スペース
 
スペース

 

基本方針OECD宅建業協会方針全日本不動産協会方針

プライバシーポリシー(個人情報保護方針)

このサイトは下記に掲載するOECD(経済協力開発機構)のガイドライン(OECD情報システムおよびネットワークのセキュリティのためのガイドライン:セキュリティ文化の普及に向けて)における9原則に沿って運営されています。

  1. 認識(Awareness)
    参加者は情報システムおよびネットワークのセキュリティの必要性ならびにセキュリティを強化するために自分達にできることについて認識すべきである。リスクと利用可能な安全防護措置に関する認識が情報システムおよびネットワークのセキュリティにとっての最初の防衛線である。情報システムおよびネットワークは内部および外部双方のリスクによって影響を受けるおそれがある。参加者はセキュリティ面での障害が自らの管理下にあるシステムおよびネットワークに著しい損害を与えるおそれがあることを理解すべきである。また、参加者は相互接続および相互依存の結果として他者に損害を与えるおそれがあることを認識すべきである。参加者は自らのシステムの構成およびそのシステムのために利用可能な更新情報、ネットワークの中での位置付け、セキュリティを強化するために自らが実施し得る良い慣行、ならびに他の参加者のニーズを認識すべきである。
  2. 責任(Resonsibility)
    すべての参加者は情報システムおよびネットワークのセキュリティに責任を負う。参加者は相互接続されたローカルかつグローバルな情報システム、およびネットワークに依存しており、情報システムおよびネットワークのセキュリティに対する自らの責任を理解すべきである。参加者は個々の役割にふさわしい方法で責任を負うべきである。参加者は自らの方針、実践、手段および手続を定期的に見直し、それらが自らの環境に適したものであるか否かを評価すべきである。製品もしくはサービスを開発、設計または供給する者はシステムおよびネットワークのセキュリティに取り組み、利用者が製品またはサービスのセキュリティ機能およびセキュリティに関する自らの責任をよりよく理解できるように適切な時期に更新情報を含む適切な情報を頒布すべきである。
  3. 対応(Resonse)
    参加者はセキュリティの事件に対する予防、検出および対応のために時宜を得たかつ協力的な方法で行動すべきである。情報システムおよびネットワークが相互接続されていることならびに急速でかつ広範な被害の可能性があることを認識し、参加者はセキュリティの事件に対処するために適切な時期に協力的な方法で行動すべきである。参加者は脅威および脆弱性についての情報を適切に共有するとともにセキュリティの事件に対する予防、検出および対応を目的とした迅速で効果的な協力を行う手続を整備すべきである。なお、許容される場合にはこれらの行動に国境を越えた情報の共有と協力を含めることができる。
  4. 倫理(Ethics)
    参加者は他者の正当な利益を尊重するべきである。情報システムおよびネットワークが我々の社会に普およしていることから、参加者は自らの作為または不作為が他者に損害を与えるおそれがあることを認識する必要がある。それゆえ、倫理的な行動が極めて重要であり、参加者はベストプラクティスの形成および採用に努め、かつセキュリティの必要性を認識し他者の正当な利益を尊重する行動を促進することに努めるべきである。
  5. 民主主義(Democracy)
    情報システムおよびネットワークのセキュリティは民主主義社会の本質的な価値に適合すべきである。セキュリティは思想および理念を交換する自由、情報の自由な流通、情報および通信の秘密、個人情報の適切な保護、公開性ならびに透明性を含む、民主主義社会によって認識される価値と合致する方法で実施されるべきである。
  6. リスクアセスメント(Risk assessment)
    参加者はリスクアセスメントを行うべきである。リスクアセスメントは脅威と脆弱性を識別するものであり、技術、物理的および人的要因、方針ならびにセキュリティと関わりを持つ第三者のサービスのような重要な内的および外的要因を包含できるよう十分に広範であるべきである。リスクアセスメントは保護すべき情報の性質と重要性に照らしてリスクの許容できるレベルの決定を可能にし、情報システムおよびネットワークに対する潜在的な損害のリスクを管理するために適切な制御を選択することを支援する。情報システムの相互接続が増加しているためリスクアセスメントは他者に起因する。また、他者に対してもたらされる潜在的な損害についての考慮を含むべきである。
  7. セキュリティの設計および実装(Security design and imlementation)
    参加者は情報システムおよびネットワークの本質的な要素としてセキュリティを組み込むべきである。システム、ネットワークおよび方針はセキュリティを最適なものとするために適切に設計され、実装され、かつ調和が図られる必要がある。この努力の主要なしかし唯一ではない焦点は識別された脅威および脆弱性から生じる潜在的な損害を回避または限定するための適切な安全防護措置および解決策を設計し、採用することにある。技術的および非技術的安全防護措置および解決策が必要であり、かつこれらは組織のシステムおよびネットワーク上の情報の価値と比例するべきである。セキュリティはすべての製品、サービス、システムおよびネットワークの基本的要素であるべきであり、システムの設計および構造に不可欠な部分であるべきである。エンドユーザにとってセキュリティの設計および実装とは主として自らのシステムのために製品およびサービスを選択し、構成することである。
  8. セキュリティマネジメント(Security management)
    参加者はセキュリティマネジメントへの包括的アプローチを採用するべきである。セキュリティマネジメントは参加者の活動のすべてのレベルおよび運用のすべての局面を包含しつつ、リスクアセスメントに基づき、かつ動的であるべきである。セキュリティマネジメントは出現する脅威に対する将来を見越した対応を含み、事件・事故の予防、検出、対応、システムの復旧、継続的な保守、レビューおよび監査を扱うべきである。情報システムおよびネットワークのセキュリティの方針、実践、手段および手続は首尾一貫したセキュリティシステムの創造のために調和が図られ、統合されるべきである。セキュリティマネジメントの要件は関与のレベル、参加者の役割、含まれるリスクおよびシステムの要件に依存する。
  9. 再評価(Reassessment)
    参加者は情報システムおよびネットワークのセキュリティのレビューおよび再評価を行い、セキュリティの方針、実践、手段および手続に適切な修正をすべきである。新しくかつ変化する脅威および脆弱性が絶えず発見されている。参加者はこれらの展開するリスクに対処するためにセキュリティのすべての局面のレビュー、再評価および修正を継続的に行うべきである。

 

モバイルはこちら