ISO 27001認証の有無による情報セキュリティ
インシデント事例の比較分析 

 Comparative Study of Information Security Incidents
Based on ISO 27001 Certification

筑波大学　大学院ビジネス科学研究科  　　　江　口　　　彰

Graduate School of Business Sciences, University of  Tsukuba       Akira EGUCHI

筑波大学　ビジネスサイエンス系  　　　山　田　　　秀

要　旨

  ISO 27001認証は、情報セキュリティに対する第三者認証規格であり、組織の情報保護に関する取り組みについての客観的な指標として利用されている。多くの官公庁や企業では、情報資産を取扱う業務を委託する際、認証の有無が取引先選定要件の一つとされ、認証を有しないと入札資格すら与えられない場合がある。しかし、ISO 27001認証は、あくまでもPDCAサイクルを構築した上で、情報資産を守るための仕組みが整っていることの証明であり、認証取得企業のインシデントの低減効果を証明するものではない。このことから、単に認証取得のみをもって情報資産を適切に保護できる企業であるとみなす行為が、適切に情報資産を取り扱うことができる取引先を選定するのに効果的な施策であると判断するには疑問が残る。

本論文では、2008年から2010年の３年間における東証一部上場企業のインシデント事例をもとにISO 27001認証取得企業がインシデントを低減させることができているのかについて比較分析を行う。その結果、認証取得企業は未取得企業に比べて必ずしもインシデントが低減できていないことがわかる。また、影響度、発生原因、インシデント低減のための管理策の観点から、業種別のインシデント発生傾向に目を向けると、認証取得件数の多い製造業、情報通信業においては、認証取得企業の方が未取得企業よりも多くインシデントが発生しており、認証取得件数の少ない卸売・小売業、金融・保険業、不動産業、サービス業においては、認証取得企業の方がインシデントは少ない傾向がみられる。

キーワード

　業種別解析、インシデント低減効果、影響度別解析、発生原因、管理策

------------------------------------------------------------------------------------

 各国におけるプライバシー影響評価と
ハンドブックの整備に関する分析

Analysis of the Development of Privacy Impact Assessment
in Each Country Handbooks

産業技術大学院大学  　　　高　坂　　　定

 Advanced Institute of  Industrial Technology      Sadamu TAKASAKA

産業技術大学院大学   　 　石 田   　 茂

Advanced Institute of  Industrial Technology      Shigeru ISHIDA

産業技術大学院大学   　　横 山    　完

Advanced Institute of  Industrial Technology       Mamoru YOKOYAMA

産業技術大学院大学  　　瀬 戸　洋 一

Advanced Institute of  Industrial Technology      Yoichi SETO

要　旨

個人情報の電子化が進み，プライバシーリスクマネジメントの重要性が増している．海外では，プライバシーを保護するための手法であるプライバシー影響評価（PIA：Privacy Impact Assessment）が普及している．PIAは，個人情報の収集を伴うシステムの導入，改修の際に，プライバシーリスクの回避あるいは低減を目的としてプライバシーリスクを「事前」に評価するリスクマネジメント手法である．海外では，個人情報を扱う公的機関のシステムを構築する際に，個人情報の保護とプライバシーの保護を目的として情報システムで管理する個人情報の安全性を事前に評価するPIAの実施が必須条件となっている国もある。

PIAを実施するためには，個人情報を扱うシステムを構築運営する者，個人情報を提供する個人やPIAを実施する専門家等のステークホルダーが共通の知識と認識を共有する必要がある．そのためプライバシー影響評価の国際標準ISO22307を基に，各国の事情に合わせた実施体制・手順を明確化したハンドブックが必要となる。

本研究では，日本版PIAハンドブックの開発のために，PIAを実施している各国の実施状況と公的機関から発行されたハンドブックの分析を行った結果をもとに日本の民間団体におけるPIAのハンドブックの構成を提案する。

キーワード

　プライバシー影響評価，プライバシーバイデザイン，リスクマネジメント，ISO22307，Pマーク

------------------------------------------------------------------------------------

 モデル・ベースド・アプローチに基づく
 セキュリティ・マネジメント

Security Management based on Model Based Approach

電気通信大学  　　太　田　　敏　澄

University of Electro-Communications      Toshizumi OHTA

電気通信大学  　　諏　訪　　博　彦

University of Electro-Communications　    Hirohiko SUWA

要　旨

多くの組織は，セキュリティ対策に多くのコストや人員を注いでいる．しかし，技術的対策のみではセキュリティの確保には限界がある．情報セキュリティの確保には，技術と並んで，セキュリティを実践する行動の理解が重要である．情報セキュリティ行動の理解には，社会科学的アプローチが必要である．方法論としてはモデル・ベースド・アプローチであり，実態の把握，モデルの構築，モデル上での操作，方策の検討，方策の実施といったサイクルを回すスパイラルアップ戦略が考えられる。

本稿では，ゲーム理論や社会心理学のアプローチを用いてセキュリティ空間やセキュリティ行動をモデル化した研究を紹介した上で，セキュリティ・マネジメントへの展開について述べる．ゲーム理論に基づくセキュリティ空間モデルでは，リスクコミュニケーションの視点から，リスク情報開示ゲームの空間を導き，ジレンマ状態が出現していることや，セキュリティ対策における改善策としてガーディアン・エージェントの導入について紹介している．また，組織におけるＩＴセキュリティ対策推進をモデル化することで，情報セキュリティの推進者が個々のセキュリティ実施者に対して対策を指示しても，対策のコストが大きすぎる場合はセキュリティが確保されないことを紹介している．さらに，モデルにおける実施者のコストなどの変数を変化させることにより，セキュリティ行動を望ましい解の空間に導く改善策について紹介している。

社会心理学のアプローチを用いたモデル化の例としては，質問紙調査に基づく情報セキュリティ行動モデルを紹介している．また，このモデルに基づいた方策の提案として，Securitter（セキュリティ行動を共有するシステム）を例示し，モデルに基づく方策の実施がセキュリティ行動に結びつくことを紹介している。

キーワード

　情報セキュリティ，セキュリティ・マネジメント，リスクコミュニケーション，セキュリティ行動，リスク情報開示，ゲーム理論，ソーシャルメディア，Twitter

------------------------------------------------------------------------------------