私はISO9001、ISO14001、ISO27001に基づくマネジメントシステムの審査や、研修の講師を行っています。
最近は、特にISO27001の審査に携わる機会が増えています。
また、商工会議所で情報セキュリティ及び個人情報保護のセミナーを開催して来たことでMS構築のコンサルを手掛ける機会が多くなりました。
コンサル、セミナーを実施してきたことから、組織の実態を見て来ましたし、2013年にISO27001の改訂版が発行されたことを受け、一昨年は多くの組織を訪問する機会も増えました。
また、この改訂の狙いは、組織の課題とISO導入によってセキュリティ・リスクの認識を高めるようにするところがあったため広く認知されたように感じました。
情報セキュリティや個人情報保護の動向、ISO27001(2013年版)の重要ポイントの解説、そしてこれらに伴う組織の対応事例などを数回に亘って連載したいと思いもます。
まず、2013年の情報セキュリティに関する最大の話題として、通信教育・出版事業を展開するB社グループ(以下B社グループ)に関連した委託先企業からの個人情報の大量流出問題を取り上げます。
昨年この問題が報道されて以来、ISO27001審査のため訪問した殆どの組織で、この問題が話題となりました。
実は個人情報の流出問題は、全国で毎日の様に発生しているのですが、影響が大きくないものは報道されないだけなのです。
それが1年近くを経ても話題になるということは、教育出版大手の企業であり、かつ流出件数の規模が大きい点というだけでなく、その発生原因や流出理由が、どの組織においても起こり得る事例であったからだと思われます。
そこで、B社グループ事例の背景を振り返りながら、組織の情報セキュリティや個人情報、機密情報管理の具体的な対策を考えてみたいと思います。
この事例では委託先の再委託先のシステム管理会社の社員が、業務で使用するパソコンに個人所有するスマートフォンを接続したところ、B社グループが所有する個人情報のデータベースにアクセスが可能となり、スマートフォンにコピーした大量の個人情報を業者に売却したことが問題となりました。
意外とおⅯわれるかもしれませんが、個人情報や機密情報の流出原因の約85%は、社員や派遣社員、退職した元社員など「内部犯行」であるとの統計があります。
そこで情報セキュリティ対策の基本として、如何にこれらの内部犯行を未然防止するかが重要ポイントの1つとなっています。
多くの組織は何らかの「就業規則」を作成していますが、これはあくまで就業中の従業員に対する規則ですから、退職後の元社員には影響力を及ぼすことができません。
従って、元社員が在職中に入手した機密情報を退職後に売却、といったケースについては、就業規則の拘束力が及ばないことになります。
また、何年も前に作成したまま就業規則を見直していない組織では、個人情報や機密情報保護に関する条項がないケースが想定されます。
そこで、ISO27001認証を取得済みの組織などでは、退職後の犯行に対
する損害賠償請求などの条項を付加した「個人情報や機密情報保護に関する誓約書」などを新たに作成し、従業員はもちろん、役員やパート、アルバイトなど全従業員と締結することが一般的になっています。
これらの行為は、法的な制約のみならず、従業員に対する「セキュリティ違反への抑止力」という予防的効果も期待できると考えられています。
さらに、パートやアルバイト社員などの非正規社員は、誓約書などをよく読んでいないケースが想定されるため、退職時に改めて「誓約書」を締結する組織も増えています。
また、従業員のみならず委託先管理の一環として、従来から締結している「業務委託基本契約」に加えて、「機密保持契約書」や「個人情報保護に関する覚書」などを新たに締結する動きもISO27001認証取得組織では当然の取り組みとなっています。
これは情報セキュリティにおけるリスク対応として、従来の「業務委託基本契約」では、条項内容が不十分であるケースが多いためです。
従って、ISO27001認証を取得していない組織でも、特に個人情報や機密情報を委託先に提供している場合は、上記の追加契約を確実に締結しておくことが望ましいと考えます。
ちなみに、ISO27001(2013年版)の付属書における適用管理策では「供給者」や「サプライチェーン」などの用語を用いて、「供給者関連の情報セキュリティリスク」として、委託先のセキュリティリスク管理が明確化されること求めています。
今や個人情報保護や機密情報保護管理は、法規制が適用されるケースもありうる重要な問題であり、個人情報流出などが発生すると、取り返しのつかない社会問題となってしまいます。
ISO27001認証取得組織はもちろんのこと、認証を未取得の組織でも、本稿で紹介した情報セキュリティ対策をしっかりと取っておく必要性がますます高まってきていると考えております。
ISO27001の数々の審査経験を活かして、情報セキュリティや個人情報保護の動向、ISO27001(2013年版)改訂の重要ポイントの解説、そしてこれらに伴う組織の対応事例などを、数回に亘って連載します。
ISO27001(2013年版)改訂の概要
ここからは、2013年に改訂されたISO27001の改訂ポイントを順次解説していきます。
最初に、2013年改訂における最大の変更点は、規格要求事項の条項番号つまり規格条文の体系が見直されたことです。
具体的には、従来の規格要求事項は、「1.適用範囲から8.ISMSの改善」までの8条項であったものが、「1.適用範囲から10.改善」までの10条項になりました。
これは一見、大した変更に見えませんが、実はISO規格全般にとって改革的な出来事なのです。
既にご承知のように、ISO9001とISO14001も2014年にDIS(Draft International Standard)つまりドラフト版ISOが発行され、今年、2015年中に2015年改訂版が発行される予定です。
ISO27001と両規格は、それぞれが独自の規格要求事項体系を持っていましたが、今後はISO27001:2013と同じ規格条文体系になるのです。
これは「マネジメントシステム規格の整合化」として、ISOが2006年から2011年にかけて、ISO9001、ISO14001、ISO27001などのISOマネジメントシステム規格(ISO MSS:Management System Standard)の整合性を図るための検討を行い、ISO MSSの上位構造(HLS:High Level Structure)、共通テキスト(規格要求事項)、共通用語・定義を開発したためです。
そしてこれらを共通構造(付属書SL)として、2012年2月にISO/TMBにおいて承認され、今後、制定/改正される全てのISO MSSにおいて原則として採用することが義務付けられたのです。
ここでは、共通構造の序文から10章までを示しておきます。
「共通構造=序文、1.適用範囲、2.引用規格、3.用語及び定義、4.組織の状況、5.リーダーシップ、6.計画、7.支援、8.運用、9.パフォーマンス評価、10.改善」
ISO27001の2013年版は、この最初のISO MSSとなりました。逆に言えば、今後発行及び改訂されるISOの体系は、ISO27001を参考にすれば良いとも言えます。
ご参考までに、「マネジメントシステム規格の整合化」の詳細は、日本規格協会ウェブサイトで公開されています。
次に、個々の改訂ポイントを解説していきます。
上記の共通構造の“4.組織の状況”は、これまでに無かった新しい切り口での改訂箇所です。
この4章は、更に4つに細分化されていますが、特に4.1から4.3が改訂ポイントです。
最初に、“4.1 組織及びその状況の理解”では、「外部及び内部の課題を決定すること」が求められていま。
「これらの課題の決定とは、JISQ31000:2010の5.3に記載されている組織の外部状況及び内部状況の確定のことをいう。」との“注記”も記載されております。
ISO31000:2009(リスクマネジメントの原則及び指針)の参照を求められている点に留意する必要があります。
ISO31000:2009の参照については、今後解説予定の条項でも出てくるので、その際に詳しく触れたいと思います。
次に、“4.2 利害関係者のニーズ及び期待の理解”では、「ISMSに関連する利害関係者」と「その利害関係者の情報セキュリティに関連する要求事項」が求められています。
ここでの利害関係者とは、顧客や取引先などを特定している事例が多数あり、関連する要求事項として「主要取引先からISO27001の認証を取得することが求められている」などの事例も増えています。
次Iに、“4.3 情報セキュリティマネジメントシステムの適用範囲の決定”では、
「ISMSの適用範囲を定める際は、次の事項を考慮すること。
a) 4.1に規定する外部及び内部の課題
b) 4.2に規定する要求事項
c) 組織が実施する活動と他の組織が実施する活動との間のインターフェース及び依存関係」
が求められており、これで4.1~4.3が関連していることがわかります。
さらに、“4.組織の状況”と関連している条項が、“6.1 リスク及び機会に対処する活動”です。
ここでは、
「ISMSの計画を策定するとき,組織は,4.1に規定する課題及び4.2に規定する要求事項を考慮し,次の事項の
ために対処する必要があるリスク及び機会を決定する。
a) ISMSが,その意図した成果を達成できることを確実にする。
b) 望ましくない影響を防止又は低減する。
c) 継続的改善を達成する。」
とあります。
この条項には、ISMSの計画を策定する際に、従来からあった“リスク(Risks)”を考慮するのみならず、新たに“機会(Opportunities)”も考慮すべきとの意図があります。
“機会”という用語ではわかりにくいので、“チャンス”と読み替えても良いでしょう。
具体的には、リスクを認識して対応するのみならず、「取引先からの適切な情報セキュリティ対応などの要求に応えることで、新たな取引を生み出し、ビジネスチャンスに繋げる」などがあり、組織がISMSに取り組むモチベーションになるとの発想です。
繰り返しになりますが、上記の解説はISOの共通構造の一環ですから、“情報セキュリティISMS”を“品質QMS”や“環境EMS”と置き換えれば、ISO9001やISO14001の改訂対応の参考となるでしょう。
次は、規格要求事項の“6.1 リスク及び機会に対処する活動”の“6.1.2 情報セキュリティリスクアセスメント”に関する規格改訂のポイントと留意点について解説します。
情報セキュリティリスクアセスメント”に関する規格改訂のポイントと留意点
ここでも、引き続き2013年に改訂されたISO27001の改訂ポイントを解説します。
今回は、規格要求事項の“6.1 リスク及び機会に対処する活動”の“6.1.2 情報セキュリティリスクアセスメント”に関する規格改訂のポイントと留意点について解説します。
“6.1.2 情報セキュリティリスクアセスメント”では、このタイトル通り「情報セキュリティリスクアセスメントのプロセスを定め、適用すること」が求められています。
具体的には、下記に記載するa)~e)までの5項目を決定することですが、2005年度版から細かな点が改訂されているので留意が必要です。
「a) 次を含む情報セキュリティのリスク基準を確立し,維持する。
1) リスク受容基準
2) 情報セキュリティリスクアセスメントを実施するための基準」
ここでは“リスク基準”として“リスク受容基準”と“リスクアセスメントを実施するための基準”が求められています。
“リスク受容基準”は、2005年度版から変更されていませんが、“リスクアセスメントを実施するための基準”は、新しく追加された表現です。
従来からリスクアセスメントを行うことは必須であり、リスクアセスメントの方法を特定することが組織に求められていました。
そのリスクアセスメント手法の中で、いくつかの“リスク評価基準”やリスク対策を取るかどうかの“判断基準”などを使用されていると思われますから、それらの“基準”を明確にしておけば、ここでは特に新たな対応や見直しは不要と思われます。
「b) 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。」
この部分での2005年度版の表記は、“リスクアセスメントの方法は、比較可能で、かつ、再現可能な結果を生み出すことを確実にしなければならない”なので、リスクアセスメント手法に一貫性や再現性を求めているもので、従来からの変更はないと判断できます。
「c) 次によって情報セキュリティリスクを特定する。
1) ISMSの適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために、情報セキュリティリスクアセスメントのプロセスを適用する。
2) これらのリスク所有者を特定する。」
ここでは、1)に関連する表記は、2005年度版にも同じものがあるので変更はありませんが、2)で求められている“リスク所有者”を特定することは、2013年版での新たな規格要求事項です。
“リスク所有者”とは、原文では“risk owners”となっていることから、情報資産に対する“リスクの管理者”と読み替えることができます。
具体的な対応の方法としては、リスクアセスメントを行った結果、例えば「リスク評価表」「リスクアセスメントリスト」などの帳票に項目を追加して、それぞれのリスクに対応した“リスク所有者”を明示されている組織が多いようです。
昨年から今年にかけて、2013年度版への移行が増えていますが、この“リスク所有者”を特定することを見逃している組織が多いので、まだ移行が完了していないところは留意が必要です。
「d) 次によって情報セキュリティリスクを分析する。
1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
3) リスクレベルを決定する。」
このd)項に関しては、表現の違いはあっても、2005年度版にも同様の記載があるので、特に改訂対応の必要はないと判断しています。
「e) 次によって情報セキュリティリスクを評価する。
1) リスク分析の結果と6.1.2 a) で確立したリスク基準とを比較する。
2) リスク対応のために,分析したリスクの優先順位付けを行う。」
ここでは、1)に関連する表記は、2005年度版にも同じものがあるので変更はありませんが、2)で求められている“分析したリスクの優先順位付け”を行うことは、2013年版で微妙に改訂された規格要求事項です。
微妙にと表現したのは、2005年度版でも“優先順位付け”が求められていたところがあるのですが、それは“リスク対応計画に移行した後のリスクに対する優先順位”でした。
従って、これまでは“リスク対応計画に移行しないリスク”には、優先順位を付ける必要がなかったのですが、2013年版では“分析したリスクのすべて”に優先順位を付ける必要があることです。
これに気付かずに上記のリスク(太字部分)に優先順位を付けていない組織が多いので、留意が必要です。
連載第4回では、引き続き“6.1 リスク及び機会に対処する活動”を解説します
6.1 リスク及び機会に対処する活動
ここでも、引き続き2013年に改訂されたISO27001の改訂ポイントを解説します。
ここでは、規格要求事項の“6.1 リスク及び機会に対処する活動”の“6.1.3 情報セキュリティリスク対応”に関する規格改訂のポイントと留意点について解説します。
最初に、“6.1.3 情報セキュリティリスク対応”での主な変更点は、“付属書Aの管理策”にあたる「適用宣言書」の内容変更です。
“付属書Aの管理策”が要求事項として適用される規格は、ISO27001以外では見られません。これらの管理策が約130項目もあるのが、ISO27001規格の特徴ともいえます。
さて、この“付属書Aの管理策”の構成ですが、2005年度版では11(A.5~A.15)あった分類が、2013年度版では14分類(A.5~A.18)と細分化されました。
これらの管理策はすべて適用する必要はなく、自組織に関係しないと判断できる管理策は、除外理由を明記すれば“適用除外”することが出来ます。
この点は2005年度版と同じですが、2013年度版では、適用除外していない“管理策を実施しているか否か”を明記する必要が追加されました。
この要求事項の追加の意図は、例えば外出先から社内のサーバーにアクセスする「テレワーキング」など、将来的に実施する予定があって、仕組みは構築しているので適用除外にはできないが、現在は実施していない管理策などを考慮したものであると思われます。
この追加要求事項に対応するための方法として、「適用宣言書」の“採否”欄の隣に“実施の有無”欄を追加して対応している組織が多いようです。
次に、“6.1.3 情報セキュリティリスク対応”の「f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について、リスク所有者の承認を得る。」では、“リスク所有者の承認”が求められています。
2005年度版では“経営陣の承認”が必要であったことから、軽微な変更となっています。
ここでのポイントは、従来からの“経営陣の承認”はそのまま継続して実施し、新たに“リスク所有者の承認”を追加すればよいのですが、この要求事項が変更されたことを見逃している組織が多いので留意が必要です。
また、“6.1.3 情報セキュリティリスク対応”の最後にある“注記”には、「この規格の情報セキュリティリスクアセスメント及びリスク対応のプロセスは、JISQ31000に規定する原則及び一般的な指針と整合している。」とあります。
“注記”なので、つい読み飛ばしてしまいがちになりますが、非常に重要なことが記載されています。
この“注記”で参照が求められているJISQ31000:2010(リスクマネジメント-原則及び指針)には、全てのリスクを運用管理するための汎用的なプロセスと、そのプロセスを効果的に運用するための枠組みが提供されています。
また、組織としてのリスクマネジメントの運営に必要な要素と、各要素の有機的な関係が示されています。
そして、このリスク対応のプロセスとして、JISQ31000に規定する原則及び一般的な指針との整合を求めているのです。
ちなみに、2005年度版では、リスク対応のための選択肢として、次の4つが示されていました。
1) 適切な管理策の適用
2) 組織の方針及びリスク受容基準を明確に満たすリスクの受容
3) リスクの回避
4) 関連する事業上のリスクの他者(例えば,保険業者,供給者)への移転
これに対して、JISQ31000の“2.25リスク対応”には、7つの選択肢が示されています。
1) リスクを回避すること。
2) 機会を追及するために、リスクをとるまたは増加させること。
3) リスク源を除去すること。
4) 起こりやすさを変えること。
5) 結果を変えること。
6) 他者とリスクを共有すること。
7) リスクを保有すること。
2013年度版では、2005年版の4つの選択肢に加えて、JISQ31000で示されている上記の7つを選択肢に加えておくと良いでしょう。
“注記”の文面からは、少し解りにくいので、留意が必要です。
最終回となる連載第5回(4月3日掲載予定)では、規格要求事項の“6.2 情報セキュリティ目的及びそれを達成するための計画策定”に関する規格改訂のポイント及び留意点と、法規制やガイドラインの順守、コンプライアンスなどを解説予定です。
6.2 情報セキュリティ目的及びそれを達成するための計画策定
ここでは、規格要求事項の“6.2 情報セキュリティ目的及びそれを達成するための計画策定”に関する規格改訂のポイント及び留意点と、法規制やガイドラインの順守、コンプライアンスなどを解説します。
最初に、“6.2 情報セキュリティ目的及びそれを達成するための計画策定”では、「組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。情報セキュリティ目的は,次の事項を満たさなければならない。
a) 情報セキュリティ方針と整合している。
b) (実行可能な場合)測定可能である。
c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
d) 伝達する。
e) 必要に応じて,更新する。」
との要求事項があります。
2005年度版では、“情報セキュリティ目的”や“目標”の設定は求められていなかったので、追加の要求事項になります。
「目的・目標」の設定は、ISO9001やISO14001では当たり前のようになっている要求事項なので、ISO27001でも他のISO規格と整合がとられたと考えられます。
ここでの留意点は、「関連する部門及び階層において」となっているので、全社で1つ設定すればよいだけでなく、部門ごとに策定しておく必要があることです。
また、情報セキュリティ“目標”として設定されている組織もありますが、規格で求める“目的”と同義である意図の説明があれば、審査では指摘しないことにしています。
更に、次の要求事項も示されています。
「組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。
f) 実施事項、g) 必要な資源、h) 責任者、i) 達成期限、j) 結果の評価方法」
従来から、「リスク対応計画」を作成することが求められていたので、その計画に“情報セキュリティ目的を達成するための計画”を追加すればよいでしょう。
この場合、“g) 必要な資源”、i) 達成期限、“j) 結果の評価方法”は、従来の「リスク対応計画」にはなかった項目なので、忘れずに追記しておく必要があります。
2013年版への対応が必要な主な改訂ポイントは以上となります。
これらの最後のテーマとして、法令順守やコンプライアンスを取り上げます。
MSS(マネジメントシステムスタンダード)として、組織に適用される法規制の特定や法令の登録、順守などのコンプライアンスを守ることは、様々なISOの共通のルールとなっています。
ISO27001でも、コンプライアンスに関しては2005年度版から要求事項があり、2013年版でも、それが継続されています。
例えば、“A.18.1 法的及び契約上の要求事項の順守”の“A.18.1.1 適用法令及び契約上の要求事項の特定”では、「組織に適用される、全ての関連する法令、規制及び契約上の要求事項、並びにこれらの要求事項を満たすための組織の取組みを、明確に特定し、文書化し、また、最新に保たなければならない」とされています。
一般的に、ISO27001を取得している組織では、情報セキュリティ、個人情報保護、情報システムなどに関連する法規制や条例などを調査して、「法規制一覧表」「法規制登録簿」「法規制管理台帳」などの名称で一覧表にまとめられています。
どの法規制が適用されるかは、組織の規模や業種にもよるので様々ですが、多くの組織が登録している法規制や条例の例を略称で示すと、個人情報保護法、刑法、不正アクセス禁止法、知的財産基本法、著作権法、個人情報保護条例(都道府県及び市町村)などがあります。
法令や条例のみならず、ガイドラインなども関連するものは登録しておくことが望まれます。
例えば、最近では“情報処理推進機構(IPA)”が策定した「組織における内部不正防止ガイドライン」があります。
このガイドラインは、昨今の相次ぐ個人情報流出問題に対応するため2013年3月に策定され、B社の個人情報流出問題をきっかけとして2014年9月に改訂されました。非常にボリュームがあるガイドラインですが、チェックリストや事例集なども付表としてついており、読みやすいものとなっています。
また、“情報処理推進機構(IPA)”のウェブサイトには、無料で利用できる「情報セキュリティ教育のコンテンツ(eラーニング)」なども豊富にあるので、管理責任者や事務局、教育担当者などは、参考にされると良いでしょう。
以上で、「情報セキュリティ動向とISO27001改訂への対応事例」の連載は終了となります。
皆様の組織においてISO規格が「経営に真に寄与するツール」として有効活用され、組織の永続的な発展につながることを心より祈ります。
ご愛読に感謝します。ありがとうございました。