|
2007/09/29 土曜日 20:06:03 JST |
「個人情報保護マネジメントシステム」の構築に向けて(第7回)
~内部規定の作成(第4回)(リスク分析:その2)~
リスク分析と手順書の概要について前回示したが、今回は夫々の内容をより具体的な手順として規定できるように、リスク分析の考え方を示す。
リスクとリスクの想定
先ず“リスク”という言葉の定義であるが;
一般には:
リスク=ハザードの大きさ×ハザードの発生確率
I SMS(ISO 27001)では:
リスク=セキュリティ事故の発生確率×発生する損害の大きさ
=脅威のレベル×脆弱性のレベル×資産価値のレベル
一方JIS Q 15001では、リスクは「個人情報の漏えい、滅失又は毀損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ」とされている。
実際、個人情報の本人における価値は外部からは評価できないものであり、また、脅威のレベルや脆弱性のレベルを設定することも非常に難しい。
例えば、作業においてミスが発生することも“リスク”であり、必ずしも“脅威”の存在が前提にはなっていないし、例えば、電車内で網棚への書類の置き忘れ(紛失)という状況を考えた場合、電車の終点の駅で回収できる可能性もあり紛失に至らない場合もあるし、途中で誰かに持ち去られる可能性もある。また万一他人に持ち去られたとしても、悪用されるか否かもあり、それらの可能性まで考えると、数値化して評価することは現実的には意味がなく、“電車内での網棚への置き忘れ”をリスクと捉え、それを防ぐための対応策を考えることが現実的である。
リスクの想定は、出来る限り、あらゆる状況を想定して、きめ細かく特定してゆくことが必要がある。
リスクとしては、個人情報の漏えい、滅失又は毀損だけでなく、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などを含めて想定する。
また、リスクとしては、ミス、不正や犯罪、偶発的事象等も含めて想定する。
偶発的事象としては、地震等の災害も含むこととなる。
不正や犯罪としては、外部者によるもの、権限の無い内部者によるもの、それに加えて、権限を持った内部者によるものもあり、特に世の中で起こっている大きな個人情報の漏えい事件は権限を持った内部者によって引き起こされていることに留意する必要がある。
どこに、どのようなリスクがあるかを特定して行く方法には、上記に示したような、実際の業務において考えられる個人情報の取扱いの局面をきめ細かく特定し、夫々の局面でのリスクをこれまたきめ細かく想定してゆく方法(幅広い知識や、想像力、推察力が必要である)と、あらかじめ標準化された管理策や脅威の一覧表を用いて行く方法があるが、これらについては次回に示す。
対応策の検討
対応策(リスク管理策、安全管理策)としては、現実に実施されている対応策(企業では、ある程度の対応策は既に実施されている筈である)を出発点として検討を進める方法と、まず、理想的な安全管理策を考え、それと現実とのギャップを分析し、対応策を検討してゆくアプローチがある。
理想的な安全管理策を考え、現在は諸般の事情(経済的、技術的、等々)によりそれを完全に実施することができない状況にある場合には、それを残存(残留)リスクとして認識し、次の改善対象として行くのが良い。
そのためにも、まず、理想的な安全管理策を考え、それと現実とのギャップを分析し、対応策を検討してゆくアプローチを推奨したい。
安全管理策を考える上において、それぞれのリスクに対して、組織的安全管理処置、人的安全管理処置、物理的安全管理処置、技術的安全管理処置の4つの面からどのようなリスク対応策が必要か、また、採用するのが良いか、採用できるか等を検討し、適用する安全管理策を決めてゆく。
安全管理策を検討する上において、下記の資料等を参考にすると良い。
・ 経済産業省のガイドライン
・ JIS Q 27001 情報技術―セキュリティー技術―情報セキュリティマネジメントシステム―要求事項(ISMS)
・ ISO/IEC 17799:2005(JIS Q 27002:2006)詳解 情報セキュリティマネジメントシステム-要求事項」
リスク対応策(安全管理策)の文書化
実施が決定された安全管理策は、“日常の業務の運営において守るべきルール”として文書化する。
文書化することで、全従業者(役員、社員、パート・アルバイトを含む)が同じ認識をもって日常の業務を実施して行くことができるし、新入社員が入社した場合も、貴社の規範として明確に示すことが出来る。
また改善を考える上においても、全従業者の認識が一致している状態で改善活動が進められるので、改善のベースが明確であり、不要な、議論のための議論が少なくなる。
さらに、規定として文書化することで、内部監査における監査の基準が明確になり、客観的な監査が実施できることになる。
手順の文書化においては、いわゆる手順書としての5W1Hに注意しながら制定する。
手順書としては、“守るべきルール”を集めた「ルール集」のような纏め方もあるが、「XX業務手順書」のように、業務ごとの手順書を作成し、業務の実施に伴って遵守すべき安全管理策をその中に盛り込んでゆくのも良い。
また、「情報システム管理規定」や「入退室管理規定」のようなものに纏めるのも良い。
内容としては、手順書を読むことで、誰でもが適切な行動や対処やできるように、具体的に記述することが必要である。
「リスク分析表」との関連においては、次を行なう。
- その対応策が既に実施されている場合は、それがルールとして規定に記述されているかを確認し、規定に盛り込まれていた場合にはその規定(名称と項番)を「リスク分析表」に明記し、“想定されるリスク”と規定とを関連付け、確実に文書化したことを確認すると共に、将来の見直し時の情報とする。
規定に盛り込まれていなかった場合、その対応策が既に実施されていれば、それを規定に盛り込んで文書化し、上記と同様の処置を行なう。
- その対応策をこれから実施する必要がある場合は、それをルールとして規定すると共に、上記と同様に「リスク分析表」により“想定されるリスク”と規定との関連付けを行なう。
- リスク対策として十分な対応策を実施できない場合は「リスク分析表」に“残存リスク”として明記し、その管理を行なう。(将来の改善対象とする。)
残存リスクの認識
リスクへの対応策を実施した後でも、理想的な安全管理策との間にギャップが残り、リスク対策として十分な対応策を実施できない場合は“残存リスク”として明記し、その管理を行なう。
すなわち、お金が掛かり過ぎるので現在は実施できない、脅威の発生する頻度が非常に低いので、必要以上の手間隙やお金を掛けたくない、現在の技術レベルでは対応不可能である、・・・等々がある場合、経営者の判断として残存リスクとする。
これは、リスクが小さいものであっても、リスクが顕在化した場合には、会社としての問題になり、経営者の責任が問われるからである。
また、どのようなリスク対応策(安全管理策)を実施しても何かしらの残存リスクは必ず残ることは認識しておく必要がある。
人間が関与する事項においては、その人間が決まりごと(安全管理上のルール)を守らないかもしれないということがあるし、うっかりミスもある。
すなわち、人間の行動につきまとう不確定要素は取り除くことができない。いくら教育・訓練を行なっても、その確率は下がるが、ゼロにはできない。
また、完全な機械化(自動化)を図ったとしても故障時のリスクは残る。
さ らに、機械化を行なっても、リスクの隙間が残ることも多い。
例えば、部屋の入り口にカードキーによる入退の制御機構を設置した場合でも、連れ合い入室の問題は残るし、カードの紛失・偽造等によるリスクも残る。
また、生体認証(指紋等)では認識率の問題として、「本人拒否率」の問題があり、暗証番号併用型とすることが多いが、 その場合には暗証番号特有の問題がつきまとうし、「他人受け入れ率」が完全にゼロにはならないという問題も残る。
このように、“残存リスク”が完全にゼロになることは考えられない。
しかし限りなくゼロに近づけることはできる。限りなくゼロに近づけるための改善活動を継続的に実施することもJIS Q 15001の要求事項であり、それは「個人情報保護方針」の中でも宣言されている筈である。
では、どのような事項、どのようなレベルまでを“残存リスク”と考え、管理対象として、また将来の改善対象としてリスク分析に含めてゆくか、すなわち、上記のように、リスクが完全にゼロになるまで「残存リスク」として明記して、管理の対象としてゆくかであるが、一概に規定することは難しい。
各企業で決めて、“残存リスクがあり、それが顕在化しないように、日常的に注意・管理してゆくためのものとして”、また“残存リスクを将来の改善対象として”というような観点から、「リスク分析表」の中に“残存リスク”を明記してゆくのが良い。
次回には、もう少しだけ深くリスク分析について考えてみる。
「個人情報に関するリスクの認識、分析及び対策の手順に関する規定」(リスク分析手順)の作成は次回の記事を読み終わってからにしてほしい。
(中小企業診断士 中村 隆昭)
|
