情報セキュリティの標準規格と法律

ISO27001

正式名称は「情報セキュリティマネジメントシステム要求事項」であり、ISMS(情報せきゅれてぃマネジメントシステム)の確立、導入、運用、維持と改善に関する要求事項をまとめたもので、ISMS適合性認証制度の基準となる規格

ISO27002

正式名称は「情報セキュリティマネジメントの実践のための規範」であり、ISMSを実線するためのがいどとして、管理事項や目的、実施方法などを規定したもの。

個人情報保護法

インターネットの普及による個人情報の利用拡大を背景に、プライバシー侵害や個人情報を悪用する犯罪行為などが問題となったことを受け、個人情報の適切な取り扱いに関する法律として制定されたもの。個人情報保護法では、個人情報を「氏名や生年月日など個人を特定できるもの、または他の情報を組み合わせることで個人の識別が可能なもの」と定義している。また、個人情報をデータベースなどで取り扱う個人情報取扱事業者には、以下の義務が生じる。

 

義務 内容
利用目的の特定 個人情報の利用目的をできる限り特定すること
利用目的の制限 本人の同意なく、利用目的に必要な範囲を超えてはならない
適正な取得 個人情報を不正な手段で取得してはならない
利用目的の通知 個人情報を取得する場合は、あらかじめ利用目的を本人に通知しなくてはならない
安全管理 個人情報を取り扱う者は、個人情報を安全に管理しなくてはならない

 

不正アクセス禁止法

・他人のIDやパスワードを無断で使用してシステムに接続する。

・システムのセキュリティホールを悪用して侵入する。

・他人のIDやパスワードを無断で第三者に提供する。