株式会社 渡辺コンサルティングオフィス
トップページ
データ経営構築と運用
審査の現場から
内部監査員養成講座
会社案内

…渡辺コンサルの独り言…

(2016年2月7日付)

〜 7.5.3 文書化した情報の管理 (2) 〜

皆さん、今日は、こちら千葉県北西部は曇り。予報によると今夜 (6日深夜) は雪になっています。私は新潟県上越市という豪雪地帯で育ちましたので雪には慣れているし、雪道の歩き方も身体が覚えています。でも、だから雪OK! という事ではなく、嫌なものは嫌ですね。交通機関に影響も出るだろうし、あまり降って欲しくはないです。ただ、晴れた日の雪景色は素晴らしい!これは何回見ても良いです。皆さんのお住まいの地域は如何ですか?

さて、先週の続きです。ちょっとおさらいをしておきましょう。環境 MS の 7.5.3 文書化した情報の管理の要求事項を引用し、「情報セキュリティマネジメントシステム ( ISMS ) を理解していないと対応が難しい点がある。」 と説明しました。以下は、その規格要求事項の一部です。

環境マネジメントシステム及びこの規格で要求されている文書化した情報は、次の事項を確実にするために、管理しなければならない。
a)文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態である。
b) 文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)
文書化した情報の管理に当たって、組織は、該当する場合には、必ず、次の行動に取り組まなければならない。
  −配付、アクセス、検索及び利用

そして、ISO 27000−用語から以下の3つの言葉の定義を掲載しています。

機密性 ( confidentiality )
認可されていない個人、エンティティ又はプロセス(2.6.1)に対して、情報を使用させず、また、開示しない特性。
完全性 ( integrity )
正確さ及び完全さの特性
可用性 ( availability )
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

ところで、前述の規格要求事項の a) と b) ですが、a) は可用性を、b) は機密性と完全性に関する内容になっています。
情報セキュリティは、何といっても先ずは “機密性” である事は言うまでも有りません。組織自体が持つ重要な情報に加え、お客様からお預かりした個人情報や非公開情報の管理など、しっかりと管理する必要があります。ベネッセコーポレーションを引合いに出すまでも無く、個人情報の漏えいなどが発生した場合、会社が被る損害は計り知れないものがあります。そもそも、金銭の問題以上に絶対に失ってはならない信用を失います。これは取り返しが付かないものですね。

ついでに一つご案内しておきますが、JIS Q 15001 : 個人情報保護マネジメントシステム − 要求事項という規格があります。プライバシーマーク (Pマーク) と言われているものですが、これは個人情報だけを対象とした国内規格です。しかし、情報セキュリティマネジメントシステムは、個人情報を含むあらゆる情報資産のセキュリティを対象としています。
私の経験ですが、P マークはあまりお勧めしておりません。プライバシーマークというネーミングから、見る人に対して訴求力があり、時々、P マークについてコンサルの問い合わせがきますが、組織が取扱う情報のうち、個人情報はほんの一部に過ぎない事。それから、P マークの審査は2年に1回であり、ややもすると形骸化してしまう可能性が高いので、先ほども言いましたがお勧めはしていません。そもそも、企業がそのお客様や関連企業からお預かりする情報は、個人情報よりもそれ以外の情報が圧倒的に多く、いくら P マークに取り組んでいても個人情報以外は対象にならない訳で、そういった意味でも ISMS に取り組むべきでしょう。マイナンバー制度も始まった事だし・・・。

さて、無駄話は止めにして本題に戻りましょう。

“機密性” は、重要な情報資産に対してアクセス出来る人を限定してしまう事が重要です。これは、普段でも社長や役員が持つ資料やデータ、人事や経理関連、技術面での極秘情報などの資料・データは限られた人しか触れないし、金庫 ・ キャビネットなどの施錠管理に加え、PC ・ サーバなども外部と接続していない状態にしている組織は多いと思います。さらには、社員に貸与している PC やサーバ、複合機、セキュリティ USB 、携帯、スマホ、タブレット端末、デジカメの貸与、使用、紛失の備えといった電子 ・ 通信分野も然り、建物やオフィスの出入りの管理に加え、施錠管理も大切です。まさに “アクセス” の話です。

“完全性” は、定義にあるように正確性の担保が必要です。誤入力や誤記載を如何に防ぐか。数字に間違いがあったり、情報に不正確さがあるとビジネスや会社の信用に直接悪影響が出ます。これをどう未然に防いでいく事が大切です。

“可用性” は、規格要求事項の a) に 「必要なときに、必要なところで、入手可能かつ利用に適した状態である。」 とあり、利便性も含めて、常に使える状態を求めています。例えば、基幹システムがダウンしてしまい、必要な情報が取り出せない状態などが発生すると直接仕事に影響が出るし、さらには ISMS の付属 A に 「情報セキュリティ継続」 という BCMS (事業継続 MS ) に通じる要求もあります。
但し、一つ考えておかなければならないのは、機密性と可用性は両立しないという点です。機密性を高めれば高めるほど可用性は下がり、可用性を高めれば高めるほど機密性はダウンします。この機密性と可用性のバランスをどう取るか。ここが難しいところで、ケースバイケースで考えていく他はありません。

以前、ある弁護士のセミナーを受けた時に 「例えば、ノート PC などを紛失したとすると、セキュリティを何重にもしてある場合、“過失相殺” といって損害賠償なども軽減されます。」 という説明がありました。
ノート PC も、全くセキュリティが掛かっていないケースがありますね。パスワードが全く設定されていない。パッと立ち上がり、全部が見れてしまう。ところが、パソコン自体も、さらにはデータ自体にもパスワード設定を施し、重要な情報がしっかり保護されている。こういう状態にしたいですね。情報資産は企業にとって重要な資産であるという “認識” を持ちたいものです。

さて、今回はこの辺で。


Copyright (C) 2006-2007 Watanabe Consulting Office CO.,ltd. All Rights Reserved. | 個人情報保護方針