ISMS再取得に向けた情報管理システム実験等
現在弊社は、ISMSの再取得に向けた準備を行っておりますが、社内の最重要データを割符化して管理することで、BCP対処と、漏洩や改ざん等の事故を未然防止するITシステムを試作し、実験を継続中です。
弊社が今回自社電子割符(秘密分散技術)を活用してISMS再取得で実現しようとする際のポイントは、- 手軽に安全安心
- 組織コスト削減に寄与
- 零細組織でも簡単導入
です。
概要ですが、作業端末内で、作業終了時に初期段階の自動割符化(3-1型)処理を開発中のGFI PDRで行います。
そこで生成された各割符ファイルは、社内環境(外部記憶メディアも含め)で異なる管理場所に自動格納されます。
更に、自動格納された割符のうちいくつかは、弊社電子割符ライセンス先様の、割符サービス等で再度割符化処理され、複数の外部クラウド等に自動格納されます。
この結果、通常は社内に最重要データが丸ごと存在しない社内環境となっております。
また、社内で生成する初期割符と各社割符サービス等で再度割符化されたファイルは、直接統合処理できませんので、外部ネットワーク(クラウド含む)を利用するにも、安心です。
例えば、個人情報を割符化して組織で管理している場合、組織としてはあくまで個人情報を適切に管理している状態です。但し、個々の割符単体はこれまでの行政等への確認も含め、個人情報には該当しません。
何故ならば、弊社の管理下を飛び出してしまった(紛失や盗難、漏洩等)割符ファイルは電子割符の技術的特徴として原本情報に復元できませんし、統合されるべき相手方の割符とはぐれてしまった「独立した一個の割符」となってしまい、容易に照合できない状態となってしまうからです。再び弊社関係者の管理下に戻らない限り、原本に復元されることは事実上無くなってしまうからです。更に、弊社内では紛失等の事故が発生した際には、再度割符化処理を行うことで、飛び出した割符との統合・復元ができないよう再処理してしまいます。
上記のような効果が期待できるということは、割符化するということは、一般的な感覚で言うと「廃棄処分」することと同様な意味合いがあると考えます。更に、電子割符という技術が興味深いのは、廃棄処分した「ゴミ」から原本情報をすばやく復元できることで、「不可逆を乗り越えた技術」と言えます。
注目すべきは、上記のように外部クラウド等も活用した社内データ管理をしていても概念上は組織として最重要データを適切な安全管理措置を行っている状態であるということです。ここが重要データを管理しなければならない組織として「電子割符」を有効活用するポイントの一つです。通常は、外部ネットワークやクラウド上は、利用する会社の管理下には無いので、ひたすらサービス提供会社に依存する構図となりますので、外部ネットワークやクラウドも含めて社内システムであるとは安易に宣言できませんが、このような電子割符の利用をすれば、外部組織に依存することとなって何らかの事故等が発生しても、実害が顕在化しないので安心して外部サービス等を利用できます。
準備中の仕組みでは、平常時弊社は対象となる最重要データを割符化して、漏洩・改ざん等のリスクを極限まで最小化して適切に管理している組織でありながら、必要な際には、万が一、ネットワークが断絶していても、また、この事務所が首都直下地震等で壊滅的被害を受けていても、最重要データを統合・復元できるBCP的にも強い組織にできる為の基本的な仕組みを実現できましたが、実際に利用する者の目線で更なる改良等を継続しております。
弊社で現在想定している最重要データには、BCP対応情報に加え、個人情報、営業機密、著作物、財務会計資料、アカウンタビリティ対処用情報、更には、今後法施行されるマイナンバー法における特定個人情報保護も視野に入れた現実的な安全管理策としてISMS取得を目指し準備等を進めております。
日常的には、最重要情報は丸ごと存在しない組織として盗難や漏洩等への対策を適切に実施していながら、必要な際にはさっと重要情報を利活用できる組織。
先ずは、当該技術を市場に最初に供給した弊社が取り組んでみます。
現在は原理モデルでの実験と改良を継続中ですが、今後の経過報告にもご期待ください。この成果は、皆様が電子割符をご利用になる際にもきっとお役に立つと考えております。
本件に関し、ご質問等ありましたら、
まで、お問い合わせ下さい。
本件に関する最近の弊社公開情報:
- 各社割符商品や次期GFI PDRを用いたISMS再取得へ
http://www.gfi.co.jp/01news20140131_339.html - 秘密分散法コンソーシアム総会が開催されました。
http://www.gfi.co.jp/01news20140120_337.html - 次期GFI PDRについてー2
http://www.gfi.co.jp/01news20131025_330.html - アルゴリズム開示に関し
http://www.gfi.co.jp/01news20131007_328.html - 匿名化と電子割符の違いを知りたい
http://www.gfi.co.jp/01news20130910_327.html - 次期GFI PDRについて
http://www.gfi.co.jp/01news20130618_321.html - 個人情報保護法に対する有効性確認
http://www.gfi.co.jp/01news20130528_318.html - 電子割符・秘密分散技術へのご質問で、
http://www.gfi.co.jp/01news20130425_314.html - その情報資産管理、重くないですか?
http://www.gfi.co.jp/01news20130322_312.html - 約一年前の経済産業省様の公開資料について
http://www.gfi.co.jp/01news20130215_310.html - ご存知でしたか?この言葉の意味。
http://www.gfi.co.jp/01news20130113_307.html