セキュリティを確保するために、最初に必要なことは、「守るべきもの」と特定することです。何を守るかが分らなければ、何をしてよいかが分からなくなります。
目次
「守るべきもの」の特定
何を守るかがわからなければ、何をしてよいかわかりません。まずは、何を守るかを決めます。守るものは以下のものが考えられます。機密性、完全性、可用性の観点から考えてみましょう。
1)個人情報、マイナンバー
2)会社や団体の機密情報
3)会社が運営するシステム
4)自身が使っている銀行の決済情報やシステムの認証情報
これらの守るべきものを、守る理由を以下に挙げておきます。
1)法律で定められている
2)契約に盛り込まれているため履行する必要がある
3)経済的損害やブランド毀損を発生させないため
4)自身を守るため
「守るべきものを取り巻くリスク」の確認
想定されるリスクには以下のようなものがあります。
1)WEB/DNSサーバー: 侵入、サービス妨害、改ざん、破壊
2)ファイルサーバー: マルウェアに感染、情報の改ざん・破壊・持ち出し
3)端末: マルウェアに感染、情報の改ざん・破壊・持ち出し
「リスクと対処のサイクル」の継続
リスクに対処した後の状況を整理し、引き続きリスク確認と対処、そして対処した後の状況をセイルするというサイクルを継続します。
個人情報
個人情報とは「個人を識別できる情報」です。部分的な情報であっても、他に入手可能な情報と突き合わせて「個人を識別できる」ような情報は、個人情報になります。個人情報のなかでも、さらに慎重な扱いが必要となるものに「要配慮個人情報」があります。これは個人情報保護法で定められているものです。本人に対する不利益が発生しなような取り扱いに特に配慮を要する個人情報です。第三者提供は、本人が認識できる形での同意にもとづいてしか認められません。個人情報を利用するには、個人を識別できないように加工する必要があります。
特定個人情報
マイナンバーを含む個人情報です。通常の個人情報よりもさらに注意深く扱われる必要があります。
マイナンバーの用途は、「税金」「社会保障」「災害対策」の三つに限定されます。取扱者は「国」「地方自治体」の公的機関と、税金や社会保険の手続きを行う「事業主」に限定されます。これらの用途と取扱者以外は、マイナンバーを扱うことはできません。マイナンバーの不適切な利用は懲役を含む重い刑罰が規定されています。
参考文献:「セキュリティの基本」, みやもとくにお/大久保隆夫, SB Creative