何を、どこまで対策すれば良いのか?情報セキュリティリスク管理の最適化

pmark-anchor 2009年9月11日 金曜日

 

何を、どこまで対策すれば良いのか?情報セキュリティリスク管理の最適化

 

個人情報保護アドバイザーの目木知明です。

本日は情報セキュリティコンサルタント 岸本雅美のコラムをお届けします。

 

JISQ15001要求事項では個人情報の取扱い局面に想定されるリスクを洗い出すことが求められる。

一般的にはライフサイクル毎に個々のリスクを特定する作業を進めることになるが

業務が多岐にわたる場合や委託が複数発生する場合は作業手間がかかることになる。

さらにリスクはゼロにならないという前提があるため、リスクに相応した安全管理措置を検討する場合、

当然ながら経済合理性も考慮する必要がある。

また何を残存(残留)リスク又は受容リスクとして管理するかの見極めも必要となる。

そのため“リスクアセスメント結果”に対する“管理策”の妥当性や合理性は判断が難しいところだろう。

「何を、どこまで対策すれば良いのか?」よく聞かれる質問でもある。

 

ひとくちにリスクといっても漏えい、滅失、毀損等だけでなく目的外利用やその結果の本人への影響。

インシデントが発生した場合は、当然ながら会社としての信用失墜による

営業機会の損失や再発防止に向けた投資や損害賠償等、経済的な損失もある。

さらに、過失であれ、確信犯であれ法令違反という事態も考えられるだろう。

つまり、すべてのリスクを捕捉しコントロールすることは容易なことではない。

では、こうしたリスクをいかに管理するのが合理的であろうか。

 

情報セキュリティマネジメントにおいてはCIAという考え方をベースにリスクを数値化するのが一般的であるが

対象が情報資産管理ではなく、個人情報保護の場合には不足が生じる。

これは個人情報となる当該本人の権利利益を保護するという考え方が基本となるからである。

そのため洗い出されたリスクをリスクマトリクスとしてマッピングすると全体像がつかみやすい。

仮に縦軸を影響度、横軸を発生確率とした場合

影響度合いは機密性×件数、発生確率は利用者数×利用頻度といった尺度を考慮すると

おおよそのリスクレベルは把握することができる。

この結果から対応すべきリスクの優先順位付けが可能となるだろう。

 

こうすることで何が見えてくるか。

それはリスクに対する管理策の妥当性、合理性である。

個人情報保護においてはIT対策だけではすべてをカバーできない。

インシデント発生による影響度でみれば情報セキュリティ対策が優先されるべきは周知の事実であるが

一方で、人的ミスや盗難・紛失、不正行為による事件も多発している。

選択された対策がリスクレベルに対して最適な管理策となっているか。

その管理策が実効性をもって機能しているか。

極論すれば、管理策の多重化、高機能化といった見直しも考えられる一方で

過剰対策による運用負担については負荷軽減という見直しもある。

まずはリスク管理状況が適切かどうかを5W2Hという視点で再評価してみることで

次のステップ(スパイアルアップ)へ進むきっかけになるのではと考える。

 

(補足)

「ISO/IEC 27005:2008 情報セキュリティリスクマネジメント」では

国際標準化機構(ISO)と国際電気標準会議(IEC)が新たに策定した

「ISO/IEC 27005:2008」はリスク管理プロセスと情報セキュリティ管理にかかわる作業を規格化し

情報セキュリティリスク管理向けのガイドラインを提示するとともに

ISMS規格の「ISO/IEC 27001:2005」で規定された一般概念を補足している。

このISOの情報セキュリティリスク管理プロセスは、組織全体に適用できる。

組織内の各グループ(例:部門別,所在地別,担当サービス別など)やあらゆる情報システム、

既存または計画中、特定の状況にある体制(例:事業継続計画)に当てはめられる。

 

とある。

 

2009.0911 情報セキュリティコンサルタント 岸本雅美

コメントは受け付けていません。