いまや企業にとって「情報」は最重要資産の1つであり、情報システム担当者に対しては、この情報を守る使命が課せられるようになっている。とはいえ、次々と新しいサイバー攻撃手法が登場するなど、情報セキュリティの世界は覚えなければならない知識が多すぎる。とりわけ中堅・中小企業の情報システム担当者にとっては、一人で行う業務が多岐にわたるなか、とてもセキュリティの勉強にまで時間も手間も割けられないというのが本音だろう。そこで本連載では、“必要最小限”をモットーに、情報システム担当者としてこれだけは知っておかねば“ダメ、ゼッタイ”なセキュリティ用語をテーマ別にコンパクトに解説する。第10回はセキュリティ・コンプライアンスについてだ。
企業にとって、各種法令の遵守=コンプライアンスは絶対の責務であることはいまさら言うまでもないだろう。そして情報セキュリティに関連した法令や規則、そしてこれに基づく制度も様々なものが存在しており、企業にはセキュリティ・コンプライアンスが義務付けられている。ただし比較的新しく、また変化の激しいテーマだけに、セキュリティに関わる法令・規則もまた新規に制定されたり内容が改正されたりすることが多いので注意が必要だ。
不正アクセス禁止法
正式には「不正アクセス行為の禁止等に関する法律」という名称で、不正アクセス行為はもちろんのこと、不正アクセス行為につながる識別符号(パスワードなど)の不正な取得・保管行為、さらには不正アクセス行為を助長する行為などまでを禁止する法律である。サイバー攻撃者を取り締まるための切り札とも言える法律であるが、守る側もまた内容に精通しておくべきなのは言うまでもない。
個人情報保護法
「個人情報の保護に関する法律」が正式名称。セキュリティ・コンプライアンスという観点から言えば、特に個人顧客を有する企業にとってもっとも敏感になるのがこの法律だろう。2005年4月1日に全面施行されたが、その後「定義の明確化」「個人情報の適正な活用・流通の確保」「グローバル化への対応」等を目的に、2015年9月に「改正個人情報保護法」が公布された。改正個人情報保護法の全面施行日は2017年年5月30日に迫っている。
マイナンバー
2016年1月に運用がスタートした「マイナンバー制度」は、「社会保障・税番号制度」の通称だ。マイナンバーとは「個人番号」とも呼ばれ、“日本国内の住民票を有する住民 一人ひとりが持つ12 桁の個人番号”を指す。企業がマイナンバーを扱う業務としては、従業員の所得税の源泉徴収や、住民税の特別徴収、社会保険料の支払い、税務署に提出する法定調書の作成などが挙げられる。セキュリティ・コンプライアンスという側面から企業が特に注意すべきなのが、マイナンバーを含む個人情報は「特定個人情報」に位置づけられ、これには前述の個人情報保護法だけでなく、より厳しい保護措置を求める番号法(行政手続における特定の個人を識別するための番号の利用等に関する法律)も適用されるという点である。
監修:ソフォス
ソフォスは1995年の創立以来30年以上ITセキュリティ製品を取り扱うベンダーとして、150ヶ国10万社以上の法人企業と 1億人以上のユーザーに利用されている。さらに同社は、脅威データの収集、相関分析、解析を行い、ユーザーに最善な保護を提供し続ける「SophosLabs」を有し、24時間 / 365日新種の脅威に対処し監視・解析を行っている。
ソフォスのHPはこちらセキュリティ業界の最新情報やソフォスの製品情報をお届けする
SOPHOS INSIGHTはこちら
(マイナビニュース広告企画:提供 ソフォス)
[PR]提供:
