ISMSケーススタディ
ISMSの具体的な事例です。
■事例1
- ベテラン社員が退職したことに伴い、経験者を中途で採用した。経験が豊富だったため、即現場に配属を行なった。
【問題点】
- ISMSに関する教育がなされておらず、問題を起こす可能性がある。
【対応方法】
- 配属前教育の実施
【関連規定】
- 組織管理規定
- 要員管理規定
■事例2
- お客さんが事務所に訪ねてきた。来客者は、社員の知り合いということだったので、そのまま事務所内に案内した。
【問題点】
- 机の上に置きっぱなし
- 盗み見等の情報漏えいにつながる可能性あり
【対応方法】
- 来客者の入退出時のルールの徹底
【関連規定】
- 施設・設備管理規定
- システム運用管理規定
■事例3
- 社内での作業が納期的に困難となったため、急いでその仕事ができる外注先を探し、そこに仕事を発注した。
【問題点】
- 機密事項等に関する契約がなされていない可能性あり
【対応方法】
- 左記契約を結ぶ
【関連規定】
- 外部委託管理規定
■事例4
- 顧客からの問い合わせがあり、顧客から預かった書類を綴じたファイルを取り出し見ていた。
その後、客先へ出向く用事ができたため、出かけたが、ファイルは机の上に置いたままであった。
【問題点】
- 紛失、または共通ファイルであれば他の人が使えない可能性あり
【対応方法】
- 情報利用ルールの徹底
【関連規定】
- 情報資産管理規定
■事例5
- 企画書を作成しているとき、来客があった。重要商談だったためパソコンでの作業をそのままにして急いで商談室へと向かった。
【問題点】
- 覗き見による情報漏えいの可能性あり
【対応方法】
- スクリーンセーバー使用ルールの徹底
【関連規定】
- システム運用管理規定
■事例6
- 顧客から受け取ったMOを使いデータの登録作業を行なった。ところが急にパソコンの動きが遅くなったので一旦処理をキャンセルし、再起動して再度処理を行なった。
【問題点】
- ウィルスに犯された可能性あり
【対応方法】
- 外部記憶媒体使用ルールの徹底
【関連規定】
- システム運用管理規定
■事例7
- 急ぎの用事が入り、顧客への受け渡す書類を持参できなくなった。顧客に断りの電話を入れた後、メールでその書類を添付して送付した。
【問題点】
- メール送付先を間違える可能性あり
- 盗聴の恐れ(漏洩)
【対応方法】
- メール送信手順の確認
【関連規定】
- システム運用管理規定
■事例8
- 使用していたパソコンが故障したため自社で直そうとしたが自社では無理だとわかり、業者に修理依頼をすることになった。修理業者は長年取引がある業者だったのでいつものように引取りしてもらい修理を実施した。
【問題点】
- パソコンから情報漏えいの可能性あり
- 情報が紛失する可能性がある
【対応方法】
- 業者に対して情報漏えいに対する対策実施を教育
- 機密保持契約
【関連規定】
- システム運用管理規定
- 外部委託管理規定
■事例9
- 顧客にプレゼンテーションを行なうため、ノートPCを持ち出すことになった。しかし、普段プレゼン用で使用しているパソコンが使用中だったため、別のパソコンを使用することになった。
【問題点】
- 万が一盗難等にあった場合、プレゼン用以外の情報漏えいにつながる可能性あり
- 重要なデータがある場合がある
【対応方法】
- データの暗号化等ルール検討し徹底
- 持ち出しルールを策定する
- 基本的には持ち出ししない
【関連規定】
- 情報資産管理規定
- 施設・設備管理規定
■事例10
- MO,CDなどのメディアが読み書きできなくなったため、そのまま不燃ごみとして捨てた。
【問題点】
- 第三者に漏洩する危険性がある(他のマシン等で読み込み可能となる場合あり)
【対応方法】
- メディア廃棄時のルール徹底(破壊か完全なる消去)
【関連規定】
- 情報資産管理規定
■事例11
- ネットワークのパスワード変更時期になったが、ついつい後回しにしてしまい、半年が過ぎてしまった。
【問題点】
- パスワード漏洩の可能性が増加
【対応方法】
- サーバ側でログイン時強制的にパスワード変更するように設定
【関連規定】
- アクセス制御管理規定
■事例12
- 大容量のデータを扱う処理だったためサーバーのディスクを使用せず、自分のマシンのハードディスク(ローカルドライブ)で処理を行なっていた。
【問題点】
- 不正アクセスに対する管理が不十分
- バックアップの対象になっていない
【対応方法】
- 適切なアクセス制限を設ける
- データの紛失などが起きても復旧できるようバックアップを行う
【関連規定】
- アクセス制御管理規定
- システム運用管理規定
■事例13
- あるクライアントよりパソコンの導入設置作業を請け負った。各クライアントに設定する情報に個人情報が含まれていたが、収集の目的の明示や収集利用に関する同意をえることはしなかった。
【問題点】
- 個人情報保護法違反
【対応方法】
- 収集時に目的を明示
【関連規定】
- 個人情報管理規定
■事例14
- (事例13の続き)クライアントの設定情報をデータで入手した。あるクライアントからはデータの取り扱いについて特別な指示がなかったため、担当者は自分のパソコンの中にそのまま保持していた。
【問題点】
- 個人情報漏洩の可能性が増加
【対応方法】
- 不要な個人情報は廃棄するようルール化
- パスワードを掛ける
【関連規定】
- 個人情報管理規定
- 情報資産管理規定
■事例15
- 顧客のシステムインストールのため一時的に自社内に必要なソフトをインストールした。しかし、作業完了後もそのままソフトはインストールしたままだった。
【問題点】
- 著作権法違反の恐れがある
- 使用権があるかないかも確認する
【対応方法】
- 契約上のソフトウェアの取り扱いルールの明確化
【関連規定】
- 外部委託管理規定
■事例16
- 顧客から預かったMOの処理が終わったので机の上に置いて帰宅した。
【問題点】
- 媒体の盗難などにより情報が漏洩する危険がある。
【対応方法】
- 媒体取り扱いルールの明確化
【関連規定】
- 情報資産管理規定
■事例17
- 広告の制作中、修正用に出力し確認済となったものを、そのままゴミ箱に捨てている。
【問題点】
- 廃棄物の持ち去りなどにより情報が漏洩する危険がある。
【対応方法】
- 廃棄手段のルール化
【関連規定】
- 情報資産管理規定
■事例18
- 外部に見られてはいけない書類は壁面収納庫に保管しているが、壁面収納庫には鍵がかけられていない。
【問題点】
- 権限のない人間による媒体の閲覧・盗難などによる情報漏えいの危険性がある。
【対応方法】
- 媒体保管ルールの明確化
【関連規定】
- 情報資産管理規定
■事例19
- プレゼンテーションで使用しているパソコンがあるが、今日は不要だったためパソコンバッグに入れたままの状態で机の上に置いて外出した。
【問題点】
- パソコンの盗難などにより情報が漏洩する危険がある。
【対応方法】
- パソコンの持ち出し時のルールの明確化
【関連規定】
- 施設・設備管理規定
- システム運用管理規定
■事例20
- 制作の外注先担当者は、お昼休みに訪問したが、あいにく総務の担当者が不在だったため、直接3Fの制作室に向かった。
【問題点】
- 権限のない人間による媒体の閲覧などによる情報漏えいの危険性がある。
【対応方法】
- 外部委託先契約時に機密保持契約の締結と社内エリア内権限の明確な提示を行う
【関連規定】
- 外部委託管理規定
■事例21
- 営業担当者は、納品が完了した案件の原稿を自分の机の引き出しにしまっている。
【問題点】
- 担当者が急な欠勤などを行った場合、代行者が原稿を見ることができない。
【対応方法】
- 鍵の共有ルールの明確化
【関連規定】
- 情報資産管理規定
■事例22
- 外注先の担当者はいつものように制作室へ入っていった。
【問題点】
- 権限のない人間による媒体の閲覧などによる情報漏えいの危険性がある。
【対応方法】
- 外部委託先契約時に機密保持契約の締結と社内エリア内権限の明確な提示を行う
【関連規定】
- 施設・設備管理規定
- 外部委託管理規定
■事例23
- 来客者が1F正面の扉から入り、内部のものを呼び出ししようとしたが、内線電話が無かったため、中の階段から2階に上がっていった。
【問題点】
- 権限のない人間による媒体の閲覧などによる情報漏えいの危険性がある。
【対応方法】
- 外部委託先契約時に機密保持契約の締結と社内エリア内権限の明確な提示を行う
【関連規定】
- 施設・設備管理規定
■事例24
- バイク便の引き取り
【問題点】
- 権限のない人間による媒体の閲覧などによる情報漏えいの危険性がある。
【対応方法】
- 外部委託先契約時に機密保持契約の締結と社内エリア内権限の明確な提示を行う
【関連規定】
- 施設・設備管理規定
■事例25
- 外注営業が訪問、勝手に荷物を置いていく。
【問題点】
- 権限のない人間による媒体の閲覧などによる情報漏えいの危険性がある。
【対応方法】
- 外部委託先契約時に機密保持契約の締結と社内エリア内権限の明確な提示を行う
【関連規定】
- 施設・設備管理規定
■事例26
- 保管庫があふれて、とりあえず保管庫の上に保管
【問題点】
- 本来鍵をかけて保管しなければならないものが人目にさらされ、権限のない人間による媒体の閲覧・盗難などによる情報漏えいの危険性がある。
【対応方法】
- 媒体保管の容量などをあらかじめ予測する。
- 施設エリアごとの保管ルールを明確化する。
【関連規定】
- 施設・設備管理規定
- システム運用管理規定
■事例27
- 複数の人間で共同作業している制作媒体のデータを自分のマシンで修正して、そのまま帰ってしまった。
【問題点】
- 誤った情報を掲載した媒体を納品してしまう恐れがある
【対応方法】
- 常に最新の版を共用サーバにおくとともに、利用ルールを明確に定める
【関連規定】
- システム開発管理規定
■事例28
- 納品データをMOに入れて顧客先に持ち込み、顧客のマシンを借りてサーバにデータを転送して納品した。
【問題点】
- 顧客のマシンがウイルスなどに感染していた場合、メディアがウイルス感染する危険性があり、会社にウイルスを蔓延させる可能性がある。
【対応方法】
- データ移動用のメディアは必ず帰社後ウイルスチェックを行う。
【関連規定】
- システム運用管理規定
■事例29
- 個人情報など重要な情報が含まれる納品データをMOに入れて顧客先に持ち込み、MOはもちかえってデータが入ったまま保管していた。
【問題点】
- 本来すぐに処分しなければならない情報がメディアの紛失などにより、情報漏えいする危険性がある。
【対応方法】
- データ移動の用途が終わった後は速やかにデータを消去する。
【関連規定】
- システム運用管理規定
■事例30
- 媒体データを東京オフィスにデータを送る為、何度も修正してそのつどMOVEにデータを入れたが、旧データも別名で残ったままになっている
【問題点】
- 最新版がどれかが判らなくなり事故が発生する可能性がある。
【対応方法】
- データのフォルダに日付をつけるなどルールを定める。
【関連規定】
- システム運用管理規定
■事例31
- 媒体データを東京オフィスにデータを送る為、MOVEにデータを入れようとしたが、MOVEがすでに他のデータでいっぱいでデータを渡すことができない
【問題点】
- 作業の遅延などによる金額および作業コストの損失の恐れがある。
【対応方法】
- データは直ぐに受け取った者が確実に削除する。
【関連規定】
- システム運用管理規定
■事例32
- サーバ上のデータを整理しようとしたがどのデータが誰の物かわからず、整理する事ができない。
【問題点】
- サーバ容量が不足し、必要なデータが保管できなくなる恐れがある。
【対応方法】
- 誰のデータか明確にわかるようにファイル名を付ける。
【関連規定】
- システム運用管理規定
■事例33
- 私物のiPodを会社のパソコンにつなぎ、会社のマシン間でデータを移動させた。
【問題点】
- 自宅マシンがウイルスなどに感染していた場合、メディアがウイルス感染する危険性があり、会社にウイルスを蔓延させる可能性がある。
【対応方法】
- ウイルス被害の可能性などの知識を啓蒙する。
【関連規定】
- システム運用管理規定
■事例34
- サーバを利用中、サーバに接続したまま長時間席を離れた。
【問題点】
- 他人に自分の権限でサーバを利用される恐れがある。
- 事故発生時に責任を追及される可能性がある。
【対応方法】
- 離席する際は、サーバをアンマウントするかスクリーンをロックする。
【関連規定】
- システム運用管理規定
■事例35
- 制作データの授受を外注先やクライアントと行っているがデータ授受の記録をとっていない。
【問題点】
- 大事故発生時にデータ受け取りなどの事実が証明されない為、会社の信頼が低下する。
【対応方法】
- データ授受のルールを守る。
【関連規定】
- 情報資産管理規定
- システム運用管理規定