人事院、公務員が情報セキュリティ対策を怠れば懲戒処分の対象となると明言 32
ストーリー by hylom
どのレベルだと対策を怠ったと判断されるのだろう 部門より
どのレベルだと対策を怠ったと判断されるのだろう 部門より
人事院が国家公務員に対する懲戒処分の指針を改正し、国家公務員の秘密漏洩について、「具体的に命令され、又は注意喚起された情報セキュリティ対策を怠ったことにより、職務上の秘密が漏えいし、公務の運営に重大な支障を生じさせた職員は、停職、減給又は戒告とする」との内容を追加したとのこと(日経ITpro)。
従来は故意に秘密漏洩を行った場合のみが処分対象だった。厳重な情報管理を促すのが狙いだという。
つーか (スコア:4, 興味深い)
Re:つーか (スコア:1)
窓越しに外から見える、あるいは、窓ガラスに反射してディスプレイの裏側から見えるという指摘があったのかもしれない。
Re: (スコア:0)
注意喚起されたタイミングを起点にしたゼロデイは対象外で...
じゃあどのタイミングから処罰の対象になるか...
結局、有耶無耶になっちゃったりして
逆に (スコア:1)
今までは対策を怠っていても責任は問われず処分されなかったってこと?
#ノーガード戦法最強伝説
Re:逆に (スコア:1)
その通り。
そしてこれからも、
・具体的に命令され、又は注意喚起され
・その対策を怠り
・職務上の秘密が漏えいし
・公務の運営に重大な支障を生じさせた
がすべて満たされた場合にしか懲戒対象にはなりません。
#公務員の身分保障は最強説
Re:逆に (スコア:1)
ところでLINE使うなと誰かが命令してほしい。
Re: (スコア:0)
だから大丈夫だろって思われたらホント意味が無いよなぁ…
見せしめというか脅しになるような形じゃないと意識改革できないだろうに
Re: (スコア:0)
本当に「○○だから大丈夫」と思ってるならまだマシ。○○が偽であるか結論に結びつかない事を説明すれば、大丈夫じゃないと理解する余地がある。微レ存だけど…
しかし殆どの連中はそれ以前に何も考えてないから始末に負えない。見せしめとか脅しでは通じない。考えてないから。
そんなのでも居ないと回らないのが問題の本質なので、教育の底上げでしか解決できない。
Re: (スコア:0)
具体的な命令または注意喚起って、例えば
「セキュリティ対策をキッチリしましょう」
だと具体的じゃないから対象とはいえず、
「使用するソフトは常に最新版に更新しましょう」
なら対象みたいなことかね?
命令出す側がよくわかってないと、それだけで有名無実化しそうな感じがする
#あるいは具体的じゃないはずの命令をもとに懲戒対象とする未来も見えんでもない
Re: (スコア:0)
「パスワードは3ヶ月に1度変更しろ」「アルファベットと数字と記号を必ず入れろ」のような、効果は疑問だけど具体的に指示しやすい「対策」が溢れそうな悪寒
Re: (スコア:0)
いいえ。
言い方の問題ではなく、具体的な業務指示や命令であることで、実際に文書として通達、命令、指示されたものであることを意味します。
単なる呼び掛けや口頭での申し送りなどは該当しません。
Re: (スコア:0)
実際問題、口頭で済ますことなんてなくね?
定期的に文章で注意喚起されるもんだと思ってたけど。
Re: (スコア:0)
注意喚起なんてのは、会議で申し送りとして伝達するだけとかいくらでもある。
部課長級職員に文書で伝達+それ以下には朝礼等で口頭伝達とかもいくらでもある。
単なる回覧文書とかも含め、それらのほとんどは「具体的に命令され、又は注意喚起され」には該当しません。
Re: (スコア:0)
規則の写しと順守の指示、違反した時の罰則、日次・週次の点検項目の確認、現場での注意点のまとめと事例研究、記名式の確認テストまでセットにしたのが全員に配布されるけど、これは「具体的に命令され、又は注意喚起され」に該当する? それとも「単なる回覧文章」止まり?
てか、個人情報なんかを扱う企業・部署ならこの手のはどこでもやってるんじゃなかろうか。
Re: (スコア:0)
「公務の運営に重大な支障を生じさせた」
やや大きめくらいの支障(??)までなら、戒告にすらならないって事ですね
どのくらいが基準なのか、具体的なレベルが全然想像つきません
普通に考えれば、対策を怠って「職務上の秘密が漏えい」
で十分懲罰対象になるべきと思います
Re: (スコア:0)
しかもそれらがすべて満たされた場合にも「停職、減給又は戒告」であり、
損害賠償請求もしなければ、刑事告訴もしないし、免職にもしないというヌルさ。
おそらく報道になっても名前も公表されないでしょうね。
Re: (スコア:0)
これからは現場の担当者を事後にシッポ切りすれば良いことになります。
Re: (スコア:0)
東京ローカルニュースを全国ネットでやってるけど、東京都の責任者を絶対に明かさない防衛手法ってすごいと思う。
責任者が誰かのか不明だから処分もできない。
いっそのこと、明かさないなら全職員連帯責任でボーナス3年間ゼロな、って言ったら責任者が誰なのか皆が密告してくるのに。
Re:逆に (スコア:1)
年金や関連団体への再雇用がふいになる解雇(懲戒)をちらつかせる位でないと耐え忍ぶのでは?
それはそれで間違った権力の横暴だけど、それくらい都職員は辛抱強かろう。
Re: (スコア:0)
厚生年金溶かしてるのもそんな感じだよね
野党はにっくき安倍に責任求めようとしてるけどどう考えても運用元GPIFの責任
http://www.jiji.com/jc/article?k=2016070100201&g=eco [jiji.com]
どうせ飲酒運転しても懲戒免職なしの上級国民様ですから (スコア:1)
これも実効性に乏しい甘々運用で行くんでしょうなあ。。。
リストラが捗る (スコア:0)
何か起きた時は過去に具体的な命令出したことにすれば解決だな
こりゃ便利だ
Re: (スコア:0)
出した事にすれば、って具体的な命令に伴う公文書が無ければ、無効ですよ。
Re: (スコア:0)
コンフリクト (スコア:0)
「具体的に命令され、又は注意喚起された情報セキュリティ対策」が「公務の運営に重大な支障を生じ」る可能性がある場合はどうすれば良いんだろうか?
情報セキュリティ対策としてアップデートは迅速に当てるべきだけどあてたら固まったり重くなったりするアップデートが未だに年数回あるよね。
Re: (スコア:0)
対策がアップデートではなく、OSの「アップグレード」だと本当に多くの官公庁でグループウェアとかが新OSに対応していないくてハマる。
ウチは官公庁ではないが、入退館システムの管理ソフトが最近のOSで動かないのでPCをリプレースできない。
具体的に命令されなかった場合 (スコア:0)
「具体的に命令され」などとなっているが、特に上から命令も注意喚起もされずに漏洩した場合、命令や注意喚起を怠った上司はちゃんと処分されるんだろうか。
Re: (スコア:0)
・「具体的」な命令が出ることは無い
・日時指定、送信元の一意名指定などの極端に条件が限定される
ので、処分も発生しません。
Re: (スコア:0)
省庁によって違うとは思うが、情シスの発する規定は結構あって、メールで全職員に通達されるのはもちろん、偉い人の名前のペーパーで周知文書で「各部局で周知を徹底すること」と指示されるから、局部長レベルの会議で議題になって、各部各課の議題になって周知と、二重に指示が来る
会議当日休暇を取ってたら後日個別に呼ばれて指示される
上司だって責任おいたくないから、そこはしっかりやるんだよ
だから「知りませんでした」は通らない
ただ、年齢に関係なく文書の管理や取扱が致命的にだめな人ってのがいて、紙文書をテーブルに出しっ放しにしていたり、個人情報の入ったデータベースにパスワード掛けたりアクセス制限してるのを「使いづらい」と文句言う人は少なくない
うちの職場は大半が理工系の人間なので、理工系がコンピュータに強いとか情報セキュリティにはしっかり対応しているなんて伝説は到底信じられない
末端も怪しいけど、標的型攻撃メールに毎回のように引っかかる偉い人も平等に処分してもらいたいとは思う
引っかかるたびに嬉しそうに話すんじゃねーよ!
Re: (スコア:0)
税金の確定申告に出す領収書も「白紙領収書」で良いんかね
Re: (スコア:0)
そっちは規定があるんじゃね?