本日もブログにアクセスしていただき、ありがとうございます。
弁護士・税理士の鳥光でございます。
情報セキュリティに関するお話の11回目となります。
前回までは、数回にわたり、ベネッセの情報漏洩事件を題材に顧客情報等を取り扱う組織側における、情報漏洩に関する注意義務についてお話をしました。
今回からは、この注意義務の内容を踏まえて、顧客情報など機密性の高い情報をベンダーのクラウド上のシステムに保存する場合や、提携先の組織に提供する際に、相手に求める要件について検討をしてみます。
情報漏洩が起きることは誰にとっても良いことはありませんし、責任追及には大きなコストがかかります。
そこで、紛争を予防するためにも、事前にシステム面、人的な面の両方で、事前にセキュリティ対策に関する要件を伝えるべきであると考えられます。
システム面においては、ネットワーク・サーバー構成、アクセス制御・ログ取得、技術動向の把握・タイムリーな適用についての要件を提示することが考えられます。
人的な面においては、データセンターやコンソール端末がある場所における入退出管理・持ち物管理、従業員や委託先のセキュリティリテラシー水準の確保、従業員や委託先の就業管理(誓約書等の作成による抑止効果)についての要件を提示することが考えられます。
次回以降、それぞれについて個別に説明します。