セキュリティ仕様の検討プロセス のバックアップ(No.3)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- セキュリティ仕様の検討プロセス へ行く。
セキュリティ仕様の合意 †
セキュリティ仕様を合意するためには、「守るべきものは何か」「どのように守るか」「費用対効果は適切か」という観点についてユーザー、ベンダーが正しく共有する必要があります。正しく適切なセキュリティ仕様は、ユーザーの正確な情報提供義務が必須です。また、ベンダーは情報に基づくリスク分析、技術的対策の検討、費用対効果を分かりやすく説明し、プロジェクトを成功に導く専門家としての義務があります。
ユーザーのやるべきこと †
システムの重要な情報資産の明確化とリスクの検討 †
- 対象となる法規制の明確化
- 自社が受ける法的な規制やガイドラインを明確化し、本件システムが規制対象となる場合の法令等と遵守事項、罰則などを文書化します。
特に個人情報保護法は3年ごとの見直しがあり、これに連携し、業界向けのガイドラインの改定もあることから注意が必要です。 - GDPRを始めとする他国の規制について、関連があれば文書化します。
- 自社が受ける法的な規制やガイドラインを明確化し、本件システムが規制対象となる場合の法令等と遵守事項、罰則などを文書化します。
- 構築するシステムで取り扱う重要な情報資産の明確化
- 個人情報が含まれる場合、要配慮個人情報や機微(センシティブ)情報(金融ガイドライン)などが含まれるかを文書化します。また、関連する個人情報を取り扱うすべての部署、担当者(パートやアルバイト、外注業者も含む)の入出力に関する権限(入力、閲覧、加工、出力)も文書化します。
- 営業情報が含まれる場合、インサイダー取引の対象となるかを明確化します。個人情報と同様に関連する関係者の入出力に関する権限を文書化します。
- 知財情報が含まれる場合、漏洩や公開に伴う競争上のリスク、社会的被害や金銭的被害を検討し、文書化します。
- 経営陣との合意
- 重要な情報資産が漏洩したり公開された場合の、ステークホルダーの社会的被害と損害賠償額、逸失利益、再発防止や信用回復に係る活動について可能な限り金銭的に算出します。また、企業存続へのインパクトも検討します。
- 重要な情報資産へのアクセス停止(不法な暗号化や改ざん、滅失)に伴うインパクトを金銭的に算出します。これには、システムの再構築やデータの再入力も考慮します。
- 以上を整理し、システム構築費におけるセキュリティ対策費用のバランスを経営陣とともに検討し合意します。