先週はお休みしてしまったので気合入れなおし。
午前中は「情報管理-個人情報保護法、営業秘密の管理、裁判のための文書管理」。弁護士の先生による情報セキュリティ関連の法律の授業。
NDA(秘密保持契約)って外注に業務委託を行う際に、慣習的にといいますか、漫然とといいますか、「法務部がそう言ってるんなら」的に包括的な契約を結びがちですが、開示されたすべての情報を受領者が守秘するのは事実上不可能であり、実際に紛争になった場合、公序良俗違反として無効になるリスクがあるのだそうな。なので、秘密保持義務の対象となる情報かそうでない情報を明確にして、認識を一致させるようにすることが重要とのこと。具体的には、守秘義務がある情報には「マル秘」「Confidential」などの表示を入れておく必要があるのだそうです。うーむ。正直、これまでそんなに厳密には表示を入れていなかったような気も。
午後は「セキュリティシステム構築法」。具体的にはファイアウォール・IDS・VPN・迷惑メール対策の話。みんな本業の会社の売りものではありませんか。とはいえ、SPF/SenderIDの仕組みの話とか、会社でわざわざ教えてもらう機会もないので参考になりました。最後に演習としてNessusで演習室マシンの脆弱性チェックを行いましたよ。しかし、(当然のことながら)あまりセキュリティホールが見つからず、ちょっとつまんなかったり。もっとぼっこぼこな穴を見つけてみたかったり。
