|
|
- 《 セキュリティ管理編 》
もしもの為の予行演習。
もし個人情報が流出したり、盗難にあったりした時、
すぐに体制を敷いて、行動に移せる組織になっているでしょうか。
偶発的
・事故
・紛失
・誤操作
意図的
・不正アクセス
・盗難
・盗聴やのぞき
・不正な持ち出し
何も個人情報だけではありません。
発注元から渡された、業務上の機密資料などでも同じです。
いつ誰が加害者になるのか、わからないのです。
持ち帰ったデータを、家のPCで作業していたら、
家族が勝手にWinnyを入れいて、知らぬ間にネット上に。。。。
という話は実際に発生しています。
知らぬ間に加害者になる環境は、そこらじゅうに潜んでいます。
発見も、
・当局からの連絡によって
・社員の報告
・他社からの連絡
などさまざまです。
もし突然の報告があった場合、
各自が、どのように行動すればいいのか、
マニュアルは出来上がっていますか?
マニュアルが出来上がっていても、
行動できるように練習していますか?
企業である以上、
マスコミや社会からは迅速な責任ある行動が、求められてきます。
連絡体制は、出来上がっていますか。
発見者 → 上長 → 総務部(orセキュリティ担当) → 社長
(不在の時は?)
・外部への報告先は、明確になっていますか。
(影響するお客様などの関係先、個人情報保護の機関)
・報告文書は、すぐに作れるように雛形がありますか。
・マスコミへの報道発表が必要になったら、文書が作成できますか。
・ネット上に流失した場合は、検索ページの削除依頼など
・原因と対応の発表はできますか
・改善対策の報告をしなければなりません。
(是正や予防の対応策とスケジュール)
「このくらい、大騒ぎする必要はないだろう。」
「誤って廃棄しただけであり、外部に漏れていないから大丈夫だろう。」
などと
発表が遅れたり、隠蔽工作が発覚したりすると、
企業の社会的信用問題にもなります。
また、迅速な行動は、被害を最小限に抑えることができます。
突然になって、あたふたしなくても済むように
最低年1回は、最近の情報漏えい傾向を分析して、
実際、自社で起こった場合を想定して
予行演習をしましょう。
弱かった所が、はっきりしてきます。
|
