12月のCISA/CISM試験も近づいてきました。受験予定の皆さんは、準備に余念がないことと思います(多分)。試験に合格後、所定の職務経歴を申請してCISA/CISMに晴れて認定される訳ですが、其の後も関門があります。このBlogでも以前に触れましたが、継続教育プログラム(CPE)がそれです。毎年、その年のCPEポイントを国際本部に申請するのですが、正しく申請しているか本部で監査を行います。被監査者は、本部が無作為に選択します。被監査者は、指定された年に申請したCPEポイントの証拠を本部まで送らねばなりません。
このことは、試験合格者に度々お話させて頂いていたのですが・・・・
この度、晴れて小職が被監査者に選ばれてしまいました。昨日、ISACA国際本部より、小職宛に封書が郵送されてきました。年会費の請求にしては早いな、などと能天気に開封したところ、CPEの監査対象になったとの通知でありました。まさか、自分が選ばれるとは・・・・・　　なんてこったい。人には散々言ってきたが、自分の身に降りかかるとは夢にも思っていませんでした。正直、他人事、もし選ばれたたら嫌だな、くらいに思っておりました。
これも経験、エビデンスを揃えて本部に郵送します。

CISA/CISMの皆さん、他人事と思わず、CPEの申請と過去3年分のエビデンスの保存、しっかりとしておきましょう。

追伸
皆さんの参考になるように、監査の結果がでたら、このBlogで報告いたします。

継続教育プログラム

ISACA東京支部10月度月例会が開催されました

昨日、10月20日に日本教育会館でISACA東京支部の10月度月例会がありました。今月のテーマは、「重要インフラにおける情報セキュリティ対策の強化に向けて」題して、内閣官房情報セキュリティセンターの内閣参事官の方を講師に迎えでスピーチして頂きました。内閣官房情報セキュリティセンター(NISC)は、わが国の情報セキュリティに関するナショナルセンターとして設立された機関です。
講演内容の概略は

我が国では震災は差し迫った脅威として認識され、様々な取組みの下、国民生活や経済活動を支える重要インフラの備えにも関心が集まっている。しかし、ＩＴが各重要インフラのサービス供給の根幹を占めるに至った現在、物的防護や災害対策の視点だけで対策が進められようとしていることには不安がある。
政府が平成12年に「重要インフラのサイバーテロ対策に係る特別行動計画」を決定してから５年近くが経過した。
サイバーテロへの関心が先行したため、自然災害等も含めたコンピュータ・システムの停止リスクはあまり認識されていないが、実社会では人為的ミスや自然災害によってＩＴシステムが機能不全に陥るケースは後を絶たない。
今こそ、ＩＴに立脚する脅威全般を想定し、重要インフラ防護の体系を再設計する必要があり、本講演では、9月
15日の情報セキュリティ政策会議決定で示された我が国の新たな重要インフラ防護の基本理念について紹介する。

ということなのですが、内閣官房情報セキュリティセンターでは、「政府機関の情報セキュリティ対策のための統一基準」なるものを策定中とのことです。パブリックコメントを募集しているそうです。私も、対象の文書をダウンロードして、印刷してみました。ちょっと、ボリュームがあるのですが、一通り目を通してみようと考えています。

内閣官房情報セキュリティセンター

個人情報保護法と捜査照会

以下、2005年10月17日の読売新聞掲載記事よりの引用です。

　刑事訴訟法に基づく警察の正式な捜査照会に対し、各地の病院や自治体などが個人情報保護法などを理由に回答を拒否するケースが、今年４月の同法全面施行から６月までの３か月間だけで、約５００件に上っていることが警察庁の調査で分かった。

　うち約４割は医療機関で、福岡県のように県警と県医師会が「出来るだけ捜査に協力する」と申し合わせたところもある。医療関係者は、厚生労働省や日本医師会の作成した同法関係の指針が誤解や拡大解釈を招き、独り歩きしている影響があると指摘している。

　保護法は、本人の同意なく第三者に個人情報を提供することを原則禁じているが、「法令に基づく場合」「生命、身体、財産の保護のため必要な場合」「本人の同意を得ることで事務の遂行に支障を及ぼすおそれがあるとき」などは例外と明記されている。「法令」には、令状による捜査や、刑訴法１９７条に基づく捜査照会なども含まれる。

　しかし、実際には、捜査に協力を得られないケースが相次いでいるため、警察庁は、刑訴法に基づく「捜査関係事項照会書」を医療機関などに示して協力を求めたのに拒否されたという例を調べた。

　同庁によると、判明した約５００件のうち、病院関係は約２００件。回答拒否の内容としては、事件・事故でけがをした当事者の容体や、事件関係者の病名・病歴、変死者の既往歴などが目立ち、容疑者の入院の有無についても「本人の許可がないと答えられない」としたケースがあった。また、約１００件は市町村などの自治体関係で、回答を拒否されたのは、公共料金の支払い状況や生活保護費の受給の有無などだったという。

　刑訴法に基づく捜査照会のほか、警察が事件・事故のけが人の容体を口頭で問い合わせた場合に病院が応じないケースも相次いでいることが、読売新聞がこれまでに実施した全国調査で明らかになっているが、公益性のあるこうした問い合わせについては、応じても保護法には違反しない。

　警察庁では「保護法の全面施行前はあまり見られなかった現象で、捜査に深刻な支障が出ている」として、調査結果を詳細に分析するとともに、今後、関係機関に理解を求める方針。

　医療機関の対応の背景について、医療関係者は、厚労省や日本医師会の指針に「照会に応じても保護法違反ではないが、本人から損害賠償を求められるおそれもある」などと記されている点を挙げる。これに対し、同省では「一般論として例示しただけで、過剰に受け取られるのは本意ではない」としている。

��2005年10月17日3時0分 読売新聞）

個人情報保護法の施行後、警察の捜査に支障が出ているとの記事です。しかし、これは事前にある程度予想されていた事態ではないでしょうか。医療機関側の明らかな過剰反応ですね。捜査照会以外でも似たような事例があるのだと思います。

医療機関というか、医師には以前から患者の秘密に関する証言拒否権があり、また患者の秘密に関しては押収命令を拒否する権利もあるそうです。これは、患者の事柄は、むやみ漏らすなということ、所謂、医師の守秘義務の根拠のなのでしょうね。ならば、個人情報法保護法施行以前に、医師の守秘義務を根拠とした、捜査照会の拒否ということはあったのでしょうか。あっても不思議ではないはずです。個人情報保護法は、個人の責任を問いませんが、仮に医師が患者の情報を漏洩した場合、刑法第134条の秘密漏示罪（親告罪)で告発される可能性はあるそうですから。個人情報保護法より医師個人には厳しいものがあります。しかし、以下のような判決もでています。

以下、2005年7月19日　読売新聞掲載記事より引用です

覚せい剤の反応が出た尿を医師が警察に引き渡したのは、医師に課せられた守秘義務に違反するかどうかが争われた裁判で、最高裁第１小法廷（横尾和子裁判長）は、「必要な治療や検査の過程で採取した尿から違法な薬物を検出した場合、捜査機関に通報するのは正当な行為であり、守秘義務に違反しない」との初判断を示した。

　そのうえで、覚せい剤取締法違反（使用）の罪について無罪を主張した女性被告（２６）の上告を棄却する決定をした。決定は１９日付。懲役２年とした１、２審判決が確定する。

　決定によると、女性被告は２００３年４月、腰に刺し傷を負って東京都内の病院に搬送された。医師は、腎臓からの出血の有無を調べようと採尿し、さらに薬物の影響を確かめるため尿を検査したところ、覚せい剤の反応があったことから警察に通報。

　被告側は、刑法が定める守秘義務に違反して捜査機関に渡った尿を証拠採用したのは違法だとして、無罪を主張していた。

犯罪行為が係わる場合は、患者の情報を捜査機関に通報することは、医師の守秘義務違反に当たらないということです。この事例の他にも、幼児/児童虐待が医師の通報により発覚、子供達が悲劇的結果になる前に保護されるという報道もありました。

患者の情報を守るということが結果として、法令違反や生命の危機をを見逃すことになりかねません。医師の守秘義務は、その適用範囲に判断は、難しいですね。

しかし、10月17日付けの記事では、医師の守秘義務より、個人情報保護法の取扱により慎重である印象があります。何か、本末転倒という気がします。

医療機関や福祉関係機関が、個人情報保護法を理由として、個人情報の提供に慎重になり、ボランティア活動や行政の施策が支障がでる例などもあるようです。個人情報の保護という前提は崩さずに、法律の実際の運用面での実情の検討が必要なのだと思います。どうでしょうか。

被災者名簿の扱い

以下、日本経済新聞よりの引用です。

東京・中野区、豪雨被災者名簿をＮＨＫなどに提供
　東京都中野区が、今年９月の集中豪雨で床上浸水の被害を受けた約800世帯の被災者名簿を、中野都税事務所とＮＨＫに提供していたことが15日、分かった。

　中野区は本人の同意を得るか、個人情報保護審議会に諮るべきだったとして、16日発行の区報に田中大輔区長名で「個人情報の不適切な取り扱いで区民にご迷惑をおかけしたことを深くおわびする」との文書を掲載する。

　中野区によると、都税事務所とＮＨＫから、それぞれ都税減免と受信料免除の手続きを通知するため、被災者名簿の提供を依頼された。

　個人情報保護条例は、区の機関以外に対する個人情報の提供を制限しているが、区は「被害を受けた区民の経済的負担を軽減する上で有効と考えた」と説明している。

　被災者の一部から指摘があり、あらためて検討した結果、問題があったと判断し、名簿を回収した。税の減免と放送受信料免除以外には利用されず、複写もされていないことを確認したという。

災害対策や被害対応など、必要な範囲での個人情報が記載されたリストの作成とうのは必須のことです。問題は、そういった情報を如何に適切に利用していくかというこでしょうね。上記の記事の例の場合、利用目的には問題はありませんが、その提供の手続きが不適切ですね。確かに中野都税事務所とＮＨＫに提供する前に個人情報保護審議会に諮ることが必要だと思います。ただ、800世帯で「個人の同意を得る」というのは現実的でしょうか。同意を得る事務作業の間にNHKの受信料の振替などは終わってしまう気がします。

この事例の場足の場合、事前手続きの事務作業の時間的余裕があるようにも思えます。しかし、もしそのような余裕が無い場合、どうなるのでしょうか。
個人情報保護と被害の救済等の緊急施策の兼合い、難しいところですね。

CISA/CISM試験合格者説明会

丁度一週間前の10月5日に日本教育会館でISACA東京支部によるCISA/CISM試験合格者説明会が開催されました。CISA/CISM合格者80数名の方が参加されたとのことです。私も、ISACA東京支部理事会メンバーの末席に連なる者として、出席し懇親会で合格者の皆さんとお近づきになりたかったのですが、所要のために参加できませんでした。
しかし、合格者説明会の参加者数には隔世の感があります。私がCISA試験に合格し説明会に参加したときは、合格者が10数名、説明会参加者が7名、説明会会場は、CISA担当理事の勤務先の会議室でした。あれから、10年です。感慨深いものがあります。

合格者の皆さんは、これから認定申請ですが、年内に申請するか年明けにするか、それぞれの事情で判断されるでしょうね。CISA/CISMの認定を受けることにより、国内外の別の資格認定/試験で優遇処置が受けられることがあります。その中には、年内までであるとか来年3月までとか、期限が設定されている場合があります。それらの条件を吟味した上で判断されることをお勧めします。

優遇処置がある資格認定

公認情報セキュリティ監査人　　日本セキュリティ監査協会
公認システム監査人　　　　　　日本システム監査人学会
ISMS審査員　　　　　　　　　　情報処理開発協会
公認内部監査人　　　　　　　　日本内部監査協会

この他にもあるかもしれませんが、取り合えず代表的というか、知る範囲の中でのご紹介です。

シンクライアント

以下は、日本経済新聞からの引用です

日立、情報漏えい対策を施したＰＣ導入を容易に

　日立製作所は29日、情報漏えい対策を施したパソコン「セキュリティＰＣ」をシステム構築無しで導入できる「ＦＬＯＲＡ　Ｓｅ２１０リモートアクセスパック」を30日に発売すると発表した。セキュリティＰＣはハードディスクを持たないなど盗難や紛失に備えたＰＣで、単体では動作せずサーバーなどに接続して使用する。導入には認証・暗号化サーバーの設置やシステム構築が必要だったが、同機能をＡＳＰ（ソフトの期間貸し）方式で提供することで導入時の作業が不要となった。

　ＵＳＢ認証キーを付けた販売価格は20万7900円。サービス利用料は１ユーザーの場合で初期費用が１台あたり１万500円、月額5250円としている。

これは、7年程前であったでしょうか、シンクライアントの発想と同じですね。動機が情報セキュリティとTCO削減と違いはありますが。
日の目をみなかったシンクライアントが、装いも新たに再登場といったところでしょうか。

(久々の投稿でありました。ｍ(＿ ＿;)ｍ )