情報セキュリティの10大潮流 [2] 第2の大潮流「情報漏えいへの社会的取り組み」【後編】 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

情報セキュリティの10大潮流 [2] 第2の大潮流「情報漏えいへの社会的取り組み」【後編】

特集 特集

 本連載では、情報セキュリティの大潮流について解説していきます。連載では、情報セキュリティの進化の中、10大潮流を取り上げ、社会環境の変化とともにその動きを振り返り、将来の方向感についても考えていく予定です。

 10大潮流は「セキュリティ管理の確立」と「安全安心な電子社会の構築」の二つのカテゴリ毎にそれぞれ5大潮流を定義して概説していきます(*参考1)。第2回目は、第2の大潮流として「情報漏えいへの社会的取り組み」について説明します。

*参考1
http://www.nttdata-sec.co.jp/article/security/090715.html

3.その他情報漏えいにかかわる法制度

(1)不正競争防止法

 デジタル化やネットワーク化、人材の流動化等に伴い、企業の営業秘密が国内外の競争他社に流失し、営業秘密をめぐるトラブルが増大しています。このため、不正競争防止法による保護が求められ、営業秘密の保護の明確化が強く求められるようになってきました。平成2年の「営業秘密」の不正取得、使用、開示行為に対する民事保護規定の創設以降、平成15年に営業秘密侵害罪が創設され、その後罰則規定が強化されてきましたが、規定対象範囲が限定されていたため実効性の点で課題がありました。このため、本年の通常国会で改正案が可決成立し(*参考2)、営業秘密侵害罪の目的要件が拡大され、より実態に合わせた営業秘密(企業秘密)の法的保護が可能になりました(*図1)。今回の主な改正は、1.刑事罰による営業秘密の保護強化、2.不正競争行為に対する民事的保護の強化(損害賠償の立証負担軽減)、3.情報化の進展に沿った規定の整備の3点です。

 但し、不正競争防止法の対象となる営業秘密は、以下の要件が必要となりますので、営業秘密に対するアクセス制御等のセキュリティ整備が不可欠になります。

―営業秘密の要件―
・アクセスが制限され秘密として管理されていること(秘密管理性)
・事業活動に有用な技術上または営業上の情報であること(有用性)
・公然と知られていないこと(非公知性)

図1:不正競争防止法の改正(規定範囲の拡大)
https://www.netsecurity.ne.jp/images/article/10dai_2_1.jpg
*参考2
http://www.meti.go.jp/policy/economy/chizai/chiteki/unfair-competition.html#21

(2)割賦販売法

 2008年に割賦販売法が改正され、クレジットカード事業者に対して個人情報保護法ではカバーされていないクレジットカード情報の保護に必要な措置を講じることが義務付けられました。同時に、カード情報の漏えいや不正入手が刑事罰の対象となり、クレジット業界のセキュリティ基準(PCI DSS)(*参考3)への準拠と普及がさらに求められるようになりました。

*参考3
http://www.nttdata-sec.co.jp/article/pcidss.html

4.漏えい事件と原因(図2、3参照)

 情報漏えいにかかわるインシデント件数は、依然として高い水準にありますが、NPO 日本ネットワークセキュリティ協会(JNSA)の2007年の調査によると、情報漏えいの原因としては「紛失・置忘れ」、「盗難」、「誤操作」の比率が多く上位となっていますが、2006年に比較して「管理ミス」が2007年には大幅に増加し、「紛失・置忘れ」とほぼ同じ割合となったことが特徴的です。これは内部統制への取り組みが進み、組織内情報の管理が強化され、組織の建物内での誤廃棄や紛失についての公表が進んだ結果だと推測されます。

 情報漏えい経路別件数の割合で見ると、最もインシデント件数が多い媒体・経路は「紙媒体」が全体の40%を占め「USBメモリ等可搬記憶媒体」の割合は、2006年の8.2%から12.5%へ増加しているようです。また、2006年には Winny、Shareで知られる不特定多数のコンピュータ間でファイル(データ)をやり取りできるファイル交換ソフトによる情報漏えい事件が多発しましたが、2007年はWebやネットを経由したインシデントの割合は、やや減少しているようです。

図2:漏えい原因比率(件数)
https://www.netsecurity.ne.jp/images/article/10dai_2_2.jpg
図3:漏えい媒体・経路比率(件数)
https://www.netsecurity.ne.jp/images/article/10dai_2_3.jpg

5.知的生産性の高度化に向けて

 情報漏えいへの対策には、監視や利用制限、内外からの脅威に防御線を構築する等様々なソリューションが実用化・提案されています。本年、米国で開催されましたセキュリティ・カンファレンスにおいて、展示のトレンドはDLP製品 (Data Loss Prevention)でした。

 一方で、そもそも情報セキュリティは…

【執筆:NTTデータ・セキュリティ株式会社
エグゼクティブ・セキュリティマネージャ 林 誠一郎】

*各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×