| 修正前ガイドライン該当ページ |
修正前ガイドラインに対するご意見と、考え方 |
最新ガイドライン案への反映個所 |
| 索引 |
【意見】
索引中の3-(ウ)に誤記
誤):「情報セキュリティ事故が発生しまう前にこちらをご覧ください。」
正):「情報セキュリティ事故が発生してしまう前にこちらをご覧ください。」。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
索引 該当個所を修正 |
| 2 |
【意見】
図中において、脅威・脆弱性・対策・リスクの説明であれば特に2つめの壁がいらないのではないか。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
2頁 該当個所を修正 |
| 3 |
【意見】※2について
「在宅」「顧客先」「モバイル」など、テレワークの典型例を図示してはどうか。
【考え方】
貴見を踏まえガイドライン表紙にテレワークの典型例を図示いたします。 |
【反映内容】
ガイドライン表紙に図を追加 |
| 4 |
【意見】
「セキュリティ基本方針」の中に''法的準拠''をいれてはどうか。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
5頁 該当個所を修正 |
【意見】
「情報セキュリティ基本方針の例」は、「1.定義」以降についても、実例を記載してはどうか(別紙で可)。
【考え方】
情報セキュリティ基本方針については、その企業の理念、経営戦略、企業規模、保有する情報資産、業種・業態により異なることから、複雑なこととなるおそれもあるため、本ガイドランでは具体的な明示は控えることといたしました。ただし、貴見を踏まえ読み手がよりイメージしやすいように「ガイドライン解説書」にて詳細補足説明することといたします。 |
【反映内容】
|
【意見】
「情報セキュリティ基本方針」8.評価及び見直しの実施
「情報セキュリティポリシー遵守状況」について、「監査」という用語も入れておいた方がよいのではないか
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
5頁 該当個所を修正 |
| 5 |
【意見】※5について
PDCAは一般用語なので、「情報セキュリティに関するPDCA」としてはどうか。
【考え方】
貴見を踏まえ修正します。
|
【反映内容】
6頁、7頁 該当個所を修正 |
| 6 |
【意見】上5行目
盗難だけではなく、紛失も多いと思われるため、「PCの盗難」→「PCの紛失・盗難」の方がよいのではないか。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
7頁含め 該当個所を修正、また「PC」を「パソコン」に修正 |
【意見】上5行目
「PCの盗難」は、一般的な発生頻度から「PCや記録媒体の紛失・盗難」が望ましい。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
7頁含め 該当個所を修正、また「PC」を「パソコン」に修正 |
| 8 |
【意見】事例(2)-1)
「週1回程度出社・・」は、特に必要ないかと思われる。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
12頁 該当個所を修正 |
【意見】事例(2)-1)
色々な業種業態があるなかで頻度(1週間程度)は妥当か?業種業態により適切な方法を取る記述が望ましい。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
12頁 該当個所を修正 |
【意見】事例(2)-2)
「ヒアリングを実施」は「方法」を指しているので、「監査を実施」の方がよろしいと思われる。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
12頁 該当個所を修正 |
| 9 |
【意見】事例(2)-1)
「管理簿により」は紙物の管理を連想させる。紙物での管理を連想させない言葉に置き換えてはどうか。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
13頁 該当個所を修正 |
【意見】事例(2)-2)
「対策を行ったうえで」は人手による対応を前提としている感じがする。むしろ、自動化する事を前提にした方がよいと思われる。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
13頁 該当個所を修正 |
【意見】事例(2)-2)
テレワーク用にPCを貸し出す、と言う記述になっているが、PCを共有使用するイメージが強い。テレワーク用には、「1人に対し占有使用(臨時か貸し出し、常時貸し出し、といった運用方法は別として)させ、守らなければならないセキュリティに関する要求を遵守させる」、といったガイドの方が好ましいと考える。
【考え方】
中小問わず、企業における導入を前提とした場合、テレワーク用PCの貸し出しの形態としては、占有、共有など様々な形態があると考えております。本ガイドラインでは、これら様々な形態を包含した記述として「パソコンを貸し出す」との表現振りを用いております。 |
【反映内容】
|
【意見】事例(3)
通信経路の申込・移転・廃止(3)1)の箇所について、
「通信経路(VPNや無線LAN等) 」→「通信経路(インターネット接続や付帯する無線LAN等)」に修正してはどうか。
【考え方】
意見を踏まえ修正します。 |
【反映内容】
13頁 該当個所を修正 |
【意見】※9について
「インターネット等の公衆回線上で」
→「インターネットなどの公衆回線網等の上で」
※VPNはキャリア網や各社(自)のプライベート網等の上でも構築・利用されており、一般的な技術解説としては上記修正を行ったほうが妥当ではないか。
【考え方】
意見を踏まえ修正します。 |
【反映内容】
13頁 該当個所を修正 |
【意見】下2行目
「人格・役職」は表現が不適当なので、
「業務スキル、セキュリティに関する知識や意識など」としてはどうか。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
14頁 該当個所を修正 |
【意見】
「テレワーク勤務者に遵守させるべきルール」の項で、「テレワークは、誰でも実施してよいわけではありません。」は問題があるのではないか。テレワークは、経営者、従業員(雇用型テレワーカー)、SOHO事業者(自営型テレワーカー)の誰でも実施できるようになるのが大切である。雇用型であれ、自営型であれ、基本的には、誰でもテレワークする資格があり、また、そうならないと、e-Japan戦略II に謳ったテレワーク人口2010年に20%と国家目標の達成が困難となる。セキュリティ等のルール整備と教育をきちんと実施することが重要である。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
14頁 該当個所を修正 |
【意見】
「テレワーク勤務者に遵守させるべきルール」のところで、「業務内容以外に、業務スキル・人格・役職等を考慮したうえで」、テレワーク適任者を判断することが重要だという指摘があるが、この部分は、問題の表現だと思われる。
拙稿「テレワーク推進のための公的支援策ー日米欧の政策比較」(2001年1月)で取り上げている米連邦政府の「テレワーク推進のための手引き」(Guidance for Alternative Workplace Arrangements)の中では、テレワークを成功させるための条件として、(a) 政策と手続き、(b) 職務の性質、(c) 不適切な職務、(d) 職員の適性、(e) テレワークの時間配分、が取り上げられている。
「人格」という表現の代わりに、「職員の適性」や「社員の適性」という表現を使う方が安全かつ賢明であるように思う。人格が客観的な基準によって評価・計測できるものかどうかは、議論するまでもなく自明のことだと思う。
また、「役職」という表現が妥当かどうかは大いに疑問に感じるところ。テレワークの普及促進という政策目標を考えると、「役職」というしばり(限定)が入ることによって、テレワーク活用による優秀な人材の獲得や保持(特に女性)ということにマイナスの効果が生まれはしないかということに思いを巡らせる必要があるように思われる。
男女雇用機会均等法の改正によって、女性の能力活用のためのポジティアクションという考え方が導入されたが、それが日本社会に根付くにはまだまだ道程は遠いという現実がある。そのことを考慮に入れると、テレワーク適格者の判断基準に役職を入れるという考え方は、女性の能力活用ということにマイナス効果を持つ可能性がないかどうかきちんと議論する必要があるように思う。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
14頁 該当個所を修正 |
【意見】事例(1)-1)
「許可された場所以外で」は、テレワークであるから、使用場所に制限を設けるのではなく、どの場所で使用してもOKであるべき。ただし、情報管理の面から、「不特定多数の人の目に触れる場所での使用は、控える」と言う方が前向きであろう。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
14頁 該当個所を修正 |
| 10 |
【意見】事例 (1)-2)
「移動など許可された場所以外にPCを持ち出す」→「移動など許可された場所以外にPCや可搬記憶媒体を持ち出す」の方がよいのではないか。
USBメモリ等の紛失事故も多いと思われるため。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
14頁 該当個所を修正 |
【意見】事例(1)-3)
「・・・出入りしない場所で業務を」は、実質的に無理がある。ここでの、ポイントは、「自分以外の者がPCに触れないように対応する事」だと思うので、「・・・出入りしない場所で業務を」削除した方がよいと思われる。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
14頁 該当個所を修正 |
【意見】事例(2)
社外に持ち出されるPCに業務上必要が無くなったデータ・ファイルが存在し漏洩リスクを増加させないよう、適宜ファイルをファイル・サーバーにアップロードするなどして、PC上のファイルを業務遂行の必要最低限度に保つ事を推奨した方がよいのではないか。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
14頁 該当個所を修正 |
【意見】事例(2)-3)
「印刷、コピーを禁止する」は、一見正しいようだが、企業のポリシーとのかかわりもあるはず。この言葉を生かすのであれば、印刷、コピーする場合は、情報オーナー(機密文書をなど一般文書も情報には必ずオーナー(主管者)がいるはず)の「承認を受けること」とすべき。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
14頁 該当個所を修正 |
【意見】事例(3)-2)
「私用PCを利用して業務を行うことを禁止する」は適切か?業態によっては、私用PCを利用しても問題ないようにシステム側で業務範囲およびシステムを検討すべき。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
14頁 該当個所を修正 |
| 11 |
【意見】
FBI/CSIレポートの具体的な出典元が確認できていないのではないか。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
16頁 該当個所を修正 |
【意見】
セキュリティに関する技術は日進月歩で、本ガイドライン発表の後もどんどん進化していくと考えられる。課題は、テレワーカー(人)のセキュリティに関する教育の充実である。11Pの「人」についての対策につき具体的に記述し、特に目立つような構成にしていただきたい。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
6頁、8頁 該当個所を修正 |
【意見】
☆中段の枠内
研修の方法として「WBT」を使うと、フレキシブルな受講、研修実績の管理、理解度確認等が容易に実施できるので紹介したい。
☆下段の枠上部
「日常的に反復」はテレワーカーには非現実的ではないか。「カードを作成、常に携帯し、確認する」としてはどうか。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
16頁 該当個所を修正 |
【意見】「情報セキュリティ十ヶ条」
「二、・・・PC、外部記憶装置、機密文書・・・」→「可搬記憶媒体」
の方が分かりやすいのではないか。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
16頁など 該当個所を修正 |
【意見】「情報セキュリティ十ヶ条」第四条
業種業態によりPC利用方法があるので、それらを加味した適切な記述が望ましい。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
16頁など 該当個所を修正 |
| 13 |
【意見】(ア)について
テレワーク端末の管理は、「可能な限り自動化(自律化)させ、資産管理とセキュリティ管理(ウイルス対応、OSのパッチレベル、等々)を同一次元で行う」よう、追記していただきたい。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
19頁 該当個所を修正 |
【意見】「 実施すべき事項」-(3)
最新パッチを適用してVPNクライアントや導入ソフトウェアの動作に支障をきたす場合がままある為、情報技術担当のアナウンス等によって適用がコントロールされる組織はそれにしたがうというのが必要である。会社が、PCのソフトウエアの組み合わせ等をコントロールしている場合は、各自の判断で適用させるのは危険であるし、適用後のサポートが混乱する可能性も大きいと思われる。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
19頁 該当個所を修正 |
| 14 |
【意見】上6行目
「(3) PC内の機密性の高い電子データ」とあるが、機密性が高いか低いかは個人の判断が入るため「機密と区分された電子データ」にしてはどうか。この方がp10事例(2)-1)とも整合性があると思われる。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
20頁など 該当個所を修正 |
| 15 |
【意見】下段の枠内「 実施すべき事項」- (1)
「ウィルス・ワーム ... 接続を検知する仕組を導入 ...」
IDSやツール等を利用した脆弱性のスキャンを促しているのかと思われるが、意図する措置が分かりにくくガイドラインの記述としては不適当のように思われる。より具体的な表現に変更すべき。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
22頁 該当個所を修正 |
| 16 |
【意見】上段「 実施すべき事項」- (2) :社内システムへのアクセス制御
ワンタイム・パスワードの利用に関しては社外ネットワークからの接続(RAS, VPN gateway, Firewall)に適用する事を意識しており、社内システムへのアクセス・パスワードに適用する事を意図したものでは無いと思われるが、理解しにくい表現となっている。「社外から社内ネットワーク/システムへの接続する場合の」認証処理を前提とする事を明確に表現した方が良い。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
23頁 該当個所を修正 |
| その他 |
【意見】
本ガイドラインの内容について、テレワークは、セキュリティに関して煩雑なルール等を決めていないと実施できないような内容になっていて、企業の経営者を、テレワーク導入は控えよう、という気持ちに誘導することになってしまうのではないか。
【考え方】
テレワークを導入する以前に、インターネット等のネットワークに参加する大前提として、他の参加者に対して、被害を与えないためにも、基本的な情報セキュリティ対策に関する知識を備えると同時に、対策を実施することは必要不可欠であると考えており、必要最小限度の範囲で冒頭の記述は必要と考えております。
本ガイドラインでは、ご指摘を踏まえまして、対策事例の概要を追加したり、解説図をなるべく多く挿入するなど、初心者の方に対しても、分かり易く解説することにより、テレワークの導入促進に資するよう努めてまいります。
|
【反映内容】
ガイドラインに解説図等を追加 |
【意見】
テレワークは、インターネットを活用した作業が多いとは思うが、テレワークによる作業内容は、メールソフトを利用したメール受発信、ホームページ作成、ソフト開発、テレビ会議、オフラインによる文書作成等々多様である。セキュリティで問題になるのは、テレワークで自由になる場所に関してどう配慮するかだと思う。自宅であろうと、テレワークセンターであろうと、サテライトオフィスであろうと、街中の喫茶店、あるいは電車の中であろうと、仕事をする場所がセキュリティに配慮されているかをチェックしながら、テレワークすることを薦めることを強調した方がよい。
【考え方】
貴見を踏まえ修正いたします。 |
【反映内容】
13頁 該当個所を修正 |
【意見】
何箇所か私用PCは業務に使用してはいけないというイメージの表現がある。セキュリティの高い仕事をするときは分離しないといけないと思うが、障害者SOHOや零細SOHOは自分のPCを私用と業務用に使用しているのも現実。私用と共用PCの使用ルールの事例などはつくれないものか。このままだと私用パソコンではテレワークをしてはいけない雰囲気になってしまう。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
14頁、16頁など 該当個所を修正 |
【意見】
全般的に、事例や解説の部分は、文書だけではなく、絵や図に出来る所がいくつかあると思われる。
【考え方】
貴見を踏まえ図を追加いたします。 |
【反映内容】
ガイドラインに解説図等を追加 |
【意見】
13〜16ページ 各項目<****>の****部分については、6ページ図中の脅威と合わせ整合を取った方が望ましい。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
7頁等、該当個所を修正 |
【意見】
本ガイドライン案は、インターネットの活用を前提にしたテレワークを中心に展開されているが、テレワークに適した職務としては、上記の前提によって捉えられないものが多くあるために、情報セキュリティ対策として総合的なものになるかどうか少し問題があるのではないかと感じる。
例えば、テレワークに適した職務としては、(a) データ分析、補助金審査、報告書作成、政策立案などのような思考と執筆が必要な職務、(b) 会議設定や調査に必要な情報の入手のような集中的な電話の利用(音声利用)、(3) プログラミング、データ入力、文書作成のようなコンピュータ関連の業務、などが考えられる(行政分野の事例)。
これらの職務の中には必ずしもインターネットの活用を必要としないものが多くあるのは明らかである。米国の事例を見てみると、テレワーク関連の職務には、むしろインターネットの活用を必要としないものが多くあるという前提のもとに情報セキュリティ対策が立てられている。
その点で、ハードウェアを中心に考えられた情報セキュリティ対策というよりは、人間を中心におき、教育・研修や職業訓練などに重点が置かれているという印象を受ける。他委員より「セキュリティで問題になるのは、テレワークで自由になる場所に関してどう配慮するかだと思います」と指摘されているのは、この点でとても大切な点だと考える。
以上のような全般的な印象から思うことは、「はじめに ー経営者の皆様へー」で強調されている内容は、情報セキュリティ対策として極めて重要な問題意識が展開されていると思うが、この部分の文章の内容及び展開の仕方を検討し直す必要があるのでないか。そうしないと、せっかくe-Japan戦略の具体化としてテレワークの普及促進を図るという政策目標を持っていても、実際に策定されたガイドラインの与える印象によっては、マイナス効果を持つものになる可能性があり得るのではないか。
【考え方】
テレワークを導入する以前に、インターネット等のネットワークに参加する大前提として、他の参加者に対して、被害を与えないためにも、基本的な情報セキュリティ対策に関する知識を備えると同時に、対策を実施することは必要不可欠であると考えており、必要最小限度の範囲で冒頭の記述は必要と考えております。
本ガイドラインでは、ご指摘を踏まえまして、対策事例の概要を追加したり、解説図をなるべく多く挿入するなど、初心者の方に対しても、分かり易く解説することにより、テレワークの導入促進に資するよう努めてまいります。また、ご指摘いただきました「人」の教育に関して、貴見を踏まえ修正します。
|
【反映内容】
6頁、8頁 該当個所を修正 |
【意見】
「1.情報セキュリティの基本的な考え方」の章では、情報セキュリティ対策の重要な考え方として、情報セキュリティ対策の策定、「ルール」・「人」・「技術」の三位一体のバランスがとれた対策の実施などが述べられている。ここで受ける印象は、インターネットを活用したテレワークということを前提にしているために、情報セキュリティ対策は技術的な問題や欠陥などに対する対策であるということが強調されすぎているということと、民間企業の経営者を対象としているものとしてはもう少し柔らかい表現内容である必要があるのではないかということ。
「はじめに」で指摘したこととも重なるが、情報セキュリティ対策として余りにもガッチリした規則によって縛ることによって、テレワークの普及促進という本来の政策目標から外れることがないのかどうか慎重に検討する必要があると思われる。
そのような点で、「基本的な考え方」の中で、情報セキュリティ対策として、人間を中心とした教育・研修や職業訓練の重要性をもっと強調しても良いのではないだろうかと感じている。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
6頁、8頁 該当個所を修正 |
【意見】
「テレワーク勤務者に遵守させるべきルール」のところで、「業務内容以外に、業務スキル・人格・役職等を考慮したうえで」、テレワーク適任者を判断することが重要だという指摘があるが、この部分は問題の表現だと思う。
拙稿「テレワーク推進のための公的支援策ー日米欧の政策比較」(2001年1月)で取り上げている米連邦政府の「テレワーク推進のための手引き」(Guidance for AlternativeWorkplace Arrangements)の中では、テレワークを成功させるための条件として、
(a) 政策と手続き、(b) 職務の性質、(c) 不適切な職務、(d) 職員の適性、(e) テレワークの時間配分、が取り上げられている。
「人格」という表現の代わりに、「職員の適性」や「社員の適性」という表現を使う方が安全かつ賢明である。人格が客観的な基準によって評価・計測できるものかどうかは、議論するまでもなく自明のことだと思われる。
また、「役職」という表現が妥当かどうかは大いに疑問に感じるところ。テレワークの普及促進という政策目標を考えると、「役職」というしばり(限定)が入ることによって、テレワーク活用による優秀な人材の獲得や保持(特に女性)ということにマイナスの効
果が生まれはしないかということに思いを巡らせる必要がある。
男女雇用機会均等法の改正によって、女性の能力活用のためのポジティアクションという考え方が導入されたが、それが日本社会に根付くにはまだまだ道程は遠いという現実があります。そのことを考慮に入れると、テレワーク適格者の判断基準に役
職を入れるという考え方は、女性の能力活用ということにマイナス効果を持つ可能性がないかどうかきちんと議論する必要があるように思われる。
【考え方】
貴見を踏まえ修正します。 |
【反映内容】
6頁、8頁 該当個所を修正 |
