情報セキュリティポリシー

2020年5月20日

個人情報管理と、コンプライアンスの観点から情報セキュリティポリシーを設定する事が重要。
ポリシーとは、方針の意。

要点まとめ

• 情報資産のセキュリティ規約を文書化したものを、情報セキュリティポリシーという
• 情報セキュリティポリシーは、基本方針、対策基準、実施手順の３階層からなる
• 情報セキュリティポリシーを設定後、セキュリティ対策を実際に設定する

情報セキュリティポリシー

情報セキュリティポリシーとは、情報資産のセキュリティ規約を文書化したものを指す。
目的は、情報セキュリティポリシーに従い情報漏洩を未然に防ぐことである。

情報セキュリティポリシーを設定するだけでなく、そのポリシーを守る為に、セキュリティ対策を行う必要がある。

基本方針

その企業の経営者が、セキュリティに関する方針を社内外に宣言したもの。
以下を設定する。

• 事業の運営体制
• 責任範囲
• 罰則

対策基準（スタンダード）

基本方針に従って、守るべき規定を具体化したもの。
以下を設定する。

• 適用範囲
• 対象者
• リスク分析：どのような脅威や脆弱性が潜んでいるか

例：パスワードは他人に推測されにくいもので、自分で覚えやすいものとする

実施手順（プロシージャ）

部門ごと、想定担当者ごとに、対策基準を具体的なプロセスにまとめた文章。

例：パスワードは英数字を含む8文字以上でなければならない

他には以下のような実施手順がある。

• サーバーにセキュリティソフトを入れる
• ID、パスワードの変更スケジュールを1ヵ月ごとに行う
• アクセス権限を設定する
• IPアドレスの限定
• 印刷物の保管はロッカー鍵付きで
• 印刷物の破棄はシュレッダーで

外部に公開されるのは、基本方針のみで、対策基準と実施手順は社内で共有する。
一度共有して終わりではなく、徹底周知することが望ましい。セキュリティポリシーを設定しても、社内の一人が守らなかったら簡単に情報は漏洩する。
パスワードが数字4桁だけなら、容易にハッキングされる可能性が高い。
他には、持ち出し禁止の情報をUSBフラッシュメモリにデータを入れ、持ち出して紛失すれば情報漏洩となる。

情報漏洩はヒューマンエラーで容易に発生してしまうので周知徹底する。