個人所有のUSBメモリ
スマートフォン、
デジタルカメラ
MTP/PTP※の使用を制限 ※PTP:Picture Transfer Protocol
MTP:Media Transfer Protocol
想定する脅威に対応していますか?
バージョンや設定が古いままであった り、していませんか?
情報漏えい対策製品 チェック
ITの技術進歩や新たな脅威の出現等に応じて、継続的に対策を見直し改善する。
対策項目:(30)
Copyright © 2015 独立行政法人 情報処理推進機構
3.8 :内部不正発生時の事後対応
自社及び関係者(顧客、取引先など)の直接的・間接的被害を最小限に抑え るため、事後対策を実施する。
•
対応手順や報告手順を事前に取り決めておく。•
業務を委託している場合は、委託先と協力して体制を整備する。39
(1)発見・
報告 (2)初動対応
不正行 為!
(1)発見・報告
・不正行為の兆候や具体的事実を確認 した場合、責任者への報告し、速やか に体制をとる。
・外部からの通報に対しては、相手の連 絡先を必ず控え、不正の事実を確認 する。
(2)初動対応
・対策本部を設置する
・事実関係を5W1Hで整理する
・二次被害防止のため応急処置
・証拠保全は、専門家への依頼 も検討する。
(3)調査
・適切な対応を判断するため、具体的な状況を把握と影響範囲を調査
・事実関係を裏付ける情報や証拠の確保
(4)通知・報告・公表等
・漏えいした本人、取引先など へ通知する
・犯罪の可能性がある場合は 警察へ相談。必要に応じ、監 督官庁に届け出る。
・Web等での告知や記者発表 を検討
(5)抑制措置と復旧
・被害の拡大防止と復旧のた めの措置をとる(停止したア カウントの再発行やサービス の復旧など)
・再発防止策
(6)事後対応
・抜本的な再発防止策を検 討・実施
・被害者に対する損害補償等 の救済措置
・社員の対する処分
・社内への事例告知
(3)調査
(4)通知・報 告・公表等
(5)抑制措置
と復旧 (6)事後対応
証拠隠滅に注意する。
事前に、第三者サービス(フォレン ジック解析、インシデント対応支援 等)利用時に必要となる情報、伝達
方法を決めておく。 「いつ、誰が、何をしたのか」に関する
検証可能な証拠を保全する。
再発防止の観点から、事例とし て社内に告知する。
参考) 情報漏えい発生時の対応ポイント集(IPA)
Copyright © 2015 独立行政法人 情報処理推進機構
ガイドライン
1. 営業秘密管理指針
– 司法により参考とされ、一定の強制力あり – 経済産業省
2. 組織における内部不正防止ガイドライン
– IPA (独)情報処理推進機構 – 強制力はない
40
Copyright © 2015 独立行政法人 情報処理推進機構
1.営業秘密管理指針
• 「営業秘密管理指針(全部改訂)」
– 改訂前の指針は、営業秘密に関する不正競争防止法の解釈のみな らず、営業秘密管理に関するベストプラクティス及び普及啓発的 事項をも含んでいた。
産業構造審議会 知的財産分科会 営業秘密の保護・活用 に関する小委員会にて検討
ページ数は営業秘密管理指針(全部改訂案)による。
41
Copyright © 2015 独立行政法人 情報処理推進機構