第252号コラム:佐藤 慶浩 理事(日本ヒューレット・パッカード株式会社
個人情報保護対策室 室長)
題:「外部委託における情報セキュリティ対策~リスクマネジメントの継承」
組織における情報セキュリティ対策を検討する中で、外部への業務委託がまったくないという場合を除いては、それについての対策検討は不可避の課題である。このとき、自身の組織が情報セキュリティ対策を検討し実施する方法として、情報セキュリティ・マネジメントシステム(以下、「ISMS」と言う。)の構築がある。そのため、外部委託先の組織にも、ISMSを構築してもらうことが考えられる。しかし、その場合には、ISMS構築の意義を正確に理解した上で、「リスクマネジメントの継承」という観点での検討が必要であることを紹介する。
ISMS認証のパンフレットの「情報セキュリティマネジメントシステム適合性評価制度の概要」では、ISMSを構築・運用するメリットは、「社員のスキル向上、責任の明確化、緊急事態の対処能力の向上など」と「費用対効果を考えた資産管理、リスクマネジメントの定着など」と説明している。つまり、「~の向上(今日に比べれば明日はよりよくなる)」と「費用対効果を考えた~」であり、ISMSを構築すること及びその認証を取得することで「~の一定レベル(又はそれ以上)の維持」や「十分なレベルとしての~」ということが定まるわけではないということが、まず重要である。
言い換えると、高い目標設定をした組織は高いレベルで、それなりの目標設定をした組織はそれなりのレベルで対策をすることになる。さらには、ISMSの構築と運用では、目標レベルの達成を目指して継続的に改善をするということも含まれ、設定した目標がすぐに達成できるとも限らない。
しかし、目標レベルの設定は、組織の経営陣がリスクマネジメントに基づいて管理し、現場任せで無頓着に設定されないような体制がISMSとして確立していくことが有益である。
このことは、当研究会の林理事が提言されている「係長セキュリティから社長セキュリティへ」という意味では、少なくとも経営陣セキュリティの確立に役立つと言える。
ところで、パンフレットのメリットにもある、リスクマネジメントの定着のリスクマネジメントとは、いったい何だろうか。
リスクマネジメントとは、ISO Guide 73によれば、リスクに関して組織を指揮し管理する調整された活動であり、そのためにリスクをアセスメント(分析)し対応策を決めるということだ。リスクのアセスメント手法の一例は、資産に対する脅威と脆弱性を考察することである。保護すべき資産には何らかのリスクが存在する。それを存在リスクと言う。存在リスクが現実のものになった場合の影響規模とその発生頻度を考察して対応策を決定する。リスク対応策の一例は、リスクの回避・軽減・転嫁のいずれかから選択するという手法がある。このときリスクの回避を選択しなかった場合に、リスクの軽減又は転嫁のために実施すべきことが対策であり、その対策結果として残ることが想定されるリスクは残存リスクと言い、組織は、そのリスクを受容することになる。
したがって、対策することの期待効果は、存在リスクを残存リスクまで下げることにある。対策が少なければ、残存リスクが多く残り、より多くの対策をすれば、残存リスクを少なくすることが期待できる。
このことから、リスクマネジメントに基づく対策には一般論としての十分、不十分という程度はなく、自身が決定した残存リスクに対して適度な対策であるか否かが決まる。そして、残存リスクについての一般的認識がある場合に限って、それについての一般的な対策の程度を示すことができる。
このリスクマネジメントに基づく対策が、外部委託のときに、委託元と委託先の間でどのようになるかの例を示す。
例として、パソコンを組織の施設外に持ち出してモバイル環境で使用する場合をあげる。その場合に、パソコンを紛失するという存在リスクと、パソコン内のデータが流出してしまうという影響があることを考えてみる。ここでは、リスク対応策の選択について着目する。
社員によるパソコンの持ち出しを禁止するという、リスクの回避を選択している事例があるだろう。または、リスクの軽減を選択して、持ち出しを禁止せずに何らかの対策を講じている事例もある。同じ行為に対して、組織が選択するリスクの対応策は一意に決まるわけではないという好例である。このどちらの組織もISMSを構築してリスクの対応策として判断しているのであれば、ISMS認証を得ることができる。
この例は、ISMS認証を取得していることが、一定の対策を実施していることにはならないということを端的に示している。
ここで持ち出しを禁止した組織をA社とする。A社が、リスクの回避を選択した理由は色々考えられる。発生頻度が仮に低くとも、万が一、事故が発生したときの影響規模が大きくいかなる残存リスクも受容できないと判断したかもしれないし、ある程度の残存リスクであれば受容してもよいと考えたが、残存リスクをそのレベルまで下げるための対策費用を支出するくらいなら持ち出し禁止でよいと考えたかもしれない。
他方で持ち出しを禁止しなかった組織をB社とする。B社が、そう決定した理由も様々考えられる。発生頻度が低くその影響規模も受け入れ可能だと考えたか、受容できる残存リスクまで下げるための対策費用を支出することは妥当であると考えたかもしれない。あるいは、損害保険の加入をしただけであまり予防対策には注力しなかったかもしれない。
このとき、A社がA社の機密情報を取り扱う業務をB社に業務委託する場合について考えてみる。
A社においては、機密情報を取り扱う業務について、パソコンの持ち出しは禁止されており、そのような対策が講じられている。ところが、その業務を取り扱う外部委託先のB社では、A社の機密情報がパソコンに保存されて持ち出されることがあり得ることになる。
このことは、B社がISMSを構築していても、さらにB社がISMS認証を取得していても、構築の不備でも認証の不適合でもなく起こり得る。
A社が持ち出しリスクを回避して禁止した理由として考えられることはいくつかあった。残存リスクを下げるための対策を講じれば受容できると考えたが、その対策費用がないために回避したという理由も考えられた。A社が考えた対策と同じ内容をB社では費用を投じて対策を講じることでリスク軽減しているのであれば、A社で持ち出し禁止の情報がB社で持ち出されることは、リスクマネジメント上問題ないことになる。しかし、たとえば、その対策では不十分だとA社では判断したのに、B社では許容範囲内だと判断しているのであれば、A社の機密情報に対してA社のリスクマネジメントが継承されなかったことになる。そのように、A社とB社のリスク対策の選択の様々な組み合わせにより、結果的な対策は、偶然合致するときも、そうでないときもあることになる。この問題は、A社のリスクマネジメントが継承されているか否かの問題である。
つまり、A社から見ると、B社への業務委託リスクをリスク転嫁で済ませられるかということになる。言い換えると、結果的に損害賠償の請求さえできればよいような業務を委託しているのか、予防対策にできる限りのことをする必要のある業務を委託しているのかがひとつの判断材料となる。
そのため、外部委託先に対して、マネジメントシステムの適合性評価の認証取得を単に求めるのではなく、効果的なリスクマネジメントが運用できるようにすることがクラウド時代に必要な取り組みである。
以上のとおり、外部委託先に自社の情報を預けるときには、「リスクマネジメントの継承」という観点が重要である。
この観点については、ある意味当然のこと過ぎるのか、わかりやすく解説した文献が国内外ともに見当たらない。そこで、情報ネットワーク法学会の学会誌である「情報ネットワーク・ローレビュー第11巻」に「外部委託先に対して情報セキュリティ対策のマネジメントシステム適合性評価の認証取得を求めることの課題」というノートを投稿した。新規性や独創性を訴えるものではなく、ISMSとリスクマネジメントの関係性の整理をし、ISMSやリスクマネジメントについての前提知識なく読める内容とするために、論文ではなくノートとしてまとめたので、興味があれば参考にしていただきたい。
ここでは予防対策の例を示したが、情報セキュリティ対策としては、予防対策に注力するとともに、事故の発生を想定し、事故に対応することを前提にしなければならない。事故対応では、被害を把握して被害の拡大を防止すること及び事故原因を特定して再発防止策を講じることが求められる。デジタル・フォレンジックは、被害の把握と事故原因の特定の両方で用いられる。その両方で、例えばログの保全のような、デジタル・フォレンジックを実施するために必要なことを妨げるリスクが存在することになる。それらの存在リスクについて、外部委託の際に、それらのリスクマネジメントの継承という観点で、対策を検証することが外部委託の代名詞とも言うべきクラウド時代には求められている。
【著作権は佐藤氏に属します】
