情報セキュリティ読本第6章.pptVIP

情報セキュリティ読本　　　- IT時代の危機管理入門 - プレゼンテーション資料 （第6章 情報セキュリティ関連の法規と制度） 第6章　情報セキュリティ関連の法規と制度 情報セキュリティの国際標準 情報セキュリティに関する法律 知的財産を守る法律 迷惑メール関連法 情報セキュリティ関連制度 1. 情報セキュリティの国際標準 1) 情報セキュリティマネジメントの国際標準ISO/IEC 17799と27000シリーズ 2)セキュリティ製品の評価認証のための国際標準 ISO/IEC 15408 3) OECD情報セキュリティガイドライン 1） ISO/IEC 17799 (JIS Q 27002) 情報セキュリティマネジメントの国際標準 組織として情報セキュリティの確保に取り組むための管理策を定めた国際標準 情報セキュリティを守るためのベストプラクティスを記述 2） ISO/IEC15408 セキュリティ製品の評価認証のための国際標準 機能要件と保証要件の集大成 7段階の評価保証レベル(EAL)を定義 ISO/IEC15408→（JIS化）→JIS X 5070 ISO/IEC15408に基づいて「ITセキュリティ評価及び認証制度」が運用される 3） OECD情報セキュリティガイドライン 1992年、OECD（経済協力開発機構）により制定 OECD加盟国が尊重すべき情報セキュリティの基本方針 5年ごとに見直し 2002年には、米国同時多発テロの影響を受け、全面的に改正 　 2. 情報セキュリティに関する法律 1) 刑法 2) 不正アクセス行為の禁止等に関する法律　（不正アクセス禁止法） 3) 電子署名及び認証業務に関する法律　（電子署名法） 4) 個人情報の保護に関する法律　（個人情報保護法） 1） 刑法 1987年の改正で、コンピュータ犯罪を防止するための3法が追加 電子計算機損壊等業務妨害罪 電磁的記録不正作出及び供用罪 電子計算機使用詐欺罪 　? コンピュータやデータの破壊や改ざんには 　刑事罰が科せられる 2） 不正アクセス行為の禁止等に関する法律（不正アクセス禁止法） 電気通信回線を通じて行われる不正アクセス犯罪を防止することが目的 不正にアクセスする行為と不正アクセスを助長する行為を処罰 　　【不正アクセス行為】 他人のIDやパスワードを無断使用し不正アクセスする 直接侵入攻撃 間接侵入攻撃 【不正アクセスを助長する行為】 他人のパスワードを許可無く他人に教える 3） 電子署名及び認証業務に関する法律（電子署名法） 電子署名（ディジタル署名）に署名や押印と同じ効力を持たせることが目的 電子署名により、電子政府や電子商取引における情報の真正性を証明 電子署名と電子証明書を規定し、さらに、認証業務や認証事業者についても規定 4） 個人情報の保護に関する法律（個人情報保護法） （1） 個人情報を取り扱う事業者の遵守すべき義務を規定 個人情報 氏名、生年月日その他の記述により特定の個人の識別が可能な情報 本人の了解なしに個人情報の流用、売買、譲渡することを規制 4） 個人情報の保護に関する法律（個人情報保護法） （2） 個人情報保護の基本原則を規定 適正な方法による取得 収集目的の範囲内での利用 漏えいを防ぐためのセキュリティ対策を実施する　等 2005年4月より本格施行 4） 個人情報の保護に関する法律（個人情報保護法） （3） 利用目的による制限 適正な方法による取得 内容の正確性確保 安全管理措置の実施 透明性の確保 3. 知的財産を守る法律 1) 著作権法 2) 不正競争防止法 1） 著作権法 創造性のある思想や表現などの著作物や著作者を保護することが目的 著作者人格権と著作財産権に分けられる 著作者人格権　公表権、氏名表示権、同一性保持権 著作財産権　複製権、上演権、公衆送信権、口述権など 2） 不正競争防止法 トレードシークレットを保護することが目的 トレードシークレット著作権や商標権では保護されない、企業の重要な情報であるノウハウや営業秘密等 第三者がトレードシークレットを不正入手したり、不正使用することに対し、差止請求権、損害賠償請求権が認められる 4. 迷惑メール関連法 2002年7月1日に施行された次の2つの法律を迷惑メール関連法という 特定商取引に関する法律の改正 特定電子メールの送信の適正化等に関する法律 迷惑メール（スパムメール）の規制が目的 規定違反のメールを受信した際の連絡先 （財）日本データ通信協会（http://www.dekyo.or.jp） （財）日本産業協会　（http://www.nissankyo.or.jp） 　　　 5. 情報セキュリティ関連制