IT Guy

IT、AI / Machine Learning、IoT、Project Management、プログラミング、ITIL等々

情報セキュリティ - 法制度・ガイドライン

背景

情報セキュリティに関する法制度・ガイドラインのまとめ。 随時更新していきます!

参考文献

情報セキュリティのグロバールスタンダード・フレームワーク

あまりにも様々なスタンダード、フレームワーク、法規制などが多いので、まずは以下の4つのカテゴリで分けて考える。1が全般的、4が具体的。

分類 説明
1 Controls (管理・統制) 情報セキュリティ管理・実施方針 ISO 17799/27002, NIST 800-53
2 Control Objectives (管理・統制方針) 管理・統制目標 COBIT, ITIL/ISO 20000, CMM
3 Governance Framework (ガバナンスフレームワーク) ガバナンス(訳すなら統治)全体のフレームワーク COSO, OCEG
4 Regulations (規制) 業種ごとの法規制・ガイドラインなど SOX, HIPAA, GLBA, FISMA, PCI-DSS
  • 用語・略語まとめ
    • ISO/IEC 27002 : 情報セキュリティマネジメントの実践のためのBest Practice
    • NIST 800-53 : 連邦政府情報システムにおける推奨セキュリティ管理策
    • ISO/IEC 20000 : ITサービスマネジメント
    • COSO(Committee of Sponsoring Organizations of Treadway Commission) : 内部統制のフレームワーク

ISO/IEC 27000シリーズ

主なISO/IEC 27000シリーズ
ISO/IEC No 説明
27000 Overview and vocabulary (概要と基本用語集)
27001 ISMS requirements (ISMS要求事項)
27002 Code of practice for information security management (ISM 実践のための規範)
27003 ISMS implementation (ISMS 実装ガイド)
27004 ISMS measurement (ISMS測定)
27005 Risk management (リスクマネジメント)
27006 Certification body requirements (認証/登録プロセスの要求仕様)
27007 ISMS auditing (ISMS 監査の指針 - 主にマネジメントシステム)
27008 Guidance for auditors (ISMS 監査の指針 - 監査人)
27011 Telecommunications organizations (通信業界)
27014 Information security governance (情報セキュリティガバナンス)
27015 Financial sector (金融業界)
27031 Business continuity (事業継続性)
27032 Cybersecurity (サイバーセキュリティ)
27033 Network security (ネットワークセキュリティ)
27034 Application security (アプリケーションセキュリティ)
27035 Incident management (インシデント管理)
27037 Digital evidence collection and preservation (デジタル証拠の収集、保全)
27799 Health organizations (ヘルスケア・医療業界)
ISO/IEC 27000 - 各スタンダードの位置づけ

f:id:blog-guy:20171011200656p:plain

各国の個人情報保護法

詳細を知りたい人は是非このサイトを。
DATA PROTECTION LAWS OF THE WORLD
このサイト、相当よく出来ている! ちなみに2016/12時点で「Japan - Law」を選択すると以下のように記述されている。最新情報(5000人以上の個人情報を扱っている企業対象という制限がなくなるという)まで書いてある。

The Act on the Protection of Personal Information ("APPI") requires business operators who utilize for their business in Japan a personal information database which consists of more than 5,000 individuals in total identified by personal information on any day in the past six months to protect personal information. Amendments to the APPI, which were passed in 2015 and go into effect no later than September 2017(the "Amendments"), apply the APPI to all businesses in Japan, regardless of whether the business operator maintains a database of more than 5,000 individuals.

各国の個人情報保護の法規制・ガイドラインは以下の通り。

ガイドライン 説明
OECD プライバシーガイドライン 日本を含む各国はこのガイドラインを準拠・参考にした形で法規制を整備。
EU EU Data Protection Directive(EU指令) 個人情報保護では昔から一番進んでいる。EUの各国はこの指令を基礎に類似した個人情報保護法
日本 個人情報保護法 英語名は「Act on the Protection of Personal Information - APPI」
US 連邦政府、業界ごとの規制 USは個人情報保護の観点ではかなり遅れている。統一した法律はない
カナダ Privacy Act - 1983、Personal Information Protection and Electronic Documents Act(PIPEDA) - 2000年 Privacy Act - 公的部門に係るプライバシー法、PIPEDA - 民間部門に係る個人情報保護及び電子文書法
オーストラリア Australia Privacy Act

各業種ごと法規制・ガイドライン

グローバル
業種 法規制・ガイドライン 補足
政府・公共 FISMA (連邦情報セキュリティマネジメント法) IPA - 情報セキュリティ向上のための米国の取り組み
金融 GLBA (Gramm-Leach-Bliley Act)、US SEC Compliance (US証券取引所)
ヘルスケア・医療 HIPAA (医療保険の携行性と責任に関する法律)、HITECH法 – 個人情報対策
エネルギー・社会インフラ NERC/CIP (北米電力信頼性評議 / 重要インフラ保護サイバーセキュリティ基準)
クレジットカード関連・流通 PCI DSS (PCI データセキュリティスタンダード) PCI DSSとは
  • 用語・略語まとめ
    • FISMA : Federal Information Security Management Act
    • HIPAA : Health Insurance Portability and Accountability Act
    • GLBA : Gramm-Leach-Bliley Act
    • PCI DSS : Payment Card Industry Data Security Standards
日本
業種 法規制・ガイドライン 補足
政府・公共 中央省庁、独立行政法人等向けの「サイバーセキュリティ基本法 総務省 - サイバーセキュリティ基本法
金融 金融庁 - 監督指針、金融検査マニュアル、個人情報保護関連ガイドライン・実務指針 金融庁 - 法令・指針等
ヘルスケア・医療 厚生労働省 - 「医療情報システムの安全管理に関するガイドライン
エネルギー・社会インフラ 資源エネルギー庁 - 「電力分野のサイバーセキュリティ対策について」
クレジットカード関連・流通 経済産業省によるPCI DSS推奨 - 「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」 (2016/02) 経済産業省