 |
会社として、セキュリティポリシーを重視していることを主張する。 |
| |
| ・ |
「個人情報を漏洩してはいけない」というメッセージを起動時に表示 |
| ・ |
WEBでの「個人情報ポリシー」を目立つところに表示 |
|
|
経営者のリスクに対する意識を高め、トップダウンで実施する。 |
| |
| ・ |
トップには常に危機感を与える。(情報を漏らした役員に200億円請求されたということもある) |
| ・ |
外部の有名な方の講演をきいてもらう |
| ・ |
社員の教育をする、管理職レベルの人にリスクのケーススタディを行い、取締役は取締役会でみてもらい、どう広報するか(アカウンタビリティ)、どう損失計上するかを、擬似的にシュミレーションをしてもらう。 |
|
|
教育は、個人個人に、実例をもって知らしめる。 |
| |
| ・ |
内部犯罪のほうが多い。会社のシステムとして、インターネットの監視、メールログの取得を行っていることをアナウンスする |
| ・ |
中古PCを販売しようとしたときドライブの中身は消去されているか |
|
|
ガードはガード、技術は技術で、システムを整備する。 |
| |
| ・ |
管理規定や取扱規定、社則の見直し・HDやPCの廃棄は業者一括で依頼する |
| ・ |
ファイアウオールの口なども一つにする予定 |
| ・ |
標準以外のソフトのバージョンをいれるとわかるような仕組みをつくる |
| ・ |
個人をつきとめて公表できるようなシステムを作る。たとえば、パートナーや協力会社などグループで1枚のカードだと、グループに対しての犯人になり、よくない |
|
|
予算をとるには、費用対損失を明確に計算する |
| |
| ・ |
リスク評価(ISM)を計算する。(ただし、日本ではまだどれだけ犯罪があったかの履歴が不十分) |
| ・ |
個人情報については、1件もれるとどれぐらいという判例がある・日本の経営者は同業他社と同じぐらいを目安にする。
IT総予算内でのセキュリティ予算は、アメリカでは約10%、日本では3.3%といわれている。 |
| ・ |
情報リスクマネジメントのスプレッドシートを展開していくと、このシステムの最大損失額が1億円だとわかる、自分の会社用のスプレッドシートをつくる。自分の会社でシステムが複数あると、複数分のシートを作成する。 |
| ・ |
株主代表訴訟でいくら考えたらよいのか、などいろいろな手がある。 |
|
