JNSA、「サイバーセキュリティ業務における倫理行動宣言」を公開
- 2019/08/20 10:30
- SecurityInsight
JNSA(日本ネットワークセキュリティ協会)は8月9日、「サイバーセキュリティ業務における倫理行動宣言」を公開した。
行動規範として「サイバーセキュリティ事業に携わる者は、情報社会、セキュリティ製品やサービスを利用するお客様、そして事業者自身を守るために、以下の行動規範に則って事業を遂行します」としており、その他、事業遂行の基本方針として以下の項目を挙げている。
●目的と適用対象
A)目的
事業者が技術的、法的、倫理的なリスクを最小化し、事業に従事する者が安心して事業遂行でき、かつ社会や顧客から信頼されるリスク管理体制の整備を基本指針の目的とする。
B)適用対象
製品製造、販売、サービス提供、教育などのサイバーセキュリティに関わる事業を行う事業者全般を対象とする。たとえ、事業の一部であったとしてもサイバーセキュリティに関わる事業を行うものはこの適用対象とする。
●リスク管理の考え方
A)サイバーセキュリティ事業の明確化
事業者は、自らが行うサイバーセキュリティ事業を洗い出し、それぞれの業務を具体化するとともに、その目的と分掌を明らかにする。
B)サイバーセキュリティ事業のリスク評価
事業者は洗い出したサイバーセキュリティ事業について、技術的、法的、倫理的なリスクの総合的な評価を実施する。
C)サイバーセキュリティ事業の管理策の策定
事業者は、リスク評価に基づいた管理策を策定し、これに基づいたマネジメントサイクルを実装する。
●管理策の実施について
事業者は以下の管理策を実施することが望まれる。
A)管理体制の整備事業者は、管理策に基づき、管理体制を構築する。また、事業内容の変化、社会的通念の変化、法的解釈の変化など時代の変化をとらえるため、定期的に管理策ならびに管理体制を見直すこと。
B)社内教育・指導
事業者は、サイバーセキュリティ事業に関わる従業員を対象に、自らが行うサイバーセキュリティ事業に関するリスクとその管理策の教育を定期的に行うこと。
C)事案(インシデント)対応
事業者は、技術的、法的、倫理的な事案が発生した場合の対応体制および対応計画を整備すること。
D)実施状況の確認
事業者は、管理策が正常に機能していることを定期的に確認し、必要に応じて改善すること。
E)連絡窓口の明確化
事業者は、リスクを早期に発見することを目的として、連絡窓口を明確化すること。