2005年10月28日

NSF2005 in OSAKAに行ってきた

JNSA西日本支部主催の「NSF2005 in OSAKA」に行ってきた。
http://www.jnsa.org/seminar/2005/seminar_20051027.html


最近はこの手のセミナーに行くと知りあいにあうことが多いのだが、今日は誰にも会わなかったなあ。
無料にしてはかなり中身のあるセミナーだった。

以下メモ。

----
「企業における情報セキュリティガバナンスのあり方」
経済産業省商務情報局
情報セキュリティ政策室・課長補佐
村野正泰


「企業における情報セキュリティガバナンスのあり方に関する研究会」報告書に基づいたお話だった。
http://www.meti.go.jp/report/data/g50331dj.html


情報セキュリティガバナンスの確立に向けた施策ツールが3つあげられていて
1、情報セキュリティ対策ベンチマーク
 http://www.meti.go.jp/report/downloadfiles/g50331d01j.pdf
 セルフチェックのWebサイトはIPA
 http://www.ipa.go.jp/security/benchmark/index.html

2、情報セキュリティ報告書モデル
 http://www.meti.go.jp/report/downloadfiles/g50331d05j.pdf

3、事業継続計画策定ガイドライン
 http://www.meti.go.jp/report/downloadfiles/g50331d06j.pdf

 中央防災会議 企業評価・業務継続WG
 「事業継続ガイドライン」
 http://www.bousai.go.jp/MinkanToShijyou/index.html
 http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf
 
 (お話じゃなくPDFの資料によると)一応、中央防災会議の詳細版が経産省版、という位置づけらしい。

 INTAPビジネス継続性技術委員会という業界団体もある
 http://www.intap.or.jp/
 
 
コンプライアンス・CSR
  経団連、企業行動憲章
  http://www.keidanren.or.jp/japanese/policy/cgcb/charter.html
  経済同友会:市場の進化と社会的責任経営
  http://www.doyukai.or.jp/whitepaper/articles/no15.html
  経済産業省:情報セキュリティ報告書

OECDの「情報システム及びネットワークのセキュリティのためのガイドライン・セキュリティ文化の普及に向けて」
 経産省訳
  http://www.meti.go.jp/policy/netsecurity/oecd2002.htm
 外務省訳
  http://www.mofa.go.jp/mofaj/gaiko/oecd/security_gl_a.html
 
 第2条:
   すべての参加者は、情報システム及びネットワークのセキュリティに責任を負う。
 第8条:
   参加者は、セキュリティマネジメントへの包括的アプローチを採用するべきである。

----
「2004年度個人情報漏えい事件の分析と想定賠償額の算出による評価」
株式会社損保ジャパン・リスクマネジメント
セキュリティ被害調査WGリーダー
山本 匡

 警察庁「不正アクセス行為対策等の実態調査」
 http://www.npa.go.jp/cyber/research/h16/countermeasures.pdf

 JNSA「2004年度情報セキュリティインシデントに関する調査報告書」
 http://www.jnsa.org/active/2004/active2004_1a.html

 想定損害賠償額算定式(上記調査報告書のP.34〜)
  想定損害賠償額=(基礎情報価値×機微情報度×本人特定容易度)×情報漏洩元組織の社会的責任×事後対応評価

(P.37あたり)
xは精神的苦痛度:1〜3
yは経済的損失レベル:1〜3

 あとで個人的に質問したのだけど、具体的に数字であてはめていくと下のようになるらしい。
 500×{10の(x-1)乗)+5の(y-1)乗}×[1,3,6]×[1,2]×[1,2,1]

例えば
精神的苦痛度1、経済的損失レベル1、個人が容易に特定可能(6)、社会的責任が一般より高く(2)、事後対応が適切(1)の場合は
500×(1+1)×6×2×1=12,000円

あと、訴訟に加わる人数を1%程度と、損保ジャパンでは見積もっているとか。
エステのTBCなどではわざと裁判を引き伸ばしているのではないかという話も。
3年過ぎると、裁判に加われなくなるので。

----
「中小企業に必要な個人情報保護対策の策定に向けて」

伊藤忠テクノサイエンス株式会社
中小企業向け個人情報保護対策WGメンバー
西村 祥

○JNSA西日本の中小企業向け個人情報保護対策WG。
 大手とは違う中小企業の対策をどうするか?
 
 個人情報保護の施行後の現状を調査。
  →最低これくらいやりましょうというものを出す。
 
 モニター企業を募集して、ヒアリングとアドバイス。
 →現在は1社しかないらしい。
  モニター企業募集中。
  ※ただでコンサルしてくれるのだから中小企業にとってはかなりおいしい話だな〜。
   要件は、中小企業で、個人情報をお持ちであるとなおのことよい。通販系など歓迎、とのこと。

----
「多様化するマルウェアの実態と対策」
株式会社 アークン 代表取締役 渡部 章

○スパイウェアの定義
 IPAとJNSA スパイウェア対策啓発WG
 「利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラム等。」
 
 スパイウェアの定義はあいまいらしい。

○マルウェア=Malicious Software
 悪いもの、悪くなくても勝手に動くものを総称

○ウイルスVSスパイウェア
 侵入経路
  ウイルス:ほとんどメール
  スパイウェア:アプリケーションのインストール時、WEB閲覧、バックドアを利用
 増殖方法
  ウイルス:プログラムの一部で、ファイルなどに感染。増殖する。
  スパイウェア:独立したプログラムでPCにインストール。増殖しない。
 症状
  ウイルス:多くは感染自体が被害。
  スパイウェア:情報漏えいなど実被害がある。
 産地
  ウイルス:ほぼ100%海外産(だから外国産のワクチンソフトを使う)
  スパイウェア:海外産もたくさんあるが、国産スパイウェアの増加
         日本人がつくったかはわからないが、日本人を狙ったもの

○最新のスパイウェア技術
 自己修復機能
  例:Betterlnternet、nail.exe
    メインプロセスを殺すと別のプロセスがメインになる
 
 ステルス機能
  例:EliteBar、pokapoka70.exe
    エクスプローラや、タスクマネージャのプロセスリストから自身を隠す。
    他のプロセスに書き込んでいるので、他のプロセスも消さない限り消せない。

○IPA・パソコンユーザのためのスパイウェア対策 5 箇条
 http://www.ipa.go.jp/security/antivirus/spyware5kajyou.html


○マルウェア対策はトータルソリューションで
 クライアント・ソリューション
  利点
   エンドポイントの防衛が出来る
  欠点
   全クライアントインストールしないといけない
   ポリシーの一元管理にはサーバが必要
   クライアントマシンへの負荷
 ゲートウェイ・ソリューション
  利点
   ネットワーク内への侵入を防止
    スパイウェアWebサイトのブロックなど
   ポリシー一元管理
  欠点
   グレーなソフトウェアを一元処理できない
   インターネット以外の侵入に対応できない
   ネットワーク負荷
   

○JNSAでのマルウェア関連の活動
 不正プログラム調査WG
 スパイウェア対策啓発WG
  http://www.jnsa.org/spyware/
 本日は両方の顔で来ている。
----
講演4
「情報セキュリティ対策における実務上の法的課題について」

きたおか法律事務所 弁護士 北岡弘章

○漏えいによるリスク
 個人情報以外が漏れる方がまずい
 千差万別。内容やどういうところに漏れたのかによってリスクは変わる
 個人情報は比較的わかりやすい
 信用喪失が大きい。金銭的にはたいしたリスクではない。

 個人情報に関するクレームが思っていたよりも少ない
 法律家としての実感

 500円の商品券というレベルの
 法的に500円払う必要は無い。お見舞金
 これをリスクといえるかどうか
 →表に出てこない部分でお金を支払われていることもあるだろう

 情報漏えいした部分は、
 2次被害への対応→損害賠償になりうる

 訴訟までいたっているケースはそれほどない
  宇治市:住民基本台帳データ1人当たり、1万5000円 判決
  TBC:1人あたり平均115万円(訴訟)
     漏えいした情報が、電話番号、携帯電話。容姿の悩みの相談が含まれている
     女性の携帯番号がネット上でさらされて、いたずら電話がかかってきた
     40〜60万円くらいは認められる可能性がある。
     宇治市のレベルではない

 北海道の警察の少年事件の捜査情報がWinyのウイルスで漏えい。
  判決による賠償額:数十万円

 国か県か民間かは関係なく、どれだけダメージを受けたか。

 交通事故のときでも、保険会社の金額よりも
   裁判になった場合のほうが高い。

○事業を継続できない損害
 ジャパネットたかたは自主的にテレビショッピングをやめた
  数百億円規模
  法的リスクといえるかどうか
 カカクコム
  カカクコムに店舗を出していたところが損害。補償の話になってもおかしくない
  →法的根拠はある。

○行政処分
 個人的には行政処分の方がリスクが高いと思う。
 個人情報保護法は、行政処分のための法律。損害賠償義務を決める法律ではない。

 金融、通信、医療は個別法の話があったので厳しめになっている

 メディアを紛失したレベル
 →そこまで、総務省管轄でも数百社レベルであるはずなのに。均衡がとれていない

○安全管理措置(個人情報保護法)
 抽象的表現。行政の裁量が大きくなっているのが問題

○従業者の監督
 個人情報や営業秘密などの漏えい事件でも従業員が絡まない事件は少ない
 管理を厳しくすると労働者の人権を侵害するのではないかと、悩ましい

 対策は、非開示契約の締結、教育訓練の実施くらい
 
 守れない規則をつくるのが一番悪い。

 なぜ守らないといけないのか?
 →就業規則とリンクされているはずなので、懲戒事由になる

○モニタリング
 労働者の個人情報を集めまくっている。→プライバシー侵害
 
 経済産業省では
  モニタリングを行なっていること。利用目的を通知公表の必要がある。

○秘密保持義務
 経済産業省のガイドラインは、深く考えていないで書いているように見える
 労働契約を締結した段階で、条理的な秘密保持義務がある。判例でもみとめられている

 就業規則にかいておかないと、懲戒事由にできない

 誓約書を出せといわれたときに、一般的には誓約書の提出義務は無い
 就業規則の中で定めれば、可能だという説も。
 拒否したからといって、不利益な措置はとれない

 誓約書の意味は、漏らしてはいけない情報の範囲を明示することに意味する。
 →就業規則の範囲を争えなく
 もうひとつは、自覚をうながす

○派遣社員から誓約書をとってもいいのか?
 →派遣法には違反しないというのが一般的見解
  経済産業省の営業機密の指針では
  派遣社員から直接取るのは好ましくないと改定された
  →派遣元で就業規則、教育を義務づけるのが本来の姿

○誓約書いつとるのか?
 →コアな情報を扱うプロジェクトに入るときに、取る
  退職時にもとる。
  やめた後の方がリスクは高い。

 契約書の場合は、会社の判子が必要。
 普通は誓約書でやることが多い。

○秘密保持契約・契約書の条項のポイント
 なにが秘密かが裁判では争われる
 限定で列挙して、その他これに関連したと抽象的な部分をあとで付け加えるのがお薦め

 秘密情報と個人情報は分けたほうがいい。
 秘密情報は公知になると、解除されるケースが多い。
 秘密情報は5年とかの期限があったり。個人情報はそれではない

○競業防止義務
 有効性があやしい。裁判では無効になる場合も
 同業他社に転職できないと、職業選択の自由に抵触
 無効に前提にするか、退職金を積みますので1年間就職しないでとするか
 →弁護士と相談を

○委託先の監督
 契約は立派になったが、確認する義務がある
 実際上どこまでやるかが問われている

○不正競争防止法
 きっちり管理しないと法的な保護を与えてもらえない
 営業秘密として管理した場合
 1、不正利用者だけでなく、転得者に対しても請求可
 2、損害賠償だけでなく差止請求もみとめられている
 3、損害額について推定規定等が設けられている
 4、一定の場合、刑事罰が科せられる

 営業秘密としての要件
 1、秘密管理性(アクセス制限、秘密であることが客観的に認識可能)
 2、有用性
 3、非公知性

○営業秘密と刑事罰
 平成16年1月施行
 平成17年改正
  国外犯処罰:日本の企業の従業員が退職して韓国、中国のメーカーにもっていくのを防ぐための改正

○漏えいパターンと安全管理
 明確な基準を作る
 守れないルールはやめましょう!!
  家に持って帰らないと仕事できないのに、持ってかえってはいけない
  →持って帰らなくてもいいようにするか、持ってかえっても安全に

○漏えい時の対応
 基本は、事前対応がどれだけできているか
 隠すのはよくない。
 行政庁の対応が見えないのも問題。どんな処分が下るかわからない

○内部統制と情報セキュリティ対策
 キーワードは内部統制
 いろんな法律で統制が要求されるように
 →ログをとるだけでなく正確性も
posted by 端っこなひと at 00:00| Comment(0) | TrackBack(1) | セミナー・勉強会 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

この記事へのトラックバックURL
http://blog.seesaa.jp/tb/8670272

この記事へのトラックバック

[セキュリティ]NSF2005 in OSAKAのメモ(From enoさんのところ)
Excerpt: http://animemo.seesaa.net/article/8670272.html いろいろリンクがまとまってるので、後でじっくり読みます。
Weblog: ikepyonのいっつもダメっぽいorz
Tracked: 2005-10-28 00:31