ここでは、「【管理者編】情報セキュリティ事故管理ガイドライン」のうち、
「3.情報漏えい対応基本的な考え方と基本ステップ」について紹介します。
はかせ
情報漏えい発生後の対応においては、「情報漏えいによる直接的・間接的被害を最小限に抑える」ことが重要で、何をどこまで実施するかのバランスを取ることがポイントです。
情報セキュリティマニュアル全体の構成については、以下をご参照ください。
情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ
認証取得目的ではなくISMSを利用した情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインの一例です。ISO27001の要求事項については目次までですが付属書Aについては利用者と管理者に分けて作成しています。
pdcatovision.com
2022.05.08
【管理部用】情報セキュリティ事故管理マニュアル
3.情報漏えい対応基本的な考え方と基本ステップ
3.1 情報漏えい対応の基本的な考え方
情報漏えい発生後に対応を行う最大の目的は、「情報漏えいによる直接的・間接的被害を最小限に抑える」ことにある。
当社のことだけでなく、自分に関係のある情報を漏えいされた最終的な被害者、顧客、取引先、株主、親会社、子会社、従業員等情報漏えいによって被害を受ける様々な関係者の被害を最小限に抑える必要がある。
このため、経営方針に基づき全体のバランスを考えながら被害の最小化を図る。
3.2 情報漏えい対応の基本ステップ
情報漏えい対応の基本的なステップを以下に示す。いくつかのステップを同時進行させる場合もある。
情報漏えいの対応方法は、情報漏えいのタイプにより異なる。情報漏えいのタイプと対応方法について、「4.情報漏えいのタイプ別対応ポイントと対応時の注意事項」に示す。
(1)情報漏えいの発見・報告
- 情報漏えいに関する兆候や具体的な事実を確認した場合、責任者に報告し速やかに情報漏えい対応のための体制をとる。(「情報流出共有シート」)
- 不正アクセスや不正プログラム等情報システムからの情報漏えいの可能性がある場合は、不用意な操作をせず、システム上に残された証拠を消してしまわないようにする。
- 外部から通報があった場合は、相手の連絡先等を必ず控える。
(2)初動対応
- (管理部は)対策本部を設置し当面の対応方針を決定する。
- 情報漏えいによる被害の拡大、二次被害の防止のために必要な応急処置を行う。
- 情報が外部からアクセスできる状態にある、被害が広がる可能性がある場合には、これらを遮断する措置(情報の隔離、ネットワークの遮断、サービスの停止等)をとる。
(3)調査
- 適切な対応についての判断を行うために5W1H(いつ、どこで、誰が、何を、なぜ、どうしたのか)の観点で調査し情報を整理する。
- 事実関係を裏付ける情報や証拠を確保する。
(4)通知・報告・公表等
- 漏洩した個人情報の本人、取引先等への通知、監督官庁、警察、IPA等への届出、ホームページ、マスコミ等による公表を検討する。
- 漏洩した個人情報の本人については特別な理由がない限り通知を行う。
- 紛失・盗難のほか不正アクセス、内部犯行、脅迫等不正な金銭の要求等犯罪性がある場合は警察へ届出る。
- すべての関係者への個別通知が困難な場合、広く一般に漏えい情報による影響が及ぶと考えられる場合等は、ホームページでの情報公開や記者発表による公表を行う。ただし、情報の公表が被害の拡大を招く恐れのある時は、公表の時期、対象等を考慮する。
(5)抑制措置と復旧
- 情報漏洩によって発生した被害の拡大の防止と復旧のための措置を行う。
- 専用の相談窓口を設置し被害が発生した場合にはその動向を素早く察知し対応する。
- 再発防止に向けた具体的な取組を行い、停止したサービス、アカウント等を復旧する。
(6)事後対応
- 抜本的な再発防止策を検討し実施する。
- 事故当事者の所属部署の「部門セキュリティ責任者」及び情報セキュリティ管理責任者は、再発防止策を検討する際に、技術的側面と人的・組織的側面の双方を考慮する。
- 調査報告書を社長に提示し、被害者に対する損害の補償等について必要な措置を行う。
- 従業員の責任等について必要な処分手続きを行う。
- これらについて必要に応じて情報を開示する。
まとめ
ここでは、「【管理者編】情報セキュリティ事故管理ガイドライン」のうち、
「3.情報漏えい対応基本的な考え方と基本ステップ」について、以下の内容を説明しました。
- 情報漏えい対応の基本的な考え方
- 情報漏えい対応の基本ステップ
