Comments
Description
Transcript
(平成26年5月16日~6月16日)(PDF形式:86KB)
(別紙) 提出意見の概要及び意見に対する考え方 意見概要 考え方 中小企業も多く含まれ得ることを踏まえると、IDSやIPSを導 全ての事業者に導入することを義務づけてい 入することは非常にハードルが高い。 るわけではありません。事業者の規模や情報 の内容などを踏まえてご判断いただければと 思います。 「識別と認証は、複数の手法を組み合わせて実現することが ご意見を踏まえ、記述を修正しました。 望ましい」との記載では、ユーザー認証だけを二重にすること が要求されているかのように読める。 機微にわたる個人データの扱いそのものについての注意喚 起を強化すべき 個人情報保護法上、機微情報の定義はありま せんので、現在のガイドラインで記述すること は困難と思われます。 典型的な例示は、制御機器のみでなく、個人データを格納す ご意見を踏まえ、記述を修正しました。 るサーバ本体もいれるべき。 典型的手法としては、「セキュリティ対策用修正ソフトウェア (いわゆる、セキュリティパッチ)」も入れるべき。 あくまで、典型手法の一部を示しているだけな ので、ご指摘のソフトウェアが、他の手法と同 等ではないということではありません。 他人から判断され難い良質なパスワードの使用、パスワード 例示を示しているので、等のなかにご指摘の の使い回しをしないことを追記すべき。 内容を含んでいると解します。 より的確な表現とするため、「・・・・や”初期設定されている” 標準アカウントの・・・」と挿入する。 ご意見を踏まえ、記述を修正しました。 「・ウェブページのぜい弱性対策」を追加するべき。 記述がなくても、「・ウェブページのぜい弱性対 策」は、含むと解します。 個人情報保護法のガイドラインでは、一律に具 体的な対策までは、求めることは適切ではな いと考えます。 APT攻撃対策としての出口対策の具体的な表現が必要。 個人情報のアクセスにおける識別・認証、アクセス制御、アク 安全管理措置の記述のため、当然含むと解し セス権限管理に関する各種情報の厳重な保管を明文化す ます。 る。 スマートフォン、タブレット端末の安全管理措置を明記する。 組織的安全管理措置の項目に追加いたしまし た。 クラウドサービスに関わる取り組みの対策又は措置方法を明 一般的な手法を記述するガイドラインでは、ク 記すべき ラウドに特化した記述は困難と思われます。 生体認証の記述をわかりやすく修正すべき。 ご意見を踏まえ、記述を修正しました。 個人データへのアクセスや操作の成功と失敗の記録につい ては、情報システムを構成する各システムへのアクセスや操 作の成功と失敗等の記録を組み合わせ、各個人データへの アクセスや操作の失敗を全体として記録するを具体的に例示 すべき。 【技術的安全管理措置として講じなければならない事項】に、 (1)~(8)まで事項が羅列され、【各項目を実践するために 講じることが望まれる手法の例示】に同様の記載は必要な い。 生体情報が偽造されてしまった場合の対策、身体的障がい 等によって当該生体認証が利用できない場合の代替手段な どについての記述を加える必要がある。 事業者の実態に応じた、対応をしていただけ ればと思います。 不要アカウントの無効化や標準アカウントのパスワード変更 は望ましいではなく、必須の措置とすべき。 法律上の義務でない項目について、ガイドライ ンでは必須と表現することは困難です。 部分的に参照する方もいらっしゃることから、 あえて重複して強調して記述しております。 今後の社会情勢の変化等を踏まえ、検討して 参りたいと考えます。 アクセス制御について、例示を含めてより具体的な記述が必 セキュリティガイドラインではないので、保護法 要。 ガイドラインでご指摘の点を、記述することは 困難と思われます。 最低パスワード文字数だけではなく、記号、大文字、小文字 などの文字種も加える必要がある。 ガイドラインで示す内容ではなく、事業の実態 に応じてご対応いただく事と考えます。 システム管理者等の特権ユーザーのアクセス権限を用いて ご意見を踏まえ、記述を修正しました。 も、採取した記録を改ざん・消去できないよう、保全することが 望ましい。とするのは実現性に欠ける。