが、派遣先と派遣社員との間に雇用契約はありません。派遣社員を雇用しているのは派遣元なのです。派遣社員と派遣先には契約が成立していないということに注意しましょう。

非開示契約の当事者は派遣先と派遣元

派遣社員とは契約関係にないということになりますと、派遣先(派遣社員を受入れる会社)が非開示契約を結ぶべき相手は派遣元企業であって派遣社員ではない、ということになります。

派遣社員も監督の対象

ただ、先に説明したように、派遣社員も「従業者」に該当しますから、個人情報保護法第21条に定められた監督義務の対象者にはなります。

派遣先は派遣社員に必要な教育を施すべきですし、派遣社員の個人情報取扱を監視すべきです。

派遣社員は安全管理意識の低い企業の業務に従事した経験があることも考えられること、派遣先企業への帰属意識が希薄であることから個人情報の不適切な取扱いをしかねないということが指摘されています。

したがって、ある意味自社の社員以上に教育・監督の必要性が高いともいえます。

誓約書に自宅住所を記入させてはいけない

派遣社員に誓約書を差し入れてもらうことも安全意識を高めるために有効ですが、署名欄に自宅住所など連絡先を記入させないよう注意が必要です。

労働者派遣法という法律がありまして、派遣元が派遣先に通知すべき事項の中に派遣社員の連絡先が含まれていないからです。

委託先の監督

個人情報の取扱いを外部業者に委託する場合、個人情報取扱事業者は委託先を監督する義務を負います(個人情報保護法第22条)。

委託先選定のポイント

まずは適切な委託先を選定することが大事です。委託先選定のポイントは①パフォーマンス(信頼度)と②情報セキュリティ(情報を適切に管理する能力)の2つです。

第一点のパフォーマンスは、委託先の財務基盤がしっかりしているか(しっかりしていないと損害賠償におうじてくれません)、受託実績は十分か等の観点から評価します。

第二点の情報セキュリティは、プライバシーマークなどの認証を受けているか、個人情報管理規程はキチンと整備されているか、過去に個人情報漏えい事故などをおこしていないか、個人情報漏えい対策保険に加入しているかなどを総合的に評価します。

委託先との契約の留意点

まず(あらゆる契約にあてはまりますが)、委託者と受託者の責任の範囲を明確にする必要があります。これがあいまいだと事故が生じたときにどちらの責任になるのかはっきりしなくなります。

委託契約で特に重要なのは再委託の可否です。せっかく委託先を慎重に選定したとしても、委託先が別のだれかに丸投げしてしまい、しかもその際委託先がいい加減な業者では意味がなくなるからです。

そこで、再委託は禁止とするか、再委託には事前協議を要するとしておくべきです。

再委託を許す場合、委託先による再委託先の監督を義務づけ、個人情報の取扱いが適切に行なわれているか間接的にであれ監督する必要があります。

また、個人情報漏えいリスクを小さくするため、委託先には委託業務のため必要最小限のデータのみ引き渡すようにすることも重要になってきます。

従業者の教育・監督

教育・監督を怠ると責任が重くなる

やるべきことをしていなかったことを「過失がある」といいます。

そして、個人情報保護法第22条は、従業者の監督を義務づけています。

従いまして、従業者の監督を怠っていた場合、個人情報の漏えい事故があった場合に「過失あり」という評価がなされ、損害賠償責任が発生する可能性が高まります。

また、法的な責任はおくとしても世間からの評価は大きく損なわれます。なので、従業者の教育・監督は重要です。

従業者って誰?

監督の対象は「従業者」です。「従業員」ではありません。「従業者」です。

そもそも、この「従業者」とは誰でしょう?

従業員といえば雇用関係にある人、いわゆる会社の社員です。個人情報保護法でわざわざ「従業員」ではなく「従業者」という用語を使っているのは、「従業者」の方が範囲が広いからです。

具体的には、正社員以外のパートや契約社員はもちろん、役員や派遣社員も含まれます。

つまり、「業務に関して個人情報を取り扱う可能性のある人全員」ということになります。

従業者との非開示契約

NDA(Non-Disclosure Agreement、非開示契約)

従業者との間にNDAを結ぶのが有効です。

NDAのポイントは次の通りです。

  • 個人情報と営業秘密保持を分ける
  • 雇用契約等が終了後も非開示義務を負わせる
  • 罰則規定を設ける(ただし労基法に注意)

1点目は個人情報と営業秘密を明確に分けるということです。両者の定義が異なるので何について非開示義務を負っているのかを明確にする必要があるということです。契約書自体を2通別々に作成しても良いと思います。

2点目はNDAのヌケ・モレ防止です。退職後は使用者の指揮監督下にあるわけではありませんが、個人情報を漏えいされては困りますのでNDAの内容として退職後も非開示義務を負うことを明かにするということです。

3点目はNDAの実効性確保です。ただし労基法に注意が必要で、損害賠償額をあらかじめ○万円と決めておくのはまずいです。労基法第16条に「使用者は、労働契約の不履行について違約金を定め、又は損害賠償額を予定する契約をしてはならない」と規定されているからです。「損害賠償の請求をすることがあります」くらいにとどめておくのがいいでしょう。

誓約書

内容は非開示契約と同様です。ただ、契約書と誓約書では形式が異なります。

契約は当事者間の合意ですから、契約書には使用者と従業者双方が署名・捺印します。これに対して誓約書は従業者のみが署名・捺印して提出するものです。

なので、「誓約書には法的効力がない」と説明している本もあります。

それはさておき、個人情報の取扱いに対する意識を高める効果はありますし、こちらの方がお手軽なので実務上は誓約書の差し入れをお願いする場合が多いのではないでしょうか?

従業者の教育と監督(モニタリング)

ルールの周知

規定を定めても従業者がその存在を知らないのでは無意味です(そしてそういったケースはしばしばあります)。

ルールの周知は1回限りでなく定期的に行なうと効果的です。また、業務マニュアルに組み込んでしまえば確実性が高まります。

教育

教育の実施には現場の協力が不可欠です。研修参加で頭数が減るからです。そこで、研修参加を昇進の条件として参加に対する理解を得やすくしたり、e-ラーニングの活用で現場の負担を軽くする工夫も必要になります。

教育の理解度確認も必要です。参加するだけでよいのであれば実効性に疑問符がつくからです。

また、教育の記録をとっておくことも重要です。個人情報取扱事業者としてなすべきことをしていたという証拠になるからです。

従業者の監視(モニタリング)

重要なのは監視対象者への事前通知です。監視されていることを知らされていないことを不快に思う人もいるからです。また、監視の目的は違反の予防であって違反の指摘ではないからです。

また、監視カメラによる撮影などはそれ自体個人情報の取得にあたりますので、利用目的を通知する必要があるという言い方もできます。

監視結果の記録は個人情報を含みますので、その取扱いには十分注意しましょう。

監査

監査の意義

どれだけ立派な個人情報保護方針や規程を定めたとしても、決めたとおりに運用がされていなければ意味がありません。

個人情報は定められたとおりの場所に保管されているか、2人で行なうことになっている作業を1人でやってしまっていないか、毎月変更することにしたパスワードを面倒がって変更せずに使い続けていないか、チェックをするのが監査です。

監査の全体像

おおまかな流れは、監査計画→監査実施→監査報告です。

計画、実施、報告と進む。監査報告書を提出。
個人情報保護監査のおおまかな流れ

監査計画

監査をいつ、誰が(責任者)、何を対象に、どのような目的で実施するのか決めます。監査計画に基づいて監査手続書を作成します。

監査実施

予備調査

監査手続書と実態がかけ離れていると意味のある監査ができませんので、監査対象に関する情報を収集して監査対象の実態を把握します。

本調査

全件調査する「精査」と、サンプリング調査をする「試査」があります。業務量にもよるのでしょうが、通常は試査です。

監査の裏付けとなる資料を監査証拠といいます。監査証拠を検証した結果を監査調書にまとめます。

評価・結論

個人情報の取扱いが適正におこなわれているかどうか評価します。評価の正確性のために結論を出す前に被監査主体との間で事実確認を行ないます。

監査報告

監査報告書を作成・提出します。

指摘事項には、重大性と緊急性の区分を明示します。ルール違反にも重大な影響をもたらすものとそうでもないもの、直ちに改善しないと影響が大きくなるものとそうでもないものとがあるからです。

緊急で改善を要する事項が見つかったら、報告書作成を待たずに口頭で報告することもあります。

個人情報の取扱い内容を追跡できるように監査証拠を時系列でまとめたものを監査証跡といいます。具体的にはシステムの利用申請書、利用権限付与申請書、入退室記録、データベースへのアクセスログが該当します。

監査証跡は頻出なので言葉を覚えておいて下さい。

監査人の立場と責任

公正な監査のためには監査人の独立性が必須です。被監査主体と利害関係をもっていないこと(外観上の独立性)と、被監査主体となれ合い関係にないこと(精神上の独立性)が重要になります。

監査人の外観上の独立性を確保するために、内部監査部門を設ける場合は代表者の直轄部門とします。

監査人は監査報告書の記載事項について責任を負いますが、個人情報保護の責任自体はあくまで被監査主体にあります。監査人は指摘事項が改善されるようフォローアップすべきです。

個人情報の管理(管理台帳)

個人情報管理台帳で管理する

個人情報を管理するには、まず、どのような個人情報を取得・保有しているのかを把握する必要があります。また、個人情報にもさまざまありますからその重要度に応じた管理をすべきで、どのような管理をすることにしたのか明確にしておく必要があります。

そこで、経済産業省ガイドラインが「個人データの取扱い状況を一覧できる手段の整備」を安全管理措置としてあげていたように、個人情報を台帳に整理して一元管理することが重要です。

まずは手順書

管理台帳のキモは一元管理です。

したがって、部署ごとにバラバラのものを作ってはいけません。個人情報の取扱いがまちまちになってはいけませんし、モレがあるのもまずいからです。そこで、個人情報を管理台帳に登録する基準と手順を最初に決めます

機密性に応じた管理レベルを設定

個人情報の安全性と利便性はトレードオフの関係にあります。安全性を重視して厳重に管理することにしすぎると手続が煩雑になり、個人情報を参照するのが面倒、ということになりかねません。

そこで、個人情報の機密性に応じた管理レベルを設定します。

顧客の信用情報、人事情報や大規模に集積した個人情報などは、漏えいしてしまうとその影響が大きいですし、企業内でも取扱いが必要となる部署が限られますので、管理レベルを「関係者外秘」とします。

会社案内・商品案内にも個人情報が含まれることがありますが、これらはそもそも一般に広く公開することを目的として作成されるものですから機密性は低いので、管理レベルを「公開」とします。

両者の中間に位置する情報、例えば取引先担当者の名刺など、公開を前提とするものではないが社内で共有する必要性が高い個人情報については、管理レベルを「社外秘」として管理します。

ラベリングも全社で統一

個人情報の取扱いを適切にするため、「社外秘」「関係者外秘」などの管理レベルをファイルにラベリングすることが有効です。

また、ラベリングの表記方法がバラバラにならないようにするためには、表記のルールも手順書に明記するべきです。

手順書ができたら個人情報の棚卸し

手順書が完成しましたら、手順書に従って保有する個人情報の棚卸たなおろしをします。個人情報の棚卸しで重要となるのは以下の点です。

保有対象を定期的に見直す

経営方針や業務内容の変更により、個人情報の保有が不要となる場合があります。このような不要な個人情報は廃棄すべきです。利用しない個人情報であっても漏えいリスクや管理コストはかかるからです。

重複データは廃棄

原本とコピーを別々に保管している場合があります。可能な限り一本化して重複しているものは廃棄すべきです。管理台帳と実際の管理に齟齬がでる危険があるからです。例えば管理台帳上はすでに廃棄したことになっていてもコピーを綴ったファイルが別に存在すると結局個人情報を保有し続けていることになりますよね。

管理レベルごとにファイルを分割

管理レベルの異なる個人情報がひとつのファイルに混在している場合、ファイルを分割すべきです。管理レベルに応じた取扱いができなくなるからです。

個人情報管理台帳を作成

手順書を作成してそれに応じた個人情報の棚卸し整理がすみましたらいよいよ個人情報管理台帳を作成(修正)します。

以後は個人情報を取得・廃棄するたびに個人情報管理台帳を更新して、どのような個人情報をどのような形式で何件保有しているのか明確に分かるようにします。

個人情報保護体制の整備

個人情報保護の推進体制は下図のようなものが望ましいとされています。

個人情報保護管理者(CPO)、監査責任者などを含む組織図
個人情報保護に関する組織図の例

CPOは役員

個人情報保護管理者=CPO(Chief Privacy Officer)は、組織の個人情報保護の最高責任者です。

「管理者」というとたいしたことなさそうですが、CPOというと偉い人のように聞こえますね。

各種ガイドライン等でCPOには役員が就任することが望ましいとされています。現場任せにしてはいけない、経営者レベルに個人情報保護の責任者がいないといけないということですね。

管理委員会は横断組織

個人情報管理委員会は、個人情報保護推進のための意思決定機関です。各部門の役割と権限を分配したり個人情報保護方針を策定することがその職務となります。

管理委員会には、総務部、人事部だけでなく各部署の業務を熟知した人を部門横断的に招集するものとされています。

組織の意思決定機関ですから公式の組織として位置づけられる必要があります。

事務局は実務担当

事務局は組織内部の調整機関です。個人情報保護方針を具体化する各種規程を整備・周知すること、従業者を教育することなど実務を担当します。

監査責任者は独立性が命

個人情報保護監査責任者は、個人情報の取扱いが組織において規程どおりに実施されているかをチェックします。

独立性が重要なので、監査責任者は個人情報管理委員会やCPOとの兼任は認めるべきでないとされています。

苦情対応

苦情対応は三段構えの体制で

苦情対応の流れは2回に1回くらいの確率で出題されています。

苦情対応はまず「苦情・相談窓口」で行ない、解決すればそれで良し、しなければ個人情報取扱部門が対応します。個人情報取扱い部門の対応で納得が得られなければ事務局で対応します。「責任者でてこい!」といわれてもすぐに責任者が対応するのはよくないとされているのです。

苦情・相談窓口→個人情報取扱い部門→事務局の三段構えの体制で対応するという構造をおさえるようにしてください。

事故対応の留意点

最優先は事実確認です。漏えいした個人情報の項目や件数を確認するのが先決です。

次に、可及的速やかな公表です。時間がたてばたつほど被害が拡大するからです。事故の全容が明らかでなかったとしても、なるべく早く判明している事実を公表し謝罪した方が心証が良く評判の悪化が避けられるとされています。

被害者対応も早ければ早いほどよいです。クレジットカードの利用停止などすばやく手を打てば実害の発生を防ぐこともできるからです。

また、認定個人情報保護団体の対象事業者である場合は認定個人情報保護団体の苦情処理による問題解決につながることも期待できます。対象事業者は事故発生の事実を認定個人情報保護団体に報告すべきです。個人情報保護員会は個人情報の取扱いに関する勧告・命令権を持っていますので、事故発生時には個人情報取扱事業者の側から報告するのがよいでしょう。

最後に、漏えいのルートや欠陥など原因を究明し、再発防止策を策定してこれを公表すべきです。

個人情報漏えいの原因と影響

個人情報漏えいの原因

個人情報漏えいの原因の大半は不注意による人為的ミスです。

標的型攻撃によりウイルスに感染などが大々的に報道されますが、件数としては電車の網棚に置き忘れた、といったケースのほうがずっと多いのです。

だからこそ、教育によって個人情報の重要性を認識させることが大事になるのです。(たとえば個人情報入りの封筒を持ったままお酒を飲みにいかない、とか)

管理ミスが約30%、誤操作、不正アクセス、紛失がそれぞれ約15%。
個人情報漏えいインシデントにおける漏えい原因の比率。JNSA 2016年情報セキュリティインシデントに関する調査報告書をもとに作成

個人情報漏えいの影響

個人情報漏えい事故が発生すると漏えい元の組織にはどのようなダメージがあるのでしょうか?

日本年金機構の事件では、コールセンターの設置費用、年金手帳の再作成などにより億単位の費用が発生しただけでなく、未納者への督促が滞るなどの影響があったようです。

ベネッセの事件では、お詫び費用や問い合わせ対応の費用が生じたほか、イベント中止、会員数減少もあり営業赤字に転落しました。引責辞任された役員もいらっしゃるようです。

ところで、個人情報を漏らされてしまった方々への損害賠償額はどのくらいなのでしょうか?

おおよその相場としては数百円から数万円のようです。500円の金券を送って済ませる場合もありますし、スリーサイズなどがさらされたエステ会社の個人情報漏えい事故のときはひとり3万円だったそうです。

この金額の差は主に「経済的損失レベル」と「精神的苦痛レベル」の相関関係により決まってくるといわれています。

漏えいにより経済的損失が発生するのであればその埋め合わせが必要ですし、知られたくない情報が漏えいしたのであれば慰謝料が必要になるということですね。

個人情報漏えいにおける想定損害賠償額の算出モデル

JNSA 2016年情報セキュリティインシデントに関する調査報告書 別紙を基に作成。

経済的損失レベル 3
  • 口座番号&暗証番号
  • クレジットカード番号&カード有効期限
  • 金融系Webサイトのログインアカウント&パスワード
  • 決済機能付きのサイトの顧客登録情報(アカウントにメールアドレスを使用する場合も含む。)
  • 遺言書
  • 前科前歴
  • 犯罪歴
  • 与信ブラックリスト
2
  • パスポート情報
  • 購入記録
  • ISPのアカウント&パスワード(アカウントにメールアドレスを使用する場合も含む。決済機能のないサイトのアカウント&パスワードも含む)
  • 口座番号のみ
  • クレジットカード番号のみ
  • 金融系Webサイトのログインアカウントのみ
  • 印鑑登録証明書
  • ソーシャルセキュリティナンバー
  • サービス申込(加入申請)情報
  • 年収・年収区分
  • 所得
  • 資産(固定資産税など)
  • 建物
  • 土地
  • 残高
  • 借金
  • 所得(生活保護に関わる情報含む)
  • 借り入れ記録、
  • 購入履歴(スタンプやポイントは除く)
  • 給与額
  • 賞与額
  • 納税金額
  • 寄付目的・金額
  • 税や保険、保育費などの未納金額
1
  • 氏名
  • 住所
  • 生年月日
  • 性別
  • 金融機関名
  • 住民票コード
  • メールアドレス
  • 健康保険証番号
  • 年金証書番号
  • 免許証番号
  • 社員番号
  • 会員番号
  • 電話番号
  • ハンドル名
  • 健康保険証情報
  • 年金証書情報
  • 介護保険証情報
  • 会社名
  • 学校名
  • 役職
  • 職業
  • 職種
  • 身長
  • 体重
  • 血液型
  • 身体特性
  • 写真
  • 肖像
  • 音声
  • 声紋
  • 体力測定値
  • 家族構成
  • ISPアカウント名のみ
  • 患者番号
  • 受診科目・受診日
  • 水栓番号
  • 保険加入状況に関する情報
  • 請求に係る金額(払戻しの請求金額など)
  • 健康診断結果(結核検査記録など)
  • 心理テスト結果
  • 性格判断結果
  • 病歴
  • 手術歴
  • 妊娠歴
  • 看護記録
  • その他身体検査記録
  • 治療法(治療に係る記録映像含む)
  • レセプト情報(治療に係る金額)
  • 身体障がい者手帳情報
  • DNA情報
  • 身体障がい情報
  • 知的障がい情報
  • 指紋
  • 生体認証情報(静脈、声紋、虹彩、網膜、顔画像等)
  • スリーサイズ
  • 人種
  • 地方なまり
  • 国籍
  • 趣味
  • 特技
  • 嗜好
  • 民族
  • 賞罰(交通違反切符など)
  • 職歴(求職に関する書類含む)
  • 成績(教務手帳を含む)
  • 試験得点(解答用紙など含む)
  • 日記
  • メール内容(内容によって、どの情報に該当するかを判断すべし)
  • 位置情報
  • 児童相談に関わる情報
  • 高齢者医療保険や介護保険の還付金額
  • プライベート(恋愛)情報
  • 加盟政党
  • 政治的見解
  • 加盟労働組合
  • 信条
  • 思想
  • 宗教
  • 信仰
  • 本籍(戸籍附票、住民票に記載されている本籍も含む)
  • 病状(結核医療に関する情報など)
  • 保有感染症
  • カルテ(エックス線写真も含む)
  • 認知症情報
  • 精神的障がい情報
  • 性癖
  • 性生活の情報
  • 介護度
  • プライベート(不倫)情報(写真も含む)
1 2 3
精神的苦痛レベル

リスク対応

リスク対応の分類

リスク対応はリスクの発生確率の大小と発生時の損失の大小によってリスク対応指針を決めるのが基本です。

発生確率大、損失大→回避

しょっちゅう発生してしかも大きな損失が出るリスクがあるとしたらそれは当然避けるべきです。

例えば、川の近くにデータセンターがあり、毎年台風の時期に浸水の被害を心配しなければならない場合、データセンターの引っ越しをしたらよいのです。

発生確率小、損失小→保有(受容)

めったに発生しないし、発生したとしてもたいした損失がでないのであればそのようなリスクは放っておくというのも一案です。

なぜならば、リスク対応にはそれなりにコストがかかるからです。コストをかけてまで対応する必要がないと判断できる場合は無視した方が得策ということです。

発生確率小、損失大→移転(分散、共有)

めったに発生しないので自ら対応を講じるのは費用倒れに終わる可能性が高いです。

他方で、発生した場合の損失は大きいので無視することはできません。

そのようなリスクは他社に移転するのが得策です。代表例は保険をかけておくことです。保険料の負担は免れませんが、発生してしまう大損失は保険で埋め合わせをするのです。

また、データ運送中に盗難などが心配なのであれば、自ら運ぶのではなくセキュリティ会社に運送を依頼するということも考えられます。

発生確率大、損失小→軽減(修正)

発生する確率は大きい、しかし巨額の損失が出るわけではない。そんな場合は損失を軽減する、あるいは発生確率を下げるよう対策を練るべきです。

回避、軽減、移転、保有
発生確率と損失によるリスク対応の種類

リスクファイナンス

リスク対応を実施する費用を用意することをリスクファイナンスといいます。

具体的には、内部で積み立てをすることや保険を利用することが該当します。

残存リスク

リスク対応をしても残るリスクを残存リスクといいます。

これをリスク評価の過程で設定した許容水準以下に抑えるようにリスク対応をします。

これは経営判断なので、当然経営者が行なうべきことです。この試験ではなぜかこんな当たり前のことがたびたび聞かれています。試験本番では「現場のことは現場がよくわかっているので」とか「迅速かつ柔軟に対策を講じるべきだから」などともっともらしい理由をつけて「経営者の関与を待たずに現場で対応すべき」に○をつけさせようとしますのでひっかからないようにしてください。

脅威と脆弱性

脅威は事故原因、脆弱性は弱点

以前出てきました「脅威」とは、「システムまたは組織に危害を与える、好ましくない事故の潜在的な原因」と定義されます。

情報資産の機密性・完全性・可用性を損なう原因、といった方がわかりやすいでしょうか。

例えば、盗難(人為的意図的脅威)、紛失(人為的偶発的脅威)、洪水(環境的脅威)がありますと、情報資産が一部消失したり(完全性が損なわれる)、利用したくてもできなります(可用性が損なわれる)ので、これらは脅威の具体例としてあげることができるわけです。

他方、「脆弱性」とは「脅威によって影響を受けうる情報資産の弱点」のことです。

先の例で言えば、入退室管理が徹底されていないことは盗難に対する脆弱性、情報資産の持ち出しルールの不備は紛失に対する脆弱性、データセンターが河川のそばに立地していることは洪水に対する脆弱性といえます。

事例を読ませて、脅威と脆弱性を指摘させる問題が毎回のように出題されます。過去問を解いて慣れておくとよいでしょう。

 STRIDE脅威モデル

ネットワークシステムやWEBアプリケーションに対する脅威については脅威の頭文字をとったSTRIDE脅威モデルというものがあります。英語表記は覚えなくてもいいですが、内容を知らないと即アウトなのでご注意ください。

Spoofing Identity なりすまし ユーザーID、パスワードを盗んでその人のふりをして不正行為を行なうこと
Tampering with Data データの改ざん ネットワーク経由でコンピュータに不正侵入してデータを書き換えること
Repudiation 否認 ネットワーク上でした売買などの契約を否認すること(例えば通信履歴を消して代金支払いを拒否する)
Information Disclosure 情報の漏えい ネットワーク経由でコンピュータに不正侵入して情報を不正取得すること
Denial of Service (DoS) サービス拒否 大量のデータを送りつけるなどしてコンピュータに過大な負荷をかけてシステムをダウンさせること
Elevation of Privilege 特権の昇格 不正侵入した攻撃者が管理者権限を不正取得してファイルの改ざんなど不正行為をすること

特に重要なのは「否認」と「サービス拒否」の区別です。日本語だけ見ますとどちらも同じことのように聞こえるのですが、中身は全く異なりますのでしっかり区別してください。サービス拒否=Denial of Service(DoS)だけは英語と日本語の両方を覚えておいた方がいいかもしれません。「DoS攻撃」などという用語も後ででてきますから。

ソーシャルエンジニアリング

ユーザーIDやパスワードなど不正アクセスに必要な情報を関係者から直接聞き出す不正アクセスの手口をソーシャルエンジニアリングといいます。

ソーシャルメディアの利用とは全然関係ありません。

具体的手口にはさまざまなものがあります。

ショルダーハック

肩越しにのぞいてパソコンにパスワードを入力するところや机上のパスワードのメモを盗み見することです。

トラッシング(スカビンジング)

ゴミ箱あさりのことです。パスワードのメモなどを安易に捨ててはいけません。産業廃棄物の中からハードディスクをとりだし中を見るケースも含まれます。

ピギーバック(不正入構)

ピギーバックとはおんぶのことです。社員がIDカードを使って入室する直後、ドアが閉まる前にいっしょに入室してしまう手口などがあります。

フィッシング(phishing)

偽のホームページに誘導してユーザーIDやパスワードを入力させたりする手口です。ネットバンキングの偽Webサイトに誘導してお金を送金させてしまうという悪質なものもあります。

リバース・ソーシャル・エンジニアリング

ユーザーの方から不正侵入者にコンタクトをとる仕掛けを仕組んでおいてユーザーからの連絡を待つ手口です。

典型例は、システム管理者を装い偽の連絡先を伝えておき、本当にシステムトラブルなどがおこったときに連絡してきたユーザーからアクセスに必要な情報を聞き出してしまう手口です。