SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2016 講演レポート

やりすぎてはダメ!英知法律事務所 森亮二氏が解説する「法が求める情報セキュリティ」

セキュリティの確立を義務づける「守りなさい」

 一つ目の分類「守りなさい」では、法律がセキュリティの確立を義務づける。代表的なのは個人情報保護法の安全管理措置の規定だ。番号法にも同様なものがある。

 加えて法律と技術の世界をまたぐ内部統制というものがあり、一般的にはJ-SOX、金融商品取引法が代表的なものとして知られている。会社法にも「業務の適正を確保するための体制」が規定されている。最も注意すべきなのは、裁判所が内部統制の構築・運用を経営者の義務と考えていることで、きちんと構築・運用していないと、そのせいで会社に問題が生じたときに「株主に対する受託責任を果たしていない」として株主代表訴訟で取締役や監査役が損害賠償責任を問われることになる。

 具体的な体制の内容だが、法令遵守体制、リスク管理体制、情報保存管理体制、業務の効率性を確保する体制、企業集団の内部統制、監査役監査の実効性確保体制が内部統制の中身であると言われている。

 この中にセキュリティが入ってくる。特にリスク管理、損失危険管理体制が重要で、たとえば情報漏えいが発生すると、大きな損害が生じることになる。また情報保存管理体制も重要だ。

 加えて、法令ではないが「守りなさい」の中には各種ガイドラインがある。たとえば「企業等が安心して無線LANを導入・運用するために」(2013年総務省)は、企業が無線LANを導入・運用する際の注意事項を記載したものだが、法令ではないので遵守しなくても直接に法的責任が生じるわけではない。しかし紛争、特に民事訴訟の場面で「ガイドラインに準拠していなかった」ということを責任の根拠にされる可能性は残っている。

 最新の事例として紹介されたのは、2016年7月に策定された「IoTセキュリティガイドラインver1.0」。想定読者は、IoTサービスの提供者と利用者の双方だ。

 同ガイドラインは、4章で構成されており、第1章は背景と目的、第2章では提供者の取るべき対策を 次のように定義している。

【セキュリティに関する各種ガイドライン―IoTセキュリティガイドライン】

第1章 背景と目的
-
IoTとは…PC、スマホとの違い

第2章 提供者の取るべき対策
‐ 指針1:IoTの性質を考慮した基本方針を定めること
‐ 指針2:IoTのリスクを認識すること。
指針3:守るべきものを守る設計を考えること。たとえば、個々の機器/システムと上位機器/システムの両方で守る設計を考える。
指針4:ネットワーク上での対策を考えること。機器のみにセキュリティ対策をするのではなく、機器/システムとネットワークの両面からセキュリティ対策を考える。
‐ 指針5:出荷・リリース後も安全な状態を維持すること。

 第3章では、「一般利用者のとるべきIoTのセキュリティ対策」ということで以下の四つのルールが書かれている。

  • 問い合わせ窓口やサポートが無い機器、サービスの購入を控える。
  • 初期設定に気をつける。
  • 使用しなくなった機器の電源を切る。
  • 機器を手放すときはデータを消去する。

 第4章は今後の検討事項がテーマで、法的な責任に関する問題は、今後の検討事項とされている。

次のページ
法律で保護を受けるための条件「これがあれば保護されます」

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2016 講演レポート 連載記事一覧

もっと読む

この記事の著者

久原 秀夫(クハラ ヒデオ)

フリーランス/ITライター

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8575 2016/12/02 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング