2007年2月28日水曜日

情報セキュリティ人材育成セミナー

昨日、日本セキュリティ監査協会主催の情報セキュリティ人材育成セミナーに出席して参りました。J-SOX法の対応の追込みの時期でもあり、情報セキュリティやITガバナンス、監査などの人材が求められているということを再確認しました。しかし、同時にそういった人材の育成が場や手段、機会が十分でないことも改めて考えさせられました。

一昨日は、ISACAの月例会でしたが、その会場で監査法人の方と話したのですが、J-SOX対応や監査などで、ITの専門家、できれば監査やコンサルティングの経験がる人材をどの監査法人でも求めているとのことでした。それだけ、人材の逼迫感が強いのでしょうね。昨日のセミナーでの内容と合わせて考えてみましたが、情報セキュリティ/ITガバナンス関係の人材育成は、今後の重要な課題として関係各団体、企業、行政が協力して、また個々に取り組んでいく必要があります。

内閣官房情報セキュリティセンター(NISC)も政府各機関、地方自治体で活動する人材の育成や資格制度の推進をしていくようです。是非、官民で取り組み、必要な人材が適切に育成され、活躍できる素地が作られていくことが必要です。

昨日のセミナーでは、CISSPとCAISのセッションが設けられていました。夫々のセッションスピーカーだった、与儀さん長谷川さんと名刺交換会で話をしました。私自身は、ISACA東京支部の理事会メンバーですから、CISAやCISMのプロモーションを考えていくのが責務なのですが、だからと言って他の資格やスキル認定制度と争う必要はないと思ってます。健全な競争は否定しませんが、人材育成という観点での協力は可能と思ってます。米国ではISACAと(ISC)は、友好的な関係とは言い難いのですが、日本では手を握って行こう、と言うようなことを長谷川さんとビールを飲みながら語り合ってきました。

元々、ISACAやJASA双方で活動する人は少なくなく、CISA、CISM、CAIS、CISSPのマルチホルダーも珍しくありません。私自身は、CISA/CISM/CAISを保持者でもありますから。従って、夫々の組織間で切磋琢磨しながら協力していくことは、十分に可能です。

人材育成は、一過性ではなく、息の長い課題ですが官民国内外での協力が必須ですね。


付記
当日は、名刺交換会で私と長谷川さんのBlogにアクセスしている方にお会いしました。熱心にBlogを読まれているとのことで、ここ数週間更新していなかったので、大変恐縮でした。モデムが不調で、暫くネットの接続が不安定であったこと、大学時代の恩師の定年慰労会の世話人を仰せつかり、その為の連絡や参加者名簿作成で、帰宅後や休日の時間を
取られていたことなどが原因です。モデムは交換、慰労会も無事に終わったので、また週に1,2回の更新ペースの戻ろうかと思います。

この間、某監査法人の事実上の解散宣言、某県警からの捜査情報漏洩など、当Blogで取り上げたかったニュースが目白押しでした。お気楽に始めたこのBLOGですが、応援の言葉を直に聞ききまして、ここ数週間の沈黙、申し訳ないことでした。
又、再開しますので、宜しくお願いします。

2007年2月8日木曜日

とある美容関係企業から漏洩した個人情報漏洩事件で争われていた民事賠償裁判の判決がでました。この判決は、情報セキュリティの関係者とって、影響力の大きい司法判断でしょうね。

以下は、産経新聞と朝日新聞のWebからの引用です。

TBCに賠償命令 エステ個人情報流出で東京地裁
 アンケートへの回答など個人情報が流出し精神的苦痛を受けたとして、大手エステサロン「TBCグループ」(東京都新宿区)に14人が1人115万円の損害賠償を求めた裁判の判決が8日、東京地裁であった。阿部潤裁判長は原告全員へ3万5000~2万2000円を支払うよう同社に命じた。原告側代理人によると、個人情報大量流出をめぐる裁判での賠償額としては過去最高。
 阿部裁判長は「エステサロンに個人情報を提供したことは純粋に私生活上の事柄で、この情報全体が法的保護の対象となる」と認めた。
 TBCの個人情報流出は平成14年5月26日に発覚。ホームページ上でアンケートの回答者や無料体験応募者の氏名、住所、年齢、メールアドレスなどのほか、応募者が興味を示した施術コース名、回答内容が収められた電子ファイルが、第三者でも自由にアクセスできる状態で放置された。
 同社はすぐにサーバーを停止したが、情報はその後もファイル共有ソフト「WinMX」などを通じてネット上で拡散。迷惑メールや訪問販売などの2次被害を受ける被害者も出た。
 裁判では、(1)流出した情報がセンシティブ情報(保健医療など特に秘すべき情報)に当たるか(2)TBCに個人情報管理に関する法的義務があったか-などが争点となった。阿部裁判長は「氏名、住所などの基本情報のみの場合と比較して、秘匿される必要性が高いことは否定できない」とした。
 流出当時は個人情報保護法は施行されていなかったが、阿部裁判長はすでにOECD(経済協力開発機構)や経済産業省が個人情報保護に関するガイドラインを策定していたことを挙げ、「当時も個人情報保護のための対策を講じる法的義務があった」と判示、「法的義務はなかった」とのTBC側の主張を退けた。
 

 2次被害の主張がなかった原告1人については、2万2000円の支払いを命じた。
(2007/02/08 21:14)
��BC情報流出訴訟 慰謝料など支払い命令 東京地裁
2007年02月08日20時15分
 エステティックサロン大手「TBC」が管理する約5万人分の個人情報がネット上に流出した問題をめぐり、迷惑メールなどで被害を受けたとして男女14人がサロン運営会社に1人あたり115万円の損害賠償を求めた訴訟の判決が8日、東京地裁であった。阿部潤裁判長は「初歩的過誤で、性的興味の対象にされるなどの精神的苦痛を与えた」と述べ、慰謝料など13人には1人当たり3万5000円、残る1人には2万2000円を支払うよう命じた。
 原告弁護団によると、過去の情報流出事件の賠償額は5000~1万円にとどまっていたという。
 判決によると、TBCから委託された業者が顧客のアンケートのデータを02年に新サーバーに移し替える際、誰でもアクセスできる状態にした。データには、氏名・住所に加え、「関心を持っているコース」やスリーサイズなどもあったため、原告らはネット上で性的な中傷をされたり、迷惑メールを受けたりした。


この判決で注目すべき点はなんでしょうか。
 (1) 一人当たりとしては、過去最高の賠償額
 (2) 美容に関する情報がセンシティブな情報と認定された
 (3) 個人情報保護法施行前でも、個人情報保護の法的責任が認定された
 (4) 2次被害者の賠償額を増額した
など等でしょうか(あくまで、法律の素人の私の見解です。この点、ご理解下さい)。
(1)に関して
個人情報漏洩のリスクを判定する場合の基準のなるかもしれません。各企業が保有する個人情報の内容、質は千差万別ですが、個人情報の漏洩が、損害賠償請求に結びつくという事例が、又一つ増えたことは確かでしょうね。当該企業が控訴する可能性もありますが、企業は判決確定を待たずに対応が必要なのでしょうね。
(2)に関して
身長や体重、スリーサイズなどの情報もセンシティブな情報ということらしいです。血液型、病歴や思想信条、性的嗜好などはセンシティブ情報として扱われてきましたが、美容に関する情報もそれに加わるとうことになりそうです。個人(特に女性)とっては、積極的には公開したくないでしょうからね(逆の人もいるでしょうが)。個人的には、違和感はないのですが、線引きが難しいですね。例えば、薄毛なんていうのは、センシティブでしょうか。
(3)に関して
私は、これが凄いと思いました。OECDや経産省のガイドラインが策定され、公開されていたことが法的責任の根拠と言うことですから。従来、官庁のガイドラインは法的強制力がないというのが共通認識で、あくまで努力目標という扱いでしたから、これ正直驚きました。法律の専門家の見解を是非知りたいです。
(4)に関して
これは、当然だと思います。漏洩した情報は回収できませんから、2次被害、3時被害が想定されます。
当該企業の控訴が予想されますが、本件の最終的司法判断は、情報セキュリティにおいて、大きな影響を及ぼすことは間違いがないと思います。諸賢のご意見をお待ちしています。

2007年2月5日月曜日

今月、2月27日に情報セキュリティ人材育成セミナーが開催されます。JASAも主催団体の一つで、ISACA東京支部も講演しています。私も早速、参加申込みをしました。

このセミナーのスピーカーの大木先生、長谷川さんはJASAのプロジェクトでお世話になっています。名刺交換会もありますので、旧知の方とお会いするだけでなく、新たな人脈が作れればとも思ってます。勿論、このBlogご覧になっている皆様と交流できることも期待しています。
情報セキュリティ人材育成セミナー
ただ、残念なのはこのセミナーでCISAやCISMの紹介が出来ないことですね。CAISやCISSPの紹介があるので、ちょっと悔しいというのが本音です。ISACAもこういったセミナーにタイアップしていくことが必要かなと、最近考えています。今度の理事会で提案してみおうかなぁ・・・とも思っている、今日この頃です。
このセミナー、参加費無料ですから、皆さんご参加下さい。CISA/CISMのCPEの対象になりますから。
では、セミナーでお会いしましょう。

2007年2月3日土曜日

検閲

陸上自衛隊の情報が漏洩したとの報道です。しかも、ウイニーから。ウイニーからの情報漏洩、いまやニュースバリューも低くなってしまった感がありますが、今回の報道で気になることは、漏洩もさることながら、自衛隊/防衛省の対策が機能してなかったことですね。

以下は、産経新聞Webからの引用です。

またしても…ウィニーで陸自資料流出
 陸上自衛隊の訓練などに関する内部資料が、陸自第14旅団(香川県善通寺市)に所属する3等陸曹の私物パソコンから、ファイル交換ソフト「ウィニー」を通じてインターネット上に流出していたことが3日、分かった。秘密情報は含まれていないが、防衛省は近く3曹や上司を処分する。
 防衛省によると、3曹は許可を得ないまま部隊内で私物パソコンを使用して業務用データを扱っていた。このパソコンから取り出した内蔵ハードディスクを使い、自宅で新たに別のパソコンを自作。ウィニーを入れて使っていて、昨年8月に資料が流出したという。ウイルスに感染したとみられる。
 同省では昨年2月、海上自衛隊の「秘密」情報流出が発覚。職場から私物パソコンを一掃するなどの対策を進めていたが、昨年11月には航空自衛隊員の私物パソコンからイラクに展開する米軍の情報が流出するなどしている。


防衛省/自衛隊は、情報漏洩対策として私物パソコンの使用禁止、一掃を行っていた筈なんです。それは、各種報道メディアでも報道され、当Blogでも取り上げました。以下は、その時の記事です。
ウイニー特需など
今回の記事から考えられる問題は、
(1) 三曹が私物PCを持ち込んでいた
(2) 私物PCの持込が防げなかった
(3) 私物PCに情報がダウンロードされていた
など等でしょうか。いずれしても、私物PCの使用禁止、持ち込み禁止が遵守されていれば、発生し得なかった事件です。40億もの税金を投入してまでそた施策、それが有効でなかったということです。
不二家も同様ですが、規約や手順、手続きなど定めても守られなければ、全く意味がありません。特に、多額の税金が投入されているのですから、現にある対策の徹底をしてもらいたいですね。