資産管理にあたって法的及び契約上の要求事項の特定が大変重要となります。
知的財産権、記録の保護、プライバシー及び個人を特定できる情報(PII)の保護、及び暗号化機能に対する規制は特に考盧すべき要求事項です。
法的及び契約上の要求事項の特定の管理策
適用法令及び契約上の要求事項の特定
- 各情報システム及び組織について、すべての関連する法令、規制及び契約上の要求事項、並びにこれらの要求事項を満たすための組織の取り組みを、明確に特定し、文書化し、また、最新に保たなければならない
知的財産権
- 知的財産権及び権利関係のあるソフトウェア製品の利用に関連する、法令、規制及び契約上の要求事項の順守を確実にするための適切な手順を実施しなければならない
記録の保護
- 記録は、法令、規制、契約及び事業上の要求事項にしたがって、消失、破壊、改ざん、認可されないアクセス及び不正な流出から保護しなければならない
プライバシー及び個人を特定できる情報(PII)の保護
- プライバシー及びPIIの保護は、関連する法令及び規制が適用される場合には、その要求にしたがって確実に行なわなければならない
暗号化機能に対する規制
- 暗号化機能は、関連するすべての協定、法令及び規制を順守して用いなければならない
記録の保護に関して、クレジットカードによる決済トランザクション情報などが例として挙げられます。
カード情報は、数値化されたIDだけで個人を特定することはできないかもしれません。
しかし、これに紐付けられたトランザクション情報が漏えいした場合には、さまざまな情報漏えい、サイバー犯罪の糸口になることが想定されます。
そのため、PCIDSSの規定では、トランザクション情報はこれを厳重に管理するとともに、不要な情報は削除することを要求しています。
極力情報をもたないことによって、セキュリティを担保することが要求されているのです。
暗号化機能に対する管理策では、ある種の暗号化機能を有する製品を海外持ち出し、海外での利用を行う場合に、相手国の法令等に合わせた輸出入の手続きなどを、実施・管理することを要求しています。
例えば中国では「商用暗号管理条例」という、製品だけでなく出張等による持ち込みの際にも国家暗号管理機構への申請、許可を必要とする条例が制定されています。
日本においても外国為替令(外為令)及び貨物等省令によって「侵入プログラムに関わる技術」に関しては輸出許可を要すると定められています。
関連記事
情報セキュリティの人的・組織的対策① 組織の構造と情報セキュリティ
情報セキュリティの人的・組織的対策⑥ 人的資源の情報セキュリティ
情報セキュリティの人的・組織的対策⑦ 人的資源に対する管理策
情報セキュリティの人的・組織的対策⑧ 供給者関係の情報セキュリティ