[発表事項]
(1)JIS Q15001(個人情報保護に関するコンプライアンス・プロ
グラムの要求事項)説明会の報告(舩津 宏氏)
・7/13に日本規格協会主催で開催、JIPDEC(日本情報処理開発協会)やJISA(情報処理サービス協会)の班長クラスの方が説明をした。
1)JIS Q15001は3/20に制定、発行されたが法律ではない。
2)JIS Q15001は事業者が保有する個人情報の保護に関する規格。
3)ISOと並行してやっていたが、アメリカ、ドイツの反対で1年間延期され、JISが先行したので、これに準拠した規格化を提案して行く。
4)JIS Q15001はISOをにらみ、ISOの管理システム規格と同等の章立てにしている。(ISO9000、14000と同じ)
5)プライバシーマークは、JIS Q15001に準拠した企業にしか与えられない。
6)JIS Q15001の概要
・まず、個人情報保護方針を立てなさい。
・計画をしなさい。
・実施及び運用は次のようにやりなさい。
・体制及び責任、個人情報収集に関する措置、〜、教育、苦情及び相談
・監査をしなさい。(JIS Q15001と運用実績との関係についてのシステム監査)
注.システム監査という言葉は通産省の解説書に出てきている。
・事業者の代表者(トップ)による見直しをしなさい。これによって継続的改善を図っていきましょう。
※以上のような基本モデルを作って進める。この基本モデルに従ったコンプライアンス・プログラムを作ること。
・平成11年9月にJISAが「監査ガイドラインと解説」を公表、説明会開催予定
7)プライバシーマーク制度
JIPDECが付与機関、審査はJISA、日本マーケッティング協会、全国学習塾協会の3団体が行う。付与申請手数料84,000円+審査費用実費が必要。マーク使用料は52,500円(2年)である。
8)その他(注目した個人情報保護の概念の意訳)
・企業が個人情報を収集する場合、同意をとる必要がある。
・個人の情報の開示、訂正、削除の要求には応じること。
・個人情報の預託は十分な保護水準を満たしているものを選定する。
・情報処理を委託する場合は同意は不要である。
・インハウス情報も個人情報に該当する。(従業員情報など)
・個人情報とは当該個人を識別できるもの。(属性以外に履歴も含む)
(2)RSAの認証機能について(行武郁博氏)
<ポイント>
RSAには、メッセージの秘匿(暗号化)機能の他に、認証(発信者、データの
真正性)機能がある。DESも認証の機能はあるが、RSAの認証機能はとくに
優れていると言われている。
◆参考資料 ・暗号のすべてがわかる本 吹田 智章 技術評論社
・暗号と情報セキュリティ 辻井・笠原 昭晃社
・コンピュータネットワーク暗号システム 菊池 豊彦 NECクリエイティーブ
・暗号 辻井 重男 講談社選書
・暗号のおはなし 今井 秀樹 日本規格協会 <内容> 1.認証とは
認証とは確認機能といえる。メッセージが間違いなく相手に伝達されたかを確認
する機能である。認証の機能はつぎの2つに集約される。
(1)メッセージ認証
メッセージが改変されておらず、原メッセージのまま正しいものであることを保証
する機能である。
(2)エンティティ認証
メッセージの作成、伝送等を行った本人を証明する機能である。
2.ディジタル署名
メッセージ認証とエンティティ認証の両者の機能を兼ね備えたものである。電子署
名ともいわれ、電子商取引には欠かせないものである。RSAシステムを使用する
ことによってディジタル署名が可能となる。
3.認証機関の必要性
自分の公開鍵や相手の公開鍵の真正性をどのようにして証明できるであろうか。そ
のための登録機関、公開鍵の配布機関としての認証機関がどうしても必要となる。
ディジタル署名を使用するにしても、認証機関で公開鍵の真正性が保証された上で
の処理となる。
3.RSAシステムによるディジタル署名
−−ディジタル署名と同時にメッセージの秘匿の機能を備えた認証システム−−
この場合はエンティティ認証とメッセージ認証と2組のRSA鍵を使用し、エン
ティティ認証では復号化(署名)を暗号化(検証)に先立って行う。RSAでは
暗号化、復号化は先に述べたように、それぞれべき乗処理であり、その順序が逆
になるだけであり結果は同じになる。
(1)送信処理
a.送信者AはメッセージMをAの秘密鍵で復号化(署名)する。
b.送信者Aは更に受信者Bの公開鍵で暗号化する。
(2)受信処理
a.受信者BはBの秘密鍵で復号化する。
b.受信者Bは更に発信者Aの公開鍵で暗号化(検証)する。
・メッセージの認証:メッセージMはAがBの公開鍵で暗号化しているので、Bは
Bの秘密鍵で復号化できる。B以外は復号化できないので、メッセージMは改ざん
されていないことが証明される。
・エンティティの認証:メッセージMはAがAの秘密鍵で復号化されているので、
BはAの公開鍵で暗号化できる。メッセージMはAが作成したものであることが証
明される。
4.RSAシステムによるディジタル署名
−−秘匿の機能無しハッシュ函数でデータを圧縮して署名する−−
この場合は、メッセージは平文のまま送信されるが、署名がメッセージから作成さ
れており検証の段階で、平文の改竄の有無がチェックできるようになっている。
(1)送信処理(Aの処理)
・メッセージMをハッシュ函数でデータ圧縮してh(M)を作成する。
・h(M)をAの秘密鍵で復号化(署名)して署名文aを作成する。
・メッセージMと署名文aをBへ送信する。
(2)受信処理(Bの処理)
・署名文aをAの公開鍵で暗号化(検証)してh(M)を得る。
・メッセージMをデータ圧縮してh(M)を得る。
・上記2個のh(M)を照合する。
5.共通鍵方式(DES)の認証機能について
公開鍵方式では、公開鍵を使用するので、第三者に対して有効な認証機能があ
るといえるが、共通鍵方式では、秘密鍵なので、当事者間で有効な認証機能であ
るが、第三者に対しては有効とはいえない。しかし、送受信者間では争いがなく
第三者による偽造、改竄を防止すればよい場合は、共通鍵方式の認証でよい。
現実には、銀行間通信やまた経済性等の観点から、携帯電話等で使用されてい
るとのことである。
その他
福岡集中豪雨被害調査の提案(守田昭彦氏)
6/29の福岡集中豪雨におけるコンピュータ被害状況の調査の実施を今後検討、
システム監査を実施していたので助かった企業の事例を集めると今後に生かすこと
が期待できる。
|
