福岡県弁護士会コラム(会内広報誌「月報」より)
2015年9月号 月報
「情報セキュリティ向上のための研修会」のご報告
月報記事
ホームページ委員会委員 松 下 ゆかり(66期)
1 はじめに
ホームページ委員会では、去る平成27年7月7日、情報セキュリティコンサルタント事務所プロジェクト・イン代表の宮本和樹先生をお招きして、「情報セキュリティ向上のための研修会」を開催しました。宮本先生は情報セキュリティコンサルタントとしてプライバシーマークの認証やIMSM認証などのコンサルティングを延べ約150社ほどされている他、情報セキュリティの審査員としてもご活動されており、この分野に精通されている先生です。
2 研修会の内容について
- 弁護士が保有する情報は、依頼者の個人情報はもとより、ほとんど全てが機密情報に該当します。これらの情報が漏洩した場合、その影響は計り知れません。そのため、弁護士法第23条は、弁護士の秘密保持の権利と義務を規定し、弁護士職務基本規程第18条は事件記録中の秘密及びプライバシーの漏えい防止の注意義務を規定しています。そして、日本弁護士連合会からはこれらの規定に関する解釈指針として「弁護士情報セキュリティガイドライン」が出されています。
本研修では、上記弁護士情報セキュリティガイドラインに基づき、その具体的実施策についてご講義いただきました。 - ガイドラインには、強く推奨する取組として「~すること」とされているものと、環境に応じて推奨する取組として「~が望ましい」とされているものがあります。今回は前者について事例を含めながらその解説を行っていただきました。
例えば、事件記録の保管については、「事件記録の紛失を防止するため、その重要度に応じて保管場所、データ化、その他適切な保管方法を定めること」とされていますが、その具体的な方法として、事件記録等重要書類はカギ付きキャビネットに保管し、それを見ることができる人を限定すること、そしてその情報を見ることができる人がいないときには必ずキャビネットに鍵をかける運用をするようにとの解説がなされました。これは事件記録の紛失防止はもとより、仮に漏洩事故が起こった場合でも、その情報にアクセスできない人があらぬ疑いをかけられずに済むという側面もあるとのことです。
また、可搬電子媒体の保管に関しては、「利用目的を達成したときは、直ちに可搬電子媒体から当該データを消去すること」と定められていますが、例えば、USBによってデータの受渡しをする場合には、「コピー」ではなく「移動」をしてもらい、受渡し後のUSB内のデータは空にするといった扱いを推奨されていました。
上述のようなガイドラインの解説だけではなく、「パスワードの作り方覚え方のヒント」として、Watashiha(私は),nihonno(日本の)Fukuokaken(福岡県)fukuokashi(福岡市)Chuoku(中央区にいる)bengoshi(弁護士です)=「WnFfCb」という風に物語風にして作成する方法の紹介もありました。パスワードは辞書を使って解析されるということで、辞書にないワードを作成するのが解析されないポイントになるそうです。
3 おわりに
ほとんどの情報漏洩事故はメールやFAXの誤送信、携帯電話やノートPCの置き忘れなどの単純なミスが原因となっていると言われています。本研修はガイドラインの内容を知識として再確認するとともに、少しの手間や工夫により漏洩事故を防止できることがわかり、大変勉強になりました。
最後に、宮本先生、わかりやすいご講義をありがとうございました。