『情報セキュリティ 100 のツボ』              ISOコンサルタントのブログ -2ページ目
Amebaホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

『情報セキュリティ 100 のツボ』              ISOコンサルタントのブログ

現役コンサルタントだからできる情報セキュリティに関する現場の生きた情報を配信しております。

<< 前ページ次ページ >>

「残留リスクの考え方」

「残留リスクの例にはどのようなものがありますか?」



ISO27001やPマークの支援をしていると

この質問がよく飛んできます。



「残留リスク」とは、会社が抱える固有のリスクの中で、

現在実施している若しくは今後実施することが決定している対策では対応できないリスクのことです。



したがって、どのようなリスクが「残留リスク」となり得るかは会社によって異なります。



一般的な「残留リスク」の例というものは存在し得ません。。。



例えば、盗難、紛失、破損の3つのリスクのある情報資産があり、

施錠ルールの運用により盗難、紛失の2つのリスクへの対応はできていても、

破損に対する追加の対策がなければ、破損リスクが「残留リスク」となります。



ここで注意して頂きたいのは、地震等の天災、悪意の第三者による行為を残留リスクに挙げているケースです。



これらは平時の対策ではどうにもならないリスクですので、

例え「残留リスク」として特定してもその後の対策には限界があります。



これらは事業継続のテーマとして切り分け、有事を想定したBCP(事業継続計画)によって対応する必要があります。

「再委託」



「業務の外注先の管理はどこまで必要なんですか?外注先がさらに外注したらどうなるんでしょうね。」




旅行業の会社で質問が出ました。




個人情報保護法では、その第22条で、業務委託先の個人データの安全管理についての個人情報取扱事業者の監督責任が定められています。



このケースのように、業務の委託先の会社がまた別の会社に当該業務を外注することを「再委託」と言います。



最近では、定型業務を中心に業務のアウトソーシングが盛んですから、委託先企業も受託した業務の一部をさらに他の企業に再委託することも当たり前になってきました。




このような状況で、業務の委託元の監督責任が再委託先や再々委託先まで延々と問われるのか。



このテーマについては、個人情報保護の現場で常に疑問に思われているようです。確かに個人情報保護法における「委託先の監督義務」には再委託についての直接の規定はありませんから、判断に迷うのもよくわかります。





しかし、もし監督責任がどこまでも及ぶとすると、業務の遂行に大きな負担となることは明らかです。したがって、この再委託の場合の監督責任は、基本的に委託先が負うものと考えるのが自然です。



実際、現場では、最初に業務の委託を行った個人情報取扱事業者は、委託先の監督義務のみを負っていると判断しています。そして、再委託先の監督義務は、直接には委託先の事業者にあると解釈されているのです。




つまり、業務の委託元は自ら再委託先の事業者を直接監督する権限がないと考えられているわけです。



その上で、委託元である個人情報取扱事業者は、再委託先の選定に明確な基準を適用しているか、再委託先に対して適切な監督が実施されているかなどについて、委託先の事業者を監督する義務を負うことになります。




ですが、ここで一つの疑問が生じます。




実際にそんなことが可能でしょうか。特に、委託先が個人情報取扱事業者に当たらない零細企業や個人事業主の場合は、そこまでの義務を強いてよいのか。また、アウトソーシングを選択するような事業者が委託先における再委託先の監督状況までチェックできるだろうか、という疑問です。




プライバシーマークの取得支援の過程でよく思うことですが、委託先の事業者が個人情報取扱事業者でプライバシーマークを取得していたりしない限り、これは現実には無理です。



実際、委託元の事業者のほとんどは、委託先との間に締結する「業務委託契約書」の中に“再委託の禁止”を謳うことで、このリスクを回避しています。




法律や省庁ガイドラインが描く理想の個人情報保護対策と現実の個人情報保護対策との間の大きな乖離が、業務の「再委託」という、こんな場所にも表れているわけですね・・・























「情報資産としてのサービスの洗い出し」

無形の「サービス」資産を洗い出す場合、契約単位で洗い出すのが現実的です。



その根拠は、例えば管理策【A.10.2】「第三者が提供するサービスの管理」において推奨されているように、
(付属書Aに挙げられた管理策とはISO27001の要求事項を補足する概念)


この管理策が云っているのは、


「第三者の提供するサービスに関する合意に沿った、
情報セキュリティ及びサービスの適切なレベルを実現し、維持すること。」



つまり、まず第三者が提供する(第三者からの提供を受けている)サービスを特定する必要があります。
特定するための基準として“契約”が分かりやすく、
したがって、特定の第三者(サービス事業者等)との“契約書”を単位とした洗い出しが適切という判断になります。



この第三者には、一般に以下のような組織が考えられます。


●ITサービス提供事業者
●情報システム関連事業者
●会計・監査・税務関連事業者
●人事・労務関連事業者
●広告関連事業者
●清掃・不動産管理関連事業者
●警備関連事業者



例えば、監査法人との契約は、上記の会計・監査・税務関連事業者に当たりますので、
彼らとの契約に基づくサービスは情報資産の洗出しの対象になります。



但し、実際の洗い出し作業においては、出来る限り省力化を図るために、
同じ企業との間に複数の契約が有る場合は、
情報資産名を「業務委託契約書(対■■社)」として幾つかの契約を一つの資産として捉えたり、
上記の区分(情報システム関連事業者等)により分類して、
「業務委託契約書(対情報システム関連事業者)」のようにまとめて洗い出すのも手です。



ISMSにおける情報資産の洗い出しのポイントは、


「漏れ無く洗い出すこと」であり、決して細かく洗い出すことではありません。



情報資産の台帳を作成する際には、あまり現場の負担にならないようにすることが重要です。


この辺りの解釈は誤解の多いところですが、
洗い出しを担当される作業者の共通理解の下、洗い出しを実施しましょう。

<< 前ページ次ページ >>