| 番号 | 用語 | 解説・説明 |
| 21 |
アクセス制御 |
アクセス制御とは、アクセスに関わる取り決めを指します。その中には、ユーザ認証やアクセスに関わる手順、アクセス可能な範囲などが含まれます。BS7799-2:2002では、アクセス制御は大項目として挙げられており、アクセス制御を規定することは重要なプロセスです。 |
|
| 20 |
ウィルス |
ウィルスとは、コンピュータに侵入し、利用者の意図しない動作を行うプログラムを指します。ウィルスにいくつかの種類があり、特徴に応じてマクロウィルス、ワームウィルス、バックドア型ウィルスなどがあります。また最近のウィルスには、いくつかの特徴を複合させた複合型ウィルスというのも多く見られます。ウィルスを防ぐためには、ウィルス対策ソフトを導入し、常に最新のウィルス定義ファイルを用いることである程度防御することが可能です。 |
|
| 19 |
個人情報の間接的収集 |
個人情報の間接的収集とは、本人以外から間接的に個人情報を収集することです。
JISQ15001においては、直接収集する場合と同様に、収集目的、個人情報管理者の氏名(または職名)・所属・連絡先、提供・預託の予定、開示に関する権利について通知し本人の同意を得なければなりません。情報処理の委託などのために預託された場合や他者により収集時に予め自己への提供について同意を得ている場合は除外されます。 |
|
| 18 |
個人情報の直接的収集 |
個人情報の直接的収集とは、本人から直接、個人情報を収集することです。
個人情報保護法では、取得に際し利用目的を本人に通知しなければならないと規定されています。
JISQ15001においてはさらに、個人情報管理者の氏名(または職名)・所属・連絡先、提供・預託の予定、情報を与えることの任意性と与えなかった場合の結果、開示に関する権利についても通知しなければならず、本人の同意が必要となります。 |
|
| 17 |
技術的対策 |
技術的対策とは、各種ネットワーク機器の設定などにより、セキュリティインシデントを防止することです。例えば、ファイアーウォールの設定を変更することにより不正アクセスを防止することや、アクセス権限を制限することによる漏洩防止対策などがこれに当たります。技術的対策は組織的対策とは違い、一時的には非常に効果がありますが、技術の進歩や新たな脆弱性などの発見により破られてしまう可能性もあります。それを防止するためにも、技術的対策の見直しなどを組織的対策に盛り込み、防止しなくてはなりません。 |
|
| 16 |
組織的対策 |
組織的対策とは、マニュアルや罰則規定などの組織内のルールを整備することです。組織的対策には、人間の問題に対する取り組みや、トラブルが起こった際の対応フローなどがあり、また技術的な対策の漏れを失くすためのルールなどもこれに当たります。これを整備することは長期的な継続的改善につながります。 |
|
| 15 |
リスクマネジメント |
リスクマネジメントとは、リスクアセスメントによって特定されたリスクに対して、そのリスクを低減させる活動プロセスを指します。BS7799-2:2002では、「リスクに関して、組織を指揮し管理するための調整された活動をさす。」と定義されています。 |
|
| 14 |
個人情報の提供 |
個人情報の提供とは、自らが保有する個人情報を他者に対して利用可能にすることです。
個人情報保護法では、本人の同意なしに個人情報を第三者に提供することは原則禁止しています。
JISQ15001においても、本人から同意を得た収集目的の範囲内で提供を行わなければならないと規定されています。ただし、法令に基づく場合や、本人または公衆の生命・健康・財産などの重大な利益を保護するために必要な場合は、本人の同意を必要としません。 |
|
| 13 |
リスク分析 |
リスク分析とは、ISMS認証基準(Ver.2.0)において「リスク因子を特定するための、及びリスクを算定するための情報の系統的使用。」と定義されています。「リスクアセスメント」のプロセスの一部です。 |
|
| 12 |
リスクアセスメント |
リスクアセスメントとは、情報資産に対して、その情報がもつ重要度、発生確率、影響度などを評価・分析し、情報資産が内包するリスクを測定する行動を指します。 |
|
| 11 |
脆弱性 |
脆弱性とは、悪意あるユーザが不正な行為を行う際に利用する可能性のあるシステム上の欠陥や仕様上の問題点を言います。これらは、不必要なサービスの停止や適切なセキュリティパッチ等を該当システムに組み込むことで防ぐことが可能です。また、情報セキュリティマネジメント上では、脆弱性をリスクと同意で使用されている例もありますが、TR Q 0008:2003では、「リスクは事象の発生確率と事象の結果の組み合わせ」と定義されており、本人(又は企業・団体)にとって、好ましい結果もリスクと定義されています。その為、厳密には別の意味を持っています。 |
|
| 10 |
残留リスク(残存リスク) |
残留リスクとは、リスクマネジメント活動のあとに残るリスクを指します。BS7799やISMSでは、ある一定の基準以上のリスクに対して、低減活動を行い受容できるレベルにすることが目的であり、リスクを完全に抹消することは、リスク回避以外にはありません。 |
|
| 9 |
個人情報保護法 |
正式名称は“個人情報の保護に関する法律”で、2005年(平成17年)4月1日に全面施行された法律。インターネットやITの普及により、名前や住所、購買履歴などの個人に関する情報をやり取りする機会が増えたことを背景に、国や行政機関、および民間企業などが個人情報を収集・管理する際に目的を明示すること、目的外の情報の取り扱いを禁止すること、集めた個人情報の管理を徹底すること、本人の同意無しに第三者に提供しないこと、ならびに違反した場合の罰則などを定めている。 |
|
| 8 |
不適合 |
本規格(JIS15001:2006)の要求を満たしていないこと。 |
|
| 7 |
個人情報保護マネジメントシステム |
事業者が、自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、点検および見直しを含むマネジメントシステム。
PMSと略称する。 |
|
| 6 |
本人の同意 |
本人が、個人情報の取り扱いに関する情報を与えられた上で、自己に関する情報の取り扱いについて、承諾する意思表示。本人が子供または事理を弁識する能力を欠く者の場合は、決定代理人等の同意も得なければならない。 |
|
| 5 |
個人情報保護監査責任者 |
代表者によって事業者の内部の者から指名された者であって、公平、かつ客観的な立場にあり、監査の実施および報告を行う責任および権限をもつ者。 |
|
| 4 |
個人情報保護管理者 |
代表者によって事業の内部の者から指名された者であって、個人情報保護マネジメントシステムの実施および運用に関する責任および権限をもつ者。 |
|
| 3 |
事業者 |
事業を営む法人、その他団体または個人。 |
|
| 2 |
本人 |
個人情報によって識別される特定の個人。---JIS15001:2006 |
|
| 1 |
個人情報 |
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって、特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)---JIS15001:2006 |
|