個人情報の保護と活用を両立する

情報通信プラットフォーム

−プライバシー情報の大量漏洩を原理的に防止−

Anonymous P2P Communications Platform for Secured mining of Personal Data

株式会社ニーモニックセキュリティ   　　國米　　仁

Mnemonic Security, Inc.    Hitoshi KOKUMAI

株式会社富士通ソフトウェアテクノロジーズ   　　貝沼　達也

FUJITSU SOFTWARE TECHNOLOGIES LIMITED   Tatsuya KAINUMA

東京大学生産技術研究所今井研究室   　　古原　和邦

Institute of Industrial Science, University of Tokyo   Kazukuni KOBARA

要　旨

　我々の提唱する、匿名化ルータで構成され1対１の相互通信も可能な匿名通信プラットフォーム上では、個人情報の所有者は自らの身元（実名・IPアドレス）を秘匿して個人属性情報を匿名化し、ユーザ個人のみが本人特定情報の管理を行うことで、事業者からの個人情報大量漏洩を原理的に防止することが可能となる。また視覚記憶活用本人認証技術の統合によってネットワークの秩序を維持し、集積した属性情報の改竄も有効に抑止できる。健康・医療・行政・人材斡旋・金融など顧客・個人情報の取り扱いに苦慮する分野において事業主体を個人情報大量漏洩の恐怖から解放し、個人属性情報を有効に活用する各種事業・ビジネスの発展に寄与することが期待される。

キーワード

　ユーザ主権、自己情報自己管理権、個人情報の保護と活用

------------------------------------------------------------------------------------

情報セキュリティ・マネジメントにおける

セキュリティ・コミュニケーションの意義と推進策

A Study on the Meaning and Promotional Measures of Security Communication

in Information Security Management

大阪成蹊大学　　井戸田　博　樹

Osaka Seikei University　 　  Hiroki IDOTA

要　旨

　インターネット環境では、一旦情報セキュリティに関するインシデントが発生すると、被害が短期間に組織内外に拡散されやすい。そのため組織はセキュリティ情報を内外から早急に収集し分析して、現場の従業員を含めた全構成員に対策の実施を周知徹底しなければならない。組織はさまざまな階層で情報セキュリティに関するコミュニケーション、すなわちセキュリティ・コミュニケーションを行うことで、セキュリティ情報をやり取りして情報処理能力を高める必要がある。さらにこのコミュニケーションを活発に繰り返せば、構成員は情報セキュリティに関心を持つようになり、やがてその重要性を共有するようになる。またリスク・コミュニケーションの一環として、セキュリティ・コミュニケーションを行えば、組織の情報セキュリティ・マネジメントへの堅牢な取り組みを、顧客をはじめとするステークホルダーに示すことにつながる。本稿ではまずセキュリティ・コミュニケーションの意義について述べた。そしてそれを活性化させる推進策として、対面によるコミュニケーションに加え、メディアとしてのICTを活用することを考察した。�@担当者間または担当者とサーバ管理者間ではセキュリティ情報サーバを、�A現場の従業員と担当者間では対話形式で質問に答えながら入力するインターフェースや、エラーメッセージを自動送信する仕組みを、�B顧客と組織間ではISMSの認定や、プライバシーマークの取得状況のホームページによる公開などを検討した。

キーワード

　情報セキュリティ・マネジメント、セキュリティ・コミュニケーション、コミュニケーション、組織文化、高セキュリティ文化

------------------------------------------------------------------------------------

企業を取り巻く環境変化と

システムリスク・マネジメント

System Risk management and Changes of the Environment for The Firm

関東学院大学　　　税　所　哲　郎

Kanto-gakuin University      Tetsuro SAISHO

要　旨

　企業における取引では、従前からの対面取引に加えて、インターネット取引、コールセンター取引、コンビニエンスストア取引、IVR取引、異業種企業間提携取引などによって販売チャネルが拡大している。

　特に、金融機関では、取り扱う商品やサービスが物理的な移動を伴う必要がなく、それらを情報システムで管理するのに最適なビジネスモデルであることもあって、オンライン銀行やネット証券などの電子取引に特化した形態の企業が多数現れている。

　このような新興企業を含めた金融機関の取引の多様化・複雑化は、旧来の銀行や証券、生命保険といった業種の枠を超えて拡大しており、その進化スピードは他の業種・産業を凌ぐほどである。

　このため、金融機関では、情報システムにおける利用形態の多様化、および異業種企業間提携による広範な金融情報ネットワーク網の形成、金融機関を跨ぐリアルタイム処理化の加速、さらに情報技術（IT：Information Technology）の飛躍的な発展に伴う情報ネットワーク社会の到来といった企業を取り巻く環境の変化によって、それまでの情報システムでは想定されていなかった重大なシステム障害が発生している。

　そこで、本稿では、わが国の企業、特に金融機関を中心に、それらを取り巻く環境の変化がシステム障害の発生に対して大きな影響を与えているという仮説のもと、システム障害事例から影響の状況と原因を分析して、企業におけるシステムリスク・マネジメントを考察する。

キーワード

　情報ネットワーク，システム連携，環境変化，システム障害，システムリスク・マネジメント

------------------------------------------------------------------------------------

オブジェクト指向評価基準設計法による

情報セキュリティマネジメント規準の

要求内容解釈及び調査項目設計

The Way to Convert the Requirements of Information Security Management Standards into Checking Items with Object Oriented Criteria Design

筑波大学大学院 　　平　野　晃　治

Graduate School of Business Sciences, University of Tsukuba, Tokyo  　　Koji HIRANO

要　旨

ISO/IEC17799等情報セキュリティマネジメント規準が指導する要求事項は，自己点検等に利用する調査項目設計の参考とされるが，その内容は，一般に具体性に乏しく，直接利用は困難である．本論文では，この解決のために，オブジェクト指向評価基準設計法(OOCD)を適用した情報セキュリティマネジメント規準要求内容解釈による調査項目設計を提案する．

OOCDは，「情報資産の各種目標の評価に基づく環境最適化」を目的とし，その主要な仕組みである「最適化規則」，「設計5段階」の設定内容により形成される調査項目構造を，調査項目の設計と利用（調査結果からの環境理解，問題発見，対策検討等）の手引きとする．この調査項目構造は，調査目的や環境の変化等調査要件変更に対応する調査項目の調整を可能とする．これら特徴により，情報資産を対象とする各種調査活動の統合，組織内調査活動コスト全体の圧縮が期待できる．

本稿では，まず，現状の問題として，情報運用環境調査の組織内分散，調査項目としての直接利用を前提とした規準の要求事項の問題点を指摘する．次に，OOCDの主要な仕組みである「設計5段階」，それによる要求内容の構文化，調査項目への転換について解説する．

次に，ISO/IEC17799の要求事項を対象とした「設計5段階」による解釈，調査項目構造からの調査要件の適切性評価の考え方を示す．最後に，情報セキュリティマネジメントへのOECD8原則のうち2原則追加を例とし，「設計5段階」による調査項目調整メリットを述べる．これらOOCDの仕組みにより，情報セキュリティマネジメント規準の要求内容解釈及び調査項目設計の効果を示す．

キーワード

  ISO/IEC17799, クライテリアデザイン，情報セキュリティマネジメント, 情報運用環境調査

------------------------------------------------------------------------------------