2016年2月15日にIPA(独立行政法人情報処理推進機構)が「情報セキュリティ10大脅威 2016」を公表しました。「情報セキュリティ10大脅威 2016」は、2015年に発生し、社会的に影響が大きかったと考えられる情報セキュリティの脅威に関する事故・事件から選出したものです。組織における脅威では、1位に標的型攻撃による情報流出が選出されています。
【情報セキュリティ10大脅威 2016】
https://www.ipa.go.jp/security/vuln/10threats2016.html
標的型攻撃に関しては、日本年金機構の個人情報漏えい事件が記憶に新しいと思います。日本年金機構の事例では、本来なら外部からアクセスできないサーバ内に保存するはずの年金情報を、業務効率上、外部からアクセス可能なファイルサーバに保存したため漏えいしました。業務遂行上の都合と運用ルールの乖離は、どこの事業者でも起こり得るのではないでしょうか。
個人情報保護マネジメントシステムでは内部監査や運用確認の機会に、実際の業務が運用ルール(規程やマニュアル等)に沿って実施されているか点検することとしています。そのため、プライバシーマーク付与事業者は、必然的に定期点検を実施できるメリットがあります。ただし、実効性のある運用ルール(規程やマニュアル等)を構築するためにはセキュリティのみを重視するのではなく、セキュリティと業務効率を考慮することが大切です。
現在、プライバシーマークやISO27001(ISMS)は取得してはいるものの”運用ルールが厳しすぎて守れない””運用ルールが曖昧になっている”等不安を感じられている事業者の方がいらっしゃいましたら、見直しの機会に外部からの視点を入れてみてはいかがでしょう。お問い合わせをお待ちしております。
