総務省中国総合通信局、中国情報通信懇談会主催による 「情報セキュリティセミナー」にパネリストとして参加してきました。 山崎文明氏のお話しは相変わらずお上手で、 米国での危機管理の事情と国内での脅威の変遷について話されていました。 《演題》　組織の安全を確保する危機管理対策の総点検（事前対策） 木村修二氏は宇治市役所の個人情報漏洩裁判の経験を元に、 個人情報の利用外目的の取り扱いについて具体的に説明されていました。 《演題》　情報セキュリティに取り組む視点　～何をどうするか～ そこで、私の参加するパネルディスカッションですが、 大場充教授の巧みな手綱さばきでディスカッションが進められ、 私に対しては、 ・セキュリティ対策にはリスクは残っていることを明示すべきか？ ・委託先に対する管理はどの様にすべきなのか？ と言った課題を与えられました。 参考までに回答させて頂いた内容は、 ・情報セキュリティポリシー及びサービスレベル同意書（SLA）の中で 実施した管理策が実現出来なかった場合の対応を明示するか、 処理プロセスの中で情報の扱いについて確認を取りながら進めることにより、 リスクを回避して行くことを提案しました。 ・委託先からの情報漏洩は事例からいくつも確認されており、 契約事項で縛るよりもレビュー及び二者監査をすることにより、 啓蒙活動と実施状況の確認を確実に行うことを推奨しました。 皆様のセキュリティ活動のおけましては如何でしょうか。。。

この投稿は 2008/03/10 2:24 PM に 一般 カテゴリーに公開されました。 この投稿へのコメントは RSS 2.0 フィードで購読することができます。 現在コメント、トラックバックともに受け付けておりません。