ホール様の情報セキュリティ

1.ホール様の情報セキュリティ対策の必要性

いまや情報システムやインターネットは、ホール様の運営に欠かせないものになりました。しかし、現在のホール様は、情報システムへの依存による利便性の向上と引き換えに、大きな危険性を抱え持つことになってしまいました。情報システムの停止による損失、顧客情報の漏洩(ろうえい)による企業や店舗ブランドイメージの失墜など、情報セキュリティ上のリスクは、ホール様に大きな被害や影響をもたらします。また、多くの場合、被害や影響は取引先やお客様へも波及します。

ホール様にとって、情報セキュリティに対するリスクマネジメントは重要な経営課題のひとつと考えなければなりません。特に、個人情報や顧客情報などの重要情報を取り扱う場合には、これを保護することは、ホール様にとっての社会的責務でもあります。

  • ●機密情報の漏洩
    機密情報の漏洩はホール様の競争力や信頼を大きく損なう可能性があります。ウイルスへの感染や社員・アルバイトなどによる不正な情報の持ち出し、あるいは記録媒体の紛失など、さまざまな原因により、多くの組織で情報漏洩が実際に発生しています。
  • ●個人情報の流出
    会員情報などの保有する個人情報を流出させてしまった場合、賠償や訴訟などの大きな問題にまで発展することがあります。また、企業のブランドイメージを大きく低下させ、顧客離れなど、経営に大きな影響が出る可能性があります。
  • ●ホームページの改ざん
    インターネットでの企業の顔とも言えるホームページが改ざんされるということは、企業イメージの損失につながります。さらに、ウイルスを埋め込まれてしまった場合には、ホームページの訪問者のコンピュータを感染させてしまうこともあります。
  • ●システムの停止
    社内の基幹システムが停止してしまうと、最悪の場合、業務自体が停止してしまうこともあります。その間に顧客が競合ホール企業のサービスに移動してしまい、販売機会を失うことになるかもしれません。
  • ●ウイルスへの感染
    ウイルス感染は、上で述べたようなさまざまなトラブルの原因になります。その他、ウイルスは、既に感染したパソコンを使って、ウイルス自身を複製して他のパソコンに感染を広げたり、利用者が気づかないところでネットワーク上の他のパソコンを攻撃したりすることがあります。組織としてこうした情報セキュリティ対策の不十分なパソコンを保有することで、結果的に他者に損害を与えてしまい、社会的な非難や、損害賠償請求を受ける可能性もあります。

こういったリスクが、企業の規模に関係なくどのような企業にも存在していることを認識し、これらのリスクを可能な限り軽減するために、組織に適切な情報セキュリティ対策を導入する必要があります。

2.ホール様に必要な情報セキュリティ対策

ホール様を脅かす情報セキュリティ上のリスクにはさまざまなものがあり、必要な情報セキュリティ対策も多様です。 例えば、組織や企業で発生する可能性のあるトラブルとそれぞれの情報セキュリティ対策には、以下のようなものがあります。

ウイルス感染 ・ウイルス対策ソフトの導入
・ソフトウェアの更新
・危険なWEBサイトのフィルタリング
・信頼できないUSBメモリの使用
不正侵入 ・定期的にパスワードを変換し管理
・ファイアウォールの導入
・侵入防止システムの導入
・ソフトウェアの更新
・ログの取得と管理
情報漏洩 ・定期的にパスワードを変換し管理
・ファイアウォールの導入
・会員情報などの顧客データ管理
・資料、メディア、機器の廃棄ルールの徹底
・無線LANのセキュリティ設定
・ユーザー権限の管理
災害などによる機器障害 ・バックアップ
・無停電電源装置の設置
・設備の安全管理

これらの多様なリスクに対して、実際の被害が発生する前に必要な対策を講じておくためには、また組織の限られたリソースで最大限の効果を上げるためには、どうしたら良いのでしょうか。

まずは、企業としてあらかじめ情報セキュリティ対策の方針と規則を定めることが必要です。このような、規定化された情報セキュリティ対策の方針や行動指針を情報セキュリティポリシーと言います。

そして、すべての社員やアルバイトに情報セキュリティに関する教育を行い、情報セキュリティポリシーに沿った行動が実行されるよう、意識の向上を促すことが必要です。企業の実態や社会の変化に合わせた定期的な情報セキュリティポリシーの見直しも必要です。こうした情報セキュリティポリシーの策定から実際の運用・改善までを含めた活動全体を、情報セキュリティマネジメントといいます。

3.個人情報取扱事業者の責務

個人情報保護法は、個人の権利と利益を保護するために、2005年4月から全面施行された法律で、個人情報を保有する事業者が遵守すべき義務などを定めた法律です。

「個人情報取扱事業者」とは、個人情報保護法第2条第3項において、「個人情報データベースなどを事業の用に供している者」と定義されています。

また、「会員管理システム」にて「会員登録」する際に「会員申込用紙」に記載する「個人情報」とは、生存する個人に関する情報のことで、氏名、生年月日などのデータによって特定の個人を識別できる情報を指しています。

なお、保有する個人情報の合計件数が5,000件を超えない小規模事業者については、個人情報取扱事業者から除外されています。
個人情報保護法では、個人情報取扱事業者に対し、以下のことを義務付けています。

  • ◎個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
  • ◎個人情報を取得する場合には、利用目的を通知・公表しなければならない。なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない。
  • ◎個人データを安全に管理し、従業員や委託先も監督しなければならない。
  • ◎あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
  • ◎事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行わなければならない。
    事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。
  • ◎個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。

なお、主務大臣は、個人情報取扱事業者に対し、個人情報の取扱に関し報告させることができ、また、個人情報取扱事業者が上記の義務に違反している場合などには、当該事業者に対し、必要な措置をとるべきことを命じることができます。主務大臣の命令に違反した場合や、報告義務に違反した場合には、以下の罰則が科せられます。

  • ◎主務大臣の命令に違反した場合 6ヶ月以下の懲役 又は 30万円以下の罰金
  • ◎報告義務に違反した場合 30万円以下の罰金

また、個人情報を取得に際しデータ管理を徹底する必要があります。
保護法では、個人データの「安全管理措置」を行なうために、組織的、人的、物理的、技術的な安全措置を求められています。例えば、会員申込書がカウンターに置いたままになっていたり、会員リストのプリントアウトを事務所の机の上に出したままにすることは、安全管理措置が施されているといえません。また、保護法について、一部の社員だけが理解しているという状況も同様です。

  • ①組織的な安全措置
    従業員の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用して、組織体制の整備、規程等整備と規程等に従った運用をします。
  • ②人的な安全措置
    従業員との契約の見直しや、教育や訓練等を行ないます。
  • ③物理的な安全管理措置
    入退出の管理や個人データ盗難防止等の措置、機器・装置等の物理的な保護等を実施します。


【 総務省 『国民のための情報セキュリティサイト』(http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/)を加工し作成 】