本ブログにアクセスしていただき、ありがとうございます。
弁護士・税理士の鳥光でございます。
情報セキュリティに関するお話の14回目となります。
今回は、顧客情報など機密性の高い情報を外部の事業者等の管理下に保管する場合に、相手となる事業者等に提示すべきセキュリティ要件のうち、技術動向の把握・タイムリーな適用について説明します。
ベネッセの情報漏洩事件において認定された注意義務違反のひとつとして、業務用PCからのMTP方式によるデータ転送を制限する設定がなされていなかったというものがあります。
より詳しく説明しますと、業務用PCからスマートフォンへデータを転送する方式にはMSC方式とMTP方式があり、当時主流であったMSC方式のみデータ転送を禁止する設定がなされていました。
しかし、MTP方式によるデータ転送も増えつつあったことから、その技術動向を把握し、MTP方式によるデータ転送を制限する設定をすべきであったとされました。
このことを踏まえると、提示すべき要件としては、技術動向の把握とタイムリーな適用ができるセキュリティ対策体制を設けていることが挙げられます。
具体的には、セキュリティ対策専門の部門または要員を設けていることや、適用すべき設定等を認識した場合には〇日以内にリリースする運用としていることなどが挙げられます。
これらについては、少なくとも体制図と運用要領の提示を求めることが有用です。
