審査員コラム
「情報セキュリティ動向とISO27001改訂(2013年版)への対応事例」連載第1回

ISO9001/ISO14001/ISO27001 主任審査員 小野木 正人

2015/2/6up

私はISO9001、ISO14001、ISO27001に基づくマネジメントシステムの審査や、研修の講師を
担当していますが、最近ではISO27001の審査に携わる機会が増えています。
また、2013年にISO27001の改訂版が発行されたことを受け、昨年は多くの組織を訪問し、
改訂版への移行審査を実施しました。これらの経験を活かして、
情報セキュリティや個人情報保護の動向、ISO27001(2013年版)改訂の重要ポイントの解説、
そしてこれらに伴う組織の対応事例などを数回に亘って連載したいと思います。(隔週金曜日掲載)

お断り
本コラムの内容は一般的な見解を述べたものであり、
個別の審査において一律に適用されることを保証するものではありません。


情報セキュリティ動向とISO27001改訂への対応事例 | ISO認証機関 ビューローベリタス
まず、2013年の情報セキュリティに関する最大の話題として、通信教育・出版事業を展開するB社グループ(以下B社グループ)に関連した委託先企業からの個人情報の大量流出問題を取り上げます。昨年この問題が報道されて以来、ISO27001審査のため訪問した殆どの組織で、この問題が話題となりました。
実は個人情報の流出問題は、全国で毎日の様に発生しているのですが、影響が大きくないものは報道されないだけなのです。それが1年近くを経ても話題になるということは、著名企業であり、かつ流出件数の規模が大きい点というだけでなく、その発生原因や流出理由が、どの組織においても起こり得る事例であったからだと思われます。
そこで、B社グループ事例の背景を振り返りながら、組織の情報セキュリティや個人情報、機密情報管理の具体的な対策を考えてみたいと思います。この事例では委託先の再委託先のシステム管理会社の社員が、業務で使用するパソコンに個人所有するスマートフォンを接続したところ、B社グループが所有する個人情報のデータベースにアクセスが可能となり、スマートフォンにコピーした大量の個人情報を業者に売却したことが問題となりました。

個人情報や機密情報の流出原因の約85%は、社員や派遣社員、退職した元社員など「内部犯行」であるとの統計があります。そこで情報セキュリティ対策の基本として、如何にこれらの内部犯行を未然防止するかが重要ポイントの1つとなっています。

多くの組織は何らかの「就業規則」を作成していますが、これはあくまで就業中の従業員に対する規則ですから、退職後の元社員には影響力を及ぼすことができません。従って、元社員が在職中に入手した機密情報を退職後に売却、といったケースについては、就業規則の拘束力が及ばないことになります。また、何年も前に作成したまま就業規則を見直していない組織では、個人情報や機密情報保護に関する条項がないケースが想定されます。

そこで、ISO27001認証を取得済みの組織などでは、退職後の犯行に対する損害賠償請求などの条項を付加した「個人情報や機密情報保護に関する誓約書」などを新たに作成し、従業員はもちろん、役員やパート、アルバイトなど全従業員と締結することが一般的になっています。これらの行為は、法的な制約のみならず、従業員に対する「抑止力」という予防的効果も期待できると考えられています。
さらに、パートやアルバイトなどの非正規社員は、誓約書などをよく読んでいないケースが想定されるため、退職時に改めて「誓約書」を締結する組織も増えています。
また、従業員のみならず委託先管理の一環として、従来から締結している「業務委託基本契約」に加えて、「機密保持契約書」や「個人情報保護に関する覚書」などを新たに締結する動きもISO27001認証取得組織では当然の取り組みとなっています。これは情報セキュリティにおけるリスク対応として、従来の「業務委託基本契約」では、条項内容が不十分であるケースが多いためです。従って、ISO27001認証を取得していない組織でも、特に個人情報や機密情報を委託先に提供している場合は、上記の追加契約を確実に締結しておくことが望ましいと考えます。

ちなみに、ISO27001の付属書における適用管理策の改訂内容として、2005年版では「外部組織」や「第三者」など漠然と表現されていたところが、2013年改訂版では「供給者」や「サプライチェーン」などの用語に置き換えられ、「供給者関連の情報セキュリティリスク」として、委託先のセキュリティリスク管理が明確化されているところが改訂ポイントの1つとなっています。

今や個人情報保護や機密情報管理は、法規制が適用されるケースもありうる重要な問題であり、個人情報流出などが発生すると、取り返しのつかない社会問題となってしまいます。ISO27001認証取得組織はもちろんのこと、認証を未取得の組織でも、本稿で紹介した情報セキュリティ対策をしっかりと取っておく必要性がますます高まってきていると痛感しています。

連載第2回(2月20日掲載予定)より、ISO27001:2013の改訂ポイントを順次解説していきます。

(続く/本連載は隔週金曜日に掲載します)
・連載一覧はこちら

 

お問い合わせフォーム

 

お見積り依頼はこちらから

 

認証機関の変更をご検討ですか

 

フライヤー・パンフレットをダウンロード

 

開催予定一覧はこちら

 

関連ニュース

 

関連サービス