PR

【管理者編】情報セキュリティ事故管理ガイドライン(4/6)

セキュリティ事故管理

ここでは、「【管理者編】情報セキュリティ事故管理ガイドライン」のうち、

「4.情報漏えいのタイプ別対応ポイントと対応時の注意事項」について紹介します。

情報セキュリティマニュアル全体の構成については、以下をご参照ください。

情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ
認証取得目的ではなくISMSを利用した情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインの一例です。ISO27001の要求事項については目次までですが付属書Aについては利用者と管理者に分けて作成しています。
スポンサーリンク

【管理部用】情報セキュリティ事故管理マニュアル

4.情報漏えいのタイプ別対応ポイントと対応時の注意事項

4.1 情報の種類に関するポイント

(1)個人情報

  • 顧客や取引先、社員等個人に関する情報
  • 漏えいした情報に個人情報が含まれている場合には、個人情報保護法に準拠した対応を行う。
  • 状況により監督官庁へ報告する。
  • また、個人情報の本人に被害が及ぶ可能性があるため、本人への通知や注意喚起等二次被害防止措置が必要である。

(2)公共性の高い情報

漏えいした情報に発電所や通信設備等社会の重要なサービス、社会の安全に関する情報等公共性の高い情報が含まれている場合には、内容に応じて関係者・監督官庁への報告、マスコミ等に対する情報開示が必要となる。

(3)一般情報

  • 企業(組織)の情報のうち取引先等の情報が含まれる場合には、取引先に報告し、その意向に沿った対応を行う。
  • 企業秘密等組織の重要な情報が漏えいした場合には、その内容に応じた経営判断を行う。
スポンサーリンク

4.2 情報漏えいのタイプによる対応時のポイント

どの様な形で情報漏えいしたかにより、情報漏えいを以下の7タイプに分類し、タイプ毎の対応内容と注意事項について説明する。

情報の紛失・盗難(4.3.1参照)

誤送信・Webでの誤公開(4.3.2参照)

内部犯行(4.3.3参照)

Winny/Share(ファイル共有ソフト)等への漏えい(4.3.4参照)

不正プログラム(ウイルス、スパイウェア等)(4.3.5参照)

不正アクセス(4.3.6参照)

風評・ブログ掲載等(4.3.7 参照)

スポンサーリンク

4.3 漏えいのタイプによる対応内容と注意事項

4.3.1 紛失・盗難の場合

(1)発見及び報告

  • ①「情報流出共有シート」に記録し、報告する。
  • ②紛失・盗難が間違いないか、もう一度確認する。
  • ③紛失場所の管理者(鉄道会社担当窓口、店舗窓口等)に連絡する。

事故事例

  • パソコンやUSBメモリ等を電車の中、飲み屋等に置き忘れた。
  • パソコンやUSBメモリ等が入った鞄をひったくりに遭い盗まれた。
  • 置き引きや車上荒らしに遭い、パソコンやUSBメモリ等盗まれた。
  • 自宅が空き巣に遭い、保管していたパソコンを盗まれた。
  • 事務所荒らしに遭い、事務所のパソコンを盗まれた。
  • 請負業者に送ったCD-ROMが、輸送中に紛失した。

発覚のきっかけ

  • 自己申告
  • 警察からの連絡
  • 取得者からの連絡

(2)初動対応

①何の情報がどの程度含まれていたのか、暗号化やアクセス制限の有無を確認する。

この際、事実関係を5W1Hで整理する。

  • 紛失、盗難の当事者は誰か?
  • 何(物)が紛失、盗難に遭ったのか?
  • 紛失、盗難の対象物に格納されていた情報は何か?
  • いつ紛失、盗難が発生したのか?
  • どこで紛失、盗難が発生したのか?
  • なぜ紛失、盗難が発生したのか?
  • 紛失、盗難が発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどのくらいか?
  • どのような形で保存されていたか?(暗号化/平文、HDD保護、認証パスワード保護等)

②警察に届出る。

この際、製造番号や製品固有の特徴情報があると発見しやすくなる。

③アカウント情報が含まれる場合はパスワードの変更やアカウントの停止を行う。

応急処置例

  • 紛失物の捜索、回収
  • 警察への届出
  • 出したアカウントの停止、パスワード変更

留意点

  • 鞄の形状、大きさ、色等の特徴
  • パソコンの機種、製造番号等

(3)調査

①企業(組織)内に残された記録から紛失・盗難にあった情報をできるだけ正確に把握する。

②予想される二次被害を確認する。

この際、被害の重要度を判定する。

  • 漏えいした情報の情報区分は?(個人情報/公共性の高い情報/一般情報)
  • 漏えいした情報の保護策は、何を実施していたか?
  • 影響はどこにあるか?(個人/公共インフラ/特定企業)
  • 管理上の問題点は?

③機器・媒体がオークションや中古市場に出回っていないか確認する。

(4)通知・報告・公表等

①個人情報が含まれる場合で漏えいの恐れがある場合は、本人への通知とお詫びを行う。(「5.1 情報漏えいに関する公表の考え方」を参照)

②また、必要に応じて監督官庁に届出る。

③規模や影響範囲が大きい場合はWeb等で経緯を公表する。

(5)抑制処置と復旧

バックアップやコピーから修復可能な情報を復旧する。

二次被害防止策例

  • クレジットカード、銀行口座番号、IDパスワードが含まれていた場合、本人に通知し、カード停止、口座停止、ID停止等を促す。

(6)事後対応

①情報セキュリティ方針に基づき、事故の再発防止策を実施する。

  • 建物への侵入防止、情報資産の保管方法、情報資産の持出し管理、情報の暗号化やアクセス制御、およびその徹底等、物理面、技術面、管理面、教育面等問題点を総合的に検討し改善します。

②報告行為について評価し、隠ぺい工作が起こらないよう配慮する。

4.3.2 誤送信・Webでの誤公開の場合

(1)発見および報告

①ミスをした本人、もしくはそれを発見した第三者からの指摘により発見される。

②外部からの指摘を受けた場合は連絡先を確認する。

③「情報流出共有シート」に記録し、報告する。

事故事例

  • 相手のメールアドレスを打ち間違え、他人に誤送信した。
  • 同報メールの宛先をBCC:に書くべきところ、CC:にして送信した。
  • FAXで相手の電話番号を間違えて送信した。
  • 郵便で、相手の住所を間違えて郵送した。
  • Web関係のぜい弱性により、非公開情報が参照できていた。
  • Webアプリケーションのミスで、他人の個人情報を表示した。
  • Webサイトから他の会員に誤ってIDパスワードを送信した。
  • Webで誤って非公開情報を公開情報としていた。(サーバ移行時の非公開情報削除もれ、IDパスワードで保護されるべき情報がサーバの設定ミスで公開エリアに保管した、公開サーバへ誤って非公開情報を転送した等)
  • 譲渡が禁止されている情報を第三者に売却した。

発覚のきっかけ

  • 自己申告(内部発見)
  • 受信者からの指摘(風評を含む)

(2)初動対応

①何の情報がどの程度含まれていたのか、暗号化やアクセス制限の有無を確認する。

この際、事実関係を5W1Hで整理する。

  • 誤送信・Web誤公開の当事者は誰か?
  • 何(物)を誤送信・Web誤公開したのか?
  • 誤送信・Web誤公開の対象物に格納されていた情報は何か?
  • いつ誤送信・Web誤公開が発生したのか?
  • どこで誤送信・Web誤公開が発生したのか?
  • なぜ誤送信・Web誤公開が発生したのか?
  • 誤送信・Web誤公開が発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどのくらいか?
  • どのような形で保存されていたか?(暗号化/平文、パスワード保護等)

②誤送信で送信先が明らかな場合は受信者に対しミスについてお詫びし、受信した情報について削除を依頼する。

③誤公開の場合は直ちに当該情報を削除するか、アクセス制限措置を施し外部から参照できないようにする。

応急処置例

  • 【メール・FAX・郵便の誤送信/誤譲渡】受信者への連絡と情報の廃棄
  • 誤ってWebに公開した情報の削除

留意点

  • 受信者に連絡が取れない場合の対応
  • 該当Web情報を保持または掲載している第三者が情報削除に応じない場合の対応

(3)調査

①漏えいした情報の範囲、原因、被害の状況等について調査する。

②誤公開の場合は、どういった範囲で何人が参照したかアクセスログを使って調査する。

③予想される二次被害を確認する。

この際、被害の重要度を判定する。

  • 漏えいした情報区分は?(個人情報/公共性の高い情報/一般情報)
  • 漏えいした情報の保護策は、何を実施していたか?
  • 影響はどこにあるか?(個人/公共インフラ/特定企業)
  • 管理上の問題点は?

(4)通知・報告・公表等

①個人情報が含まれる場合で漏えいの恐れがある場合は、本人への通知とお詫びを行う。(「5.1 情報漏えいに関する公表の考え方」を参照)

②また必要に応じて監督官庁に届け出る。

③規模や影響範囲が大きい場合はWeb等で経緯を公表する。

(5)抑制措置と復旧

①情報システムの不具合が原因の場合は、使用を制限するかシステムを修正する。

②人的な作業ミスの場合は、ミスを見逃さないよう作業手順にチェックの仕組みを追加する。

③また従業員の教育・啓蒙(注意喚起)を行う。

④すべてのWebページの設定を再確認する。

二次被害防止策例

  • クレジットカード、銀行口座番号、IDパスワードが含まれていた場合、本人に通知し、カード停止、口座停止、ID停止等を促す
  • Web検索サイトからのキャッシュ削除
  • Webサイトの停止、Webサイトのぜい弱性の除去

(6)事後対応

①違反や管理上のミスがあった場合は必要な処分を行う。

②また、漏えい情報による被害の補償等救済処置を行う。

この際、情報セキュリティ方針に基づき、事故の再発防止策を実施する。

  • 多数の宛先への同時送信の作業手順を、ミスをした原因とミスを見逃した原因の両面から見直します。必要に応じて、専用システムの導入等を行います。
  • Webページの設定・公開要領を見直します。

4.3.3 内部犯行の場合

(1)発見及び報告

①一般的には、ダイレクトメールや架空請求、振り込め詐欺等顧客から自分の情報が不正に利用されているようだとの問い合わせを受け発覚するケースが多い。

また外部から名簿を買い取ってくれというような脅迫を受けたり、マスコミ等から情報が漏えいしているようだとの問い合わせを受け発覚することもある。

②相手の連絡先を確認し、どういった情報を持っているのか提示してもらい漏えいの事実を確認する。

③「情報流出共有シート」に記録し、報告する。

事故事例

  • 社内データベースから顧客情報を不正に持ち出し転売した。
  • 社外Webシステムに、過去に業務で使用していたIDを利用してアクセスし、不正にデータを持ち出した。
  • 社内から設計機密情報を不正に持ち出し、他社に渡した。

発覚のきっかけ

  • 外部からの指摘(風評を含む)

(2)初動対応

①何の情報がどの程度含まれていたのか、暗号化やアクセス制限の有無を確認する。

この際、事実関係を5W1Hで整理する。

  • 内部犯行の当事者は誰か?
  • 何(物)を持ち出したのか?
  • 内部犯行の対象物に格納されていた情報は何か?
  • いつ内部犯行が行われたのか?
  • どこで内部犯行が行われたのか?
  • なぜ内部犯行が発生したのか?
  • 内部犯行が発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどのくらいか?
  • どのような形で保存されていたか?(暗号化/平文、HDD保護、パスワード保護等)

②内部犯行の場合は漏えいの規模や範囲が大きくなる傾向があり、慎重な対応が必要となる。

③また、社内に情報を持ち出した犯人がいると思われる場合は、重要な情報を証拠隠滅されないよう注意する。

応急処置例

  • 社内対象サイト(イントラネットサーバ、共有ファイルサーバ等)のID停止やアクセス制限の実施
  • 内部犯行当事者の使用した関連装置の確保(証跡保存)

留意点

  • 証跡保存を実施する際には、コンピュータフォレンジック(コンピュータに関する科学捜査)を考慮した確保が必要なため、慎重に対応すること。(専門家への依頼等)

(3)調査

①漏えいした情報の範囲、原因、被害の状況等を明らかにする。

②漏えい情報の範囲から、持ち出された時期や当該情報にアクセスできた人物等を絞り込む。

③予想される二次被害を確認する。

この際、被害の重要度を判定する。

  • 漏えいした情報区分は?(個人情報/公共性の高い情報/一般情報)
  • 漏えいした情報の保護策は、何を実施していたか?
  • 影響はどこにあるか?(個人/公共インフラ/特定企業)
  • 管理上の問題点は?

(4)通知・報告・公表等

①犯罪に発展する可能性がある場合は、早めに警察に相談する。

②規模が大きい場合はWeb等での告知の他、記者発表等の要否も検討する。

③個人情報が含まれる場合は対象が特定できた時点で、なるべく早く本人に通知できるようにする。(「5.1 情報漏えいに関する公表の考え方」を参照)

④また必要に応じて監督官庁に届け出る。

(5)抑制処置と復旧

①犯人を特定した上で再発防止策を講じる。

②通常は認証やアクセス制御、ログの取得等社内の情報管理体制を強化する。

③アカウントの再発行や登録情報の変更を行い通常の業務、サービスに復帰する。

二次被害防止策例

  • 警察への届出
  • 漏えいの可能性のある情報の回収
  • パスワード、アクセス権限の見直し
  • ぜい弱性の除去
  • クレジットカード、銀行口座番号、IDパスワードが含まれていた場合、本人に通知し、カード停止、口座停止、ID停止等を促す

留意点

  • 第三者からの情報回収
  • 該当情報を保持または掲載する第三者が情報回収に応じてくれない場合の対応

(6)事後対応

①原因の究明と再発防止策を実施する。

②違反や管理上のミスがあった場合は必要な処分をする。

③また、漏えい情報による被害の補償等救済処置を行う。

この際、情報セキュリティ方針に基づき、事故の再発防止策を実施する。

4.3.4 Winny/Share等への漏えいの場合

(1)発見及び報告

①一般的には、外部からの通報により発見することが多い。

②後々の調査のために通報者の連絡先を必ず確認すること。

③またどのような情報が漏えいしているかについてなるべく詳しい情報を聞き、可能であれば取得した情報を提供して頂く。

④「情報流出共有シート」に記録し、報告する。

事故事例

  • 社員が会社の機密情報や個人情報を自宅に持ち帰り(USBメモリでの持ち出しや社内メールを自宅メールに転送する等)、個人パソコンに情報を保存しており、本人や家族がファイル交換ソフトを利用中に暴露ウイルスに感染し、ファイル交換ネットワークへ情報が漏えいした。

発覚のきっかけ

  • 外部からの指摘(風評を含む)

(2)初動対応

①漏えい情報の内容、範囲を確認する。

②また漏えい元を特定し、調査に対する本人の協力を得る。

この際、事実関係を5W1Hで整理する。

  • Winny/Shareネットに流出させた当事者は誰か?
  • 何(物)をWinny/Shareネットに流出させたのか?
  • Winny/Shareネットに流出した情報は何か?
  • いつWinny/Shareネットへの流出が発生したのか?
  • どこでWinny/Shareネットへの流出が発生したのか?
  • なぜWinny/Shareネットへの流出が発生したのか?
  • Winny/Shareネットへの流出が発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどのくらいか?
  • どのような形で保存されていたか?(暗号化/平文、HDD保護、パスワード保護等)

③現在もWinny/Shareを使用しているようであればただちに停止する。

応急処置例

  • インターネットからのパソコンの切り離し(Winny/Shareの利用停止)
  • 漏えいしたファイル(情報)の確保

留意点

  • パソコンは調査に必要なファイル等が削除されないように、極力使用時の状態に手を加えないままで提出してもらいます。

(3)調査

①漏えい情報の内容、範囲、時期等について調査する。

②また本人がその情報を流出するに至った経緯についても調査する。

③調査のためにWinny/Share等を使用することは、被害の拡大につながりかねないため禁止する。

④予想される二次被害を確認する

この際、被害の重要度を判定する。

  • 漏えいした情報区分は?(個人情報/公共性の高い情報/一般情報)
  • 漏えいした情報の保護策は、何を実施していたか?
  • 影響はどこにあるか?(個人/公共インフラ/特定企業)
  • 管理上の問題点は?

(4)通知・報告・公表等

①漏えい情報に個人情報が含まれる場合には本人に通知しお詫びする。(「5.1  情報漏えいに関する公表の考え方」を参照)

②必要に応じ監督省庁への報告を行う。

③Winny/Share等は要求の多いファイルをネットワーク上の多くのコンピュータに拡散させる仕組みを持つため、一旦人々の興味をそそり人気のあるファイルになってしまうと、ネットワーク上にファイルが拡散しいつまでも漏えいが続くことになる。なお、事件の公表がWinny/Shareのダウンロードを誘発する恐れがある場合は、しばらくの間公表を控えるという考え方もある。

④被害防止の観点から最善と思われる措置をとる。

(5)抑制措置と復旧

①一般的には、Winny/Shareの漏えい情報については、とにかく話題性を高めずネットワーク上のファイルが自然に消滅することを待つのが得策といえる。

②また、多くの場合自宅において業務データを漏えいするケースが多いため、社外へのデータ持ち出しの制限等を再徹底する必要がある。

③全従業員に対してファイル交換ソフトの利用の危険性を周知し、ファイル交換ソフトの利用状況調査及び対処を行う。

二次被害防止策例

  • ウイルス駆除
  • 個人のパソコンから会社の機密情報や個人情報の削除
  • クレジットカード、銀行口座番号、IDパスワードが含まれていた場合、本人に通知し、カード停止、口座停止、ID停止等を促す

留意点

  • Winny/Shareネットワーク上の情報を完全削除することはほぼ不可能

(6)事後対応

①違反や管理上のミスがあった場合は必要な処分を行う。

②また、必要に応じて漏えい情報による被害の補償等救済処置を行う。

この際、情報セキュリティ方針に基づき、事故の再発防止策を実施する。

  • 会社からの情報持ち出し制限、個人パソコンの業務利用制限、等のルール見直し

4.3.5 不正プログラム(ウイルス、スパイウェア等)の場合

(1)発見及び報告

①不正プログラムの存在は多くの場合、ウイルス対策ソフトやネットワークの監視、メール等を受信した外部からの通知により発覚する。

②「情報流出共有シート」に記録し、報告する。

事故事例

  • ウイルスに感染し、パソコンを不正操作され、パソコン内の会社機密情報が悪意のある第三者に窃取された。
  • ウイルスに感染し、会社機密情報がWebサイトに掲載され、不特定多数の人に閲覧可能な状態になった。
  • スパイウェアを送り込まれ、パソコンで入力した内容が外部に送信された。

発覚のきっかけ

  • 自己申告/内部発見
  • 外部からの指摘(風評を含む)

(2)初動対応

①何の情報がどの程度含まれていたのか、暗号化やアクセス制限の有無を確認する。

この際、事実関係を5W1Hで整理する。

  • ウイルス感染した当事者は誰か?
  • 何(物)がウイルス感染したのか?
  • ウイルス感染により漏えいした情報は何か?
  • いつウイルス感染したのか?
  • どこでウイルス感染したのか?
  • なぜウイルス感染したのか?
  • ウイルス感染が発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどのくらいか?
  • どのような形で保存されていたか?(暗号化/平文、HDD保護、パスワード保護等)

②不正プログラムの存在が確認された場合は、直ちにシステムの使用を停止し、システムから不正プログラムの除去等の対応を行う。

③不正プログラムの種類が特定できる場合は、IPAやウイルス対策ベンダ等の情報に基づき対処する。

応急処置例

  • ウイルス感染したパソコンの特定
  • ウイルス感染したパソコンのネットワークからの切り離し

(3)調査

①重要なデータをいったん外部メディアにバックアップする。

②バックアップには不正プログラムが混入している可能性も高いので取扱いに注意する。

③パソコンに残されたデータやアクセスの履歴から漏えいした情報を特定する。

④予想される二次被害を確認する。

この際、被害の重要度を判定する。

  • 漏えいした情報区分は? (個人情報/公共性の高い情報/一般情報)
  • 漏えいした情報の保護策は、何を実施していたか?
  • 影響はどこにあるか? (個人/公共インフラ/特定企業)
  • 管理上の問題点は?

(4)通知・報告・公表等

①漏えい情報に個人情報が含まれる場合には本人に通知しお詫びする。(「5.1  情報漏えいに関する公表の考え方」を参照)

②必要に応じ監督省庁への報告を行う。

(5)抑制措置と復旧

①被害にあったパソコンは念のためOSからインストールしなおす。

②プログラムもバックアップから戻さず、再インストールする。

③バックアップのデータについて、最新のウイルス定義ファイル等を使用して検査し復旧する。

二次対策防止例

  • ウイルス名の特定と駆除
  • ぜい弱性の除去
  • 漏えいした情報の回収
  • クレジットカード、銀行口座番号、IDパスワードが含まれていた場合、本人に通知し、カード停止、口座停止、ID停止等を促す

留意点

  • 第三者からの情報回収
  • 該当情報を保持または掲載する第三者が情報回収に応じてくれない場合の対応

(6)事後対応

必要に応じて漏えい情報による被害の補償等救済処置を行う。

この際、情報セキュリティ方針に基づき、事故の再発防止策を実施する。

  • 重要な情報の隔離やウイルス対策製品の導入等、再発防止のための技術的な対策を行う。
  • またユーザに対して不正プログラム対策の注意喚起を行う。

4.3.6 不正アクセスの場合

(1)発見及び報告

①不正アクセスの多くは企業(組織)がインターネットに接続しているサーバに対して行われ、ログの確認やセキュリティ対策機器の警報によって発見されることが多い。

②重要な情報が格納されているパソコンやサーバに対する不正アクセスが確認された場合は、情報漏えいの危険性があるため対策が必要である。

③不正アクセスが明らかな場合は、警察に相談する。

④「情報流出共有シート」に記録し、報告する。

事故事例

  • WebでのIDパスワードを不正利用され、情報を他のサイトに掲示された。
  • Webでのぜい弱性を悪用し不正アクセスされ、非公開情報を窃取された。
  • Webアプリケーションのぜい弱性を悪用され、データベースサーバの非公開情報を窃取された。
  • Webアプリケーションのぜい弱性を悪用され、Webサーバにウイルスを埋め込まれた。

発覚のきっかけ

  • 自己申告/内部発見
  • 外部からの指摘(風評を含む)

(2)初動対応

①何の情報がどの程度含まれていたのか、暗号化やアクセス制限の有無を確認する。

この際、事実関係を5W1Hで整理する。

  • 不正アクセスした当事者は誰か?
  • 何(物)を不正アクセスされたのか?
  • 不正アクセスされた情報は何か?
  • いつ不正アクセスが行われたのか?
  • どこで不正アクセスが行われたのか?
  • なぜ不正アクセスが発生したのか?
  • 不正アクセスが発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどのくらいか?
  • どのような形で保存されていたか?(暗号化/平文、HDD保護、パスワード保護等)

②不正アクセスによって個人情報や機密情報が漏えいする危険性が確認された場合は、直ちにネットワークから切り離してサービスを停止する等の処置を取る。

③クレジットカードやアカウント情報が漏えいした場合は、カード会社への通知やアカウント停止等の緊急処置を行う。

応急処置例

  • 不正アクセスを受けた機器(サイト)のネットワークからの切り離し
  • 不正アクセスを受けた機器(サイト)の停止
  • 代替サイトの立ち上げ

留意点

  • 不正アクセスされた原因、経路を特定せずに、代替サイトを立ち上げると、再び不正アクセスされる可能性が高い

(3)調査

①不正アクセスの場合、機器に残された記録は重要な証拠となるため、内容が変更されたり損なわれたりしないよう証拠保全の措置をとる。

②どのようにして侵入が行われたのか、どういった情報にアクセスした形跡があるか等について調査する。

③予想される二次被害を確認する。

この際、被害の重要度を判定する。

  • 漏えいした情報区分は?(個人情報/公共性の高い情報/一般情報)
  • 漏えいした情報の保護策は、何を実施していたか?
  • 影響はどこにあるか?(個人/公共インフラ/特定企業)
  • 管理上の問題点は?

(4)通知・報告・公表等

①個人情報にアクセスされた可能性がある場合は、その範囲を特定し本人に通知しお詫びする。(「5.1 情報漏えいに関する公表の考え方」を参照)

②必要に応じ監督省庁への報告を行う。

③また規模が大きい場合はWebでの情報公開のほか記者発表等も検討する。

(5)抑制措置と復旧

①侵入されたサーバ等の内容をバックアップし、再発防止措置を行った上でサービスを復旧する。

②また、アカウント情報等が漏えいした場合には、アカウントの再発行やパスワードの変更等の措置を行う。

二次被害防止策例

  • 漏えいした情報の回収
  • Webサーバ設定の見直し
  • IDパスワード、アクセス権限の見直し
  • サーバ、Webアプリケーションのぜい弱性の除去
  • クレジットカード、銀行口座番号、IDパスワードが含まれていた場合、本人に通知し、カード停止、口座停止、ID停止等を促す

留意点

  • 第三者からの情報回収
  • 該当情報を保持または掲載する第三者が情報回収に応じてくれない場合の対応

(6)事後対応

①違反や管理上のミスがあった場合は必要な処分を行う。

②また、必要に応じて漏えい情報による被害の補償等救済処置を行う。

この際、情報セキュリティ方針に基づき、事故の再発防止策を実施する。

4.3.7 風評・ブログ掲載の場合

(1)発見及び報告

①風評・ブログ掲載については、社員・職員が発見する場合と、第三者が通報してくる場合がある。

②「情報流出共有シート」に記録し、報告します。

事故事例

  • 社内の機密情報が匿名掲示板に書き込まれた。
  • 社員個人が公開しているブログで、会社の機密情報について記載していた。

発覚のきっかけ

  • 外部からの指摘(風評を含む)

(2)初動対応

①何の情報がどの程度含まれていたのか、確認する。

この際、事実関係を5W1Hで整理する。

  • 掲示板、ブログに書き込んだ当事者は誰か?
  • 何(物)を掲示版、ブログに書き込まれたか?
  • 掲示版、ブログに書き込まれた情報は何か?
  • いつ掲示版、ブログに書き込まれたのか?
  • どこで掲示版、ブログに書き込まれたのか?
  • なぜ掲示版、ブログへ書き込まれたのか?
  • 掲示版、ブログへの書き込みが発覚した理由は何なのか?

ポイント

  • 誰の情報か?
  • 何の情報か?
  • いつ頃の情報か?
  • 情報の量(件数)はどのくらいか?
  • どのような形で保存されていたか?(暗号化/平文、HDD保護、パスワード保護等)

②漏えい情報の範囲、内容を確認する。

③個人のブログ等の場合は、本人が悪意を持っていないことが多いので、本人に注意し削除させる。

④掲示板への書き込みについては反論を書き込む等表立った反応はせずに、掲示板の管理人に対して削除を依頼する。

⑤管理人が削除に応じない場合は、プロバイダ責任制限法に基づく法的手続きをとることも検討する。

⑥また従業員等が勝手に反論したりすることのないよう周知徹底する。

応急処置例

  • 掲示板に書き込まれた情報の削除
  • ブログに書き込まれた情報の削除

留意点

  • 掲示板の管理人が削除に応じてくれない場合の対応

(3)調査

①漏えいの経路等について調査を行う。

②また同様の情報が他のページ等に転載されていないか確認する。

③予想される二次被害を確認する。

この際、被害の重要度を判定する。

  • 漏えいした情報区分は?(個人情報/公共性の高い情報/一般情報)
  • 漏えいした情報の保護策は、何を実施していたか?
  • 影響はどこにあるか?(個人/公共インフラ/特定企業)
  • 管理上の問題点は?

(4)通知・報告・公表等

①個人情報が含まれる場合は、本人に通知とお詫びを行う。(「5.1  情報漏えいに関する公表の考え方」を参照)

②必要に応じ監督省庁への報告を行う。

③内容が企業(組織)の不祥事や問題に関するものである場合には、問題解決のためのしかるべき対応をとる。

この際、事実を隠ぺいするのではなく誠実な対応をとった方が後々良い結果につながる。

(5)抑制措置と復旧

①情報漏えいに至った原因を究明し、再発防止策を講じる。

②秘密にすべき情報とそうでない情報の区別が明確でない場合はこれを明確にする。

③多くの場合従業員に対する教育・啓蒙(注意喚起)が必要となる。

二次被害防止策例

  • 検索サイトからのキャッシュ削除

(6)事後対応

①被害者へのお詫びや損害の補償、内部処分等を行う。

この際、情報セキュリティ方針に基づき、事故の再発防止策を実施する。

  • 機密情報の格付け見直しと社員への周知徹底

まとめ

ここでは、「【管理者編】情報セキュリティ事故管理ガイドライン」のうち、

「4.情報漏えいのタイプ別対応ポイントと対応時の注意事項」について、以下の内容を説明しました。

  • 情報の種類に関するポイント
  • 情報漏えいのタイプによる対応時のポイント
  • 漏えいのタイプによる対応内容と注意事項
    • 紛失・盗難の場合
    • 誤送信・Webでの誤公開の場合
    • 内部犯行の場合
    • Winny/Share等への漏えいの場合
    • 不正プログラム(ウイルス、スパイウェア等)の場合
    • 不正アクセスの場合
    • 風評・ブログ掲載の場合
タイトルとURLをコピーしました