サイバーセキュリティポリシーの策定方法と、情報セキュリティポリシーとの違い
サイバーセキュリティポリシーを策定すべき理由 従来、情報セキュリティの強化策として、ISMS(情報セキュリティマネジメントシステム)を取得する企業が多く見られました。これは、組織内での「情報」の取り扱いについて、機密性、完全性、可用性を一定の水準で確保するための仕組みが整っていることを認証するも...
「IT・情報セキュリティ」に関する実務Q&A一覧
すべての実務Q&A
1〜10件を表示 全154件
リスクベースで行う社内セキュリティ教育の前提知識
2020年に急増したサイバー攻撃の手口 コロナ禍により、一時的に経済活動が停滞したことで、影響を受けたのは企業や個人だけではありません。サイバー犯罪者にとっても、「以前までの標的や手口でサイバー攻撃をしにくくなった」ことなどにより、一時的に(2020年4月)サイバー攻撃被害が少なくなりました 1...
緊急措置的に導入したテレワークを恒常施策とする際の実施範囲・ICT環境の精査方法
テレワークの導入プロセス 別稿 1 では、コロナ禍を機に緊急措置として導入したテレワークの運用見直しや恒常施策への切り替えに際する準備作業として検討すべき調査項目について、主にセキュリティ対策の面から解説しました。 もっとも、本来、テレワークの導入に際しては、情報漏えい等のリスクに対処するた...
デジタルトランスフォーメーション(DX)に向けてAIソフトウェアの開発契約を締結する際の留意点
AIソフトウェアの特徴 現在、主に機械学習を利用したAI技術を利用したソフトウェア(以下「AIソフトウェア」)について、多くの企業が開発・活用に取り組んでいます。 最近のAI技術の核となる機械学習は、データから結論を推論するという帰納的なものであり、プログラムを条件と命令で記述する従来型の演...
クラウドサービス(SaaS)の利用時にサービス事業者へ個人データを送信する際の留意点
個人データの「提供」に該当しない場合 クラウドサービス事業者が国内の事業者であるか、国外の事業者であるかを問わず、クラウドサービス事業者に対して、個人データを送信する場合において、当該クラウドサービス事業者が、当該個人データを取り扱わないこととなっているときは、当該個人情報取扱事業者は個人データ...
サイバー攻撃により情報を窃取したハッカーから金員の支払いを要求された場合の米国法上の留意点
サイバー攻撃に伴う身代金の要求 サイバー攻撃により企業から情報を窃取したハッカーが金員の支払いを要求する事例が増えています。 代表例としてランサムウェアがあります。ランサムウェアというマルウェアに感染すると、端末内のデータが暗号化されて利用できなくなり、復号(復旧)の対価として身代金(ランサム...
データ利活用の契約時にデータの返還・削除条項はどのように定めればよいか
廃棄・削除条項 契約に基づき提供されたデータについて、契約上、その使用または利用(以下「利用」といいます。)を、開示者の都度の指示、契約の終了を含む期間の満了あるいは目的の達成などの事由の発生により制限している場合、これらの事由が発生した際のデータの取扱いは、データの廃棄・削除条項で定めることが...
インターネット上の違法行為に対する米国の証拠開示制度(ディスカバリー)の活用状況と国内手続との比較
本稿の概要 別稿「サイバー犯罪における米国の証拠開示制度(ディスカバリー)の活用」において、米国の証拠開示制度(ディスカバリー)の一般的な要件および利点をご紹介しました。 本稿では、まず同制度の具体的な活用状況を紹介のうえ、次に2020年8月31日改正で開示対象に「発信者の電話番号」が追加され...
クラウドサービス(SaaS)の利用契約においてSLAとして規定すべき項目と留意点
SLAとは 近時、クラウドサービス(SaaS)の利用が急速に進んでいます。クラウドサービス(SaaS)の品質に関しては、SLA(Service Level Agreement)が重要になります。SLAとは、提供されるサービスの範囲・内容・前提事項を踏まえたうえで「サービス品質に対する利用者側の要...
緊急措置として利用を許可した支給外(私物)端末利用(BYOD)の利用実態の調査方法とアンケート書式例
はじめに 調査事項について 前稿で述べたとおり、支給外端末を利用したテレワークを許可した場合、その利用実態については「セキュリティ面の調査項目」を中心に調査をするのが適切です。 調査を主導すべき部門について 「セキュリティ面の調査項目」を中心に調査を実施する場合には、情報のセキュリティや...
