2009/04/13
日常語ISO27001 with セキュリティ新事情 ~4.2.2 実施・運用
No.212 09.04.13 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ お知らせです。 ISO認証取得が社会に一巡していること、未曾有の不況、等々により 当方も認証取得コンサルティングを中心に据えて成立させて行くのは困難な 状況となっています。 認証取得コンサルティング業務の比率は相当に下げざるを得ませんので、 「環境版」「情報セキュリティ版」と毎週2本発行しているメルマガも、 当面互い違いに隔週刊と変更させて頂き、来週は「環境版」、再来週は「情 報セキュリティ版」という様な発行と致します。 さて、 三菱UFJ証券からの顧客情報漏洩は、システム部の部長代理がデータを 盗み出して、そのうち5万件を名簿業者3社に計約33万円で売却していた のだと判明しました。結構なお金になるものです。 これだけのお金になってしまうとすると、内部犯行、とりわけ幹部社員の 内部犯行を防ぐのはかなり難しいですね。しかも、個人情報保護法は個人の 行為を取り締まりませんし、不正競争防止法の改正施行は早くても来年です。 犯人を懲戒解雇する事は出来ますが、違法でない以上損害賠償を請求する事 も出来ません。困ったものです。 では、212号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 今週は、起きていた情報セキュリティ事件を考察してみましょう。 大阪市では「市政だより」の配布をシルバー人材センターに委託していま した。この配布先リストは配布中に持って出ない様に、配布する市政だより と交換に人材センターに返却する事になっていましたが、一部のスタッフが 配布時に携帯して、その結果3名のスタッフがリスト計508件分を紛失しま した。市は同センターを入札指名停止にしています。 どうですか? 問題点が満載ですね。 まず、「市政だより配布先」という情報の重要性の評価がおかしいです。 リストを紛失したら入札指名停止にするほどのものでしょうか。様子から 見て全戸配布ではなかった様子ですが、おそらく希望者に配布しているので しょうね。「配布」という言葉が使われていますので無料だと思われます。 市政だより配布先リストはつまり、市政に多少関心のある人のリストだと 言うことが出来ます。すなわち普通の人のリストでしかありません。ジャパ ネットたかたの顧客リストだったらば、「何万円もの商品を通販で買って くれる人のリスト」という事になりますし、証券会社の顧客リストならば 「証券投資をするくらいの経済的余裕のある人のリスト」という事になり ますから利用価値を持ちますが、このケースではそうではりません。 もっとも、一応個人情報ですから「重要個人情報よりは軽く扱って構わ ない」という規則を作る事はないでしょう。その結果、規則優先主義の市と しては「入札指名停止」するという大事になっているのですね。下水道局の ワッペンを三千万円もかけて作り直した東京都の規則優先ぶりと変わりませ ん。 また、そこまで大切にしなければならない情報ならば、「ご老人」に預け るという選択自体に問題が出ます。個人情報保護は、法律が出来た後のこの 5年に急速に高まって来ました。20〜40年程度の意識・慣習と、60年の意識 ・慣習では転換するのにかかるエネルギーが大分違いますので、ご老人には 「個人情報は大切なのだ」という考えを持っていない方が少なくありません。 しかし委託費用の問題もありますし、ご老人の働く機会を奪うのも良く ありません。今回市政だより配布をシルバー人材センターに委託した事自体 は、総合的に問題なかったと思われます。つまり、リスト紛失で「入札指名 停止」処分の方が妥当ではないでしょう。 次に、「配布時にリストを持って歩かさない」という対応が大問題です。 3名の作業員がリストを紛失して500件余という事は、1人平均150件以上 です。ご老人でなくても、そんなにたくさん覚えきれるわけがありません。 そうすると、「配布に出る前に返せ」という事になっていても勝手にコピー を取る作業員が出るに決まっています。それを紛失した場合は、紛失した という事自体発覚しませんし、コピーがどこへ流出するのかわかったもので はありません。もしかしたら、今後無断で取っていたコピーの紛失が発覚 するかもしれませんね。「リストが紛失/流出してはいけない」という目的 が失われて「リストは市に返却しなければいけない」という取り決めだけが 一人歩きしたのではないでしょうか。それとも、「リストを市に返却する」 というのが規則で絶対に守らなければならないが、「リストを漏らさない」 という規則はないからどうでも良いと判断したのでしょうか。 本来配布中の紛失を防ぐためには、首からかけるホルダーを配布するなど の対策を取るべきだったでしょうね。「紛失があったら、人材センターは 入札指名停止になるかもしれない」という強さで、なくさない様に注意を 促す必要もあったかもしれません。 『規則至上主義』の問題点のお話しでした。目的を見失ってはいけません。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 4.2.2 ISMSの実施及び運用 【解説】JIS版では、「導入及び運用」となっていますが、原文では ”Implement and operate”です。辞書を見てもimplementに”導入”なん て訳はありませんし、この項はPDCAの”Do”を表現したい項なので「実施」 と表現されるべきでしょう。 規格協会の翻訳者は”introduction(導入)”と見間違えたのでしょうか? a)『リスク取扱計画』を作成して下さい。 リスク取扱計画には、リスク取扱の為にどんな事をするのか、その行動の 責任者、その行動の優先度を含めておいて下さい。 【解説】JIS版では「リスク対応計画」となっています。あまり意味は違い ませんが、原文”risk treatment plan”に忠実に「リスク取扱計画」と しました。 JIS版では、”appropriate management action”のmanagementを、 「マネジメントする人(経営者)」と訳してしまっていますが、普通に読め ば「マネジメント(管理する事)」と読んで、直訳「適切なマネジメントを 行う(為の)行動」となるでしょう。 【解説】JIS版では「優先度」が「優先順位」になっていますが、前後の つながりから考えて、「優先度」の方が意味が通じます。 b)作成した『リスク取扱計画』を実施して下さい。 これは、少なくとも4.2.1g)で決めた管理目的が達成される程度に実施され なくてはいけません。 ”実施される”という言葉には、必要な資金が用意される事や、責任者が 決められていて、その責任者に必要な権限を与えられている事までを含みま す。 c)管理目的を達成するために4.2.1g)で決めた、『管理策』を実施して下さい。 【解説】決めた管理策は、ここに「やって下さい」と書かれてなくても実施 しない事はないと思いますが...。 d)やる事に決めた『管理策(群)』が、うまく効いているかどうか調べる方法 を決めて下さい。 また、この”調べる方法”は、過去や他社とうまく比較出来るとか、調べ る人やちょっとした事によって結果が左右されない(再現性が良い)とか いうものでなければ困ります。ですから、”調べる方法”の使い方は、そこ まで使い方を決めておいて下さい。 e)訓練や意識向上のための活動、(例えば講習会、ポスター掲示、朝礼での 議題にするなど)を行って下さい。 f)ISMSで決めた事が、ちゃんと行われる様に取り計らって下さい。 g)ISMSに必要な資源(資金、設備、ソフトウェア、その他)がちゃんと 用意される様にして下さい。 h)情報セキュリティ上の事件や事故が起こったら、それに素早く気付いて、 対応の行動がとれる様に、ルールを決めたりするなど、必要な備えを行って おいて下さい。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 今のところは、編集人自ら全国に出張可能です。 ここまで
