全社リスクマネジメント、何か参考になる指針は?

pmark-anchor 2009年9月15日 火曜日

 

こんにちは、リスクマネジメントアドバイザーの目木知明です。

朝夕、たいへん涼しくなってきました。秋の気配を少しずつ感じる今日この頃です。

 

さて本日は、これから全社のリスクマネジメントに取り組まれる

企業のご担当者さまからの問い合わせでよくある相談内容です。

 

「体制の構築で何か参考になる指針はありますか?」

 

この内容の相談が多いです現状です。

 

実際に全社のリスクマネジメントといっても、かなり漠然しているものなので

何から手をつけて良いか解らないというのが現状ではないでしょうか!

 

わたくしが全社のリスクマネジメントで基本(ベース)にする考え方は

「JISQ2001 リスクマネジメントシステム構築のための指針」を

基点に体制構築を推し進めています

 

ここで簡単にJISQ2001の内容を説明します。

JISQ2001とは、企業活動上のリスクをコントロールするための指針で

2001年3月に「リスクマネジメント構築の為の指針」として制定されました。

企業の不祥事、災害、メンタル不全、情漏漏洩など

企業・組織・ステークフォルダにとってマイナスの影響を与えるものを

洗い出し(リスクの特定)、顕在化している部分への低減活動および

緊急事態が発生した場合の措置についてPDCAサイクルで定義しています。

 

 

また、この指針は、リスクマネジメントを組織的に実行していくための

枠組み(フレームワーク)を提供するとともに

どのような種類及び規模の組織にも適用できるように作成されています。

 

これから本メルマガにおいてもJISQ2001の解説も行っていきたいと思っています。

是非、これから全社リスクマネジメントに取り組まれる方はJISQ2001をご参考とされてはと思います。

 

本日はこのあたりで。

 

 

何を、どこまで対策すれば良いのか?情報セキュリティリスク管理の最適化

pmark-anchor 2009年9月11日 金曜日

 

何を、どこまで対策すれば良いのか?情報セキュリティリスク管理の最適化

 

個人情報保護アドバイザーの目木知明です。

本日は情報セキュリティコンサルタント 岸本雅美のコラムをお届けします。

 

JISQ15001要求事項では個人情報の取扱い局面に想定されるリスクを洗い出すことが求められる。

一般的にはライフサイクル毎に個々のリスクを特定する作業を進めることになるが

業務が多岐にわたる場合や委託が複数発生する場合は作業手間がかかることになる。

さらにリスクはゼロにならないという前提があるため、リスクに相応した安全管理措置を検討する場合、

当然ながら経済合理性も考慮する必要がある。

また何を残存(残留)リスク又は受容リスクとして管理するかの見極めも必要となる。

そのため“リスクアセスメント結果”に対する“管理策”の妥当性や合理性は判断が難しいところだろう。

「何を、どこまで対策すれば良いのか?」よく聞かれる質問でもある。

 

ひとくちにリスクといっても漏えい、滅失、毀損等だけでなく目的外利用やその結果の本人への影響。

インシデントが発生した場合は、当然ながら会社としての信用失墜による

営業機会の損失や再発防止に向けた投資や損害賠償等、経済的な損失もある。

さらに、過失であれ、確信犯であれ法令違反という事態も考えられるだろう。

つまり、すべてのリスクを捕捉しコントロールすることは容易なことではない。

では、こうしたリスクをいかに管理するのが合理的であろうか。

 

情報セキュリティマネジメントにおいてはCIAという考え方をベースにリスクを数値化するのが一般的であるが

対象が情報資産管理ではなく、個人情報保護の場合には不足が生じる。

これは個人情報となる当該本人の権利利益を保護するという考え方が基本となるからである。

そのため洗い出されたリスクをリスクマトリクスとしてマッピングすると全体像がつかみやすい。

仮に縦軸を影響度、横軸を発生確率とした場合

影響度合いは機密性×件数、発生確率は利用者数×利用頻度といった尺度を考慮すると

おおよそのリスクレベルは把握することができる。

この結果から対応すべきリスクの優先順位付けが可能となるだろう。

 

こうすることで何が見えてくるか。

それはリスクに対する管理策の妥当性、合理性である。

個人情報保護においてはIT対策だけではすべてをカバーできない。

インシデント発生による影響度でみれば情報セキュリティ対策が優先されるべきは周知の事実であるが

一方で、人的ミスや盗難・紛失、不正行為による事件も多発している。

選択された対策がリスクレベルに対して最適な管理策となっているか。

その管理策が実効性をもって機能しているか。

極論すれば、管理策の多重化、高機能化といった見直しも考えられる一方で

過剰対策による運用負担については負荷軽減という見直しもある。

まずはリスク管理状況が適切かどうかを5W2Hという視点で再評価してみることで

次のステップ(スパイアルアップ)へ進むきっかけになるのではと考える。

 

(補足)

「ISO/IEC 27005:2008 情報セキュリティリスクマネジメント」では

国際標準化機構(ISO)と国際電気標準会議(IEC)が新たに策定した

「ISO/IEC 27005:2008」はリスク管理プロセスと情報セキュリティ管理にかかわる作業を規格化し

情報セキュリティリスク管理向けのガイドラインを提示するとともに

ISMS規格の「ISO/IEC 27001:2005」で規定された一般概念を補足している。

このISOの情報セキュリティリスク管理プロセスは、組織全体に適用できる。

組織内の各グループ(例:部門別,所在地別,担当サービス別など)やあらゆる情報システム、

既存または計画中、特定の状況にある体制(例:事業継続計画)に当てはめられる。

 

とある。

 

2009.0911 情報セキュリティコンサルタント 岸本雅美

リスク戦略、「リスク低減」「リスク回避」「リスク移転」「リスク保有」

pmark-anchor 2009年9月1日 火曜日

 

こんにちは、リスクマネジメントアドバイザーの目木知明です。

今日から9月です、急に涼しくなってきました。

季節の変わり目は風邪を引き易いですが気をつけてください。

こうコメントしている私ですが、本日少し鼻声です。。。

 

さてさて、本題にはいります。

本日は、リスクマネジメントを行う上で、「リンク戦略」が大変重要になります。

 

まず、リスク戦略とは、これから対策に取り組むべきリスクを選定した後、

選定された個々のリスクについて今後の戦略を検討する必要があります。

この戦略こそがリスク戦略であり、洗い出した個々のリスクについて

現在の状況(発生確率、影響度等)を分析し、その結果を踏まえて

当該リスクに対してとるべき戦略を決定することを言います。

 

企業がとるべきリスク戦略には、

「リスク低減」、「リスク回避」、「リスク移転」、「リスク保有」があります。

下記、リスク戦略の内容についてまとめます。

 

・リスク低減とは

特定のリスクに関する確からしさもしくは発生確率、好ましくない結果

又はその両者を低減する行為。

すなわち、リスクの発生頻度を低減させる「リスクの予防・防止」、

影響度を低減する「リスクの軽減」の観点からリスクをコントロールするものです。

リスク低減はリスク戦略の中で最も多く採用される戦略で、

企業が自ら積極的にリスクを低減させる戦略です。

 

・リスク回避とは

リスクのある状況に巻き込まれないようにする意思決定又はリスクのある状況から撤退する行動。

つまり、リスクを伴う業務をすべて中止するということです。

リスク回避戦略により、リスクはゼロとなります。

リスクをゼロにすることは究極的なリスク戦略ですが、同時に得られるリターンもゼロになる点に注意が必要です。

企業が営利を目的として設立されている以上、リスクを回避することで営利活動を阻害してしまう恐れがあります。

 

・リスク移転とは

特定のリスクに関する損失の負担を他者と分担すること。

リスク移転は保険や契約によって行われる場合が多いようです。

例えば、リスクの顕在化により被ることが予想される損害額を算出し、

その金額と同等の保険をかけるという対応は、保険会社へのリスク移転を意味します。

 

・リスク保有とは

特定のリスクに関する損失の負担の享受。

ここで注意したいのは、リスクを享受することもリスク戦略となることです。

つまり、リスクの発生頻度が低く、影響度が小さなリスクについては、

何がなんでもリスク対策を講じる必要はないということです。

そのようなリスクについては、あらかじめリスクを保有することを宣言し、

無駄なコストは発生させないことが費用対効果の観点からも有用となります。

 

下記に、リスク戦略のイメージ図を表現してみました。

今後の統合的な事業リスクマネジメントのご参考にしてください。

 

 

本日はこのあたりで。

JIS要求事項:3.7.1 運用の確認 どれくらいの頻度で実施すればいいの?

pmark-anchor 2009年8月28日 金曜日

 

こんにちは、個人情報保護アドバイザーの目木知明です。

 

高校野球の終わりと同時に急に涼しくなってきました。

 

先日は、わたくしのクライアント様が

高校野球の決勝戦が是非見たい!ということで

一緒に球場観戦していたのですが、すごい試合に遭遇しました!

9回表2アウトから6点差を追う日本文理は驚異的な粘りで

1点差の10-9まで追い上げる熱戦でした、

 

何事も最後まで諦めてはいけない!

と云う事を改めて感じさせてもらいました。

高校球児に感謝です。

 

さてさて、本題にはいります。

 

最近、プライバシーマークの担当者が

新規申請の時から見て、変更されている企業が多い状況です。

 

今後、このコラムにおいて

よくある質問と回答を一問一答シリーズとして

お伝えしていきたいと思っています。

是非、今後の取組みの参考にしてください。

 

●本日の質問

JIS要求事項:3.7.1 運用の確認

全部門、同じ頻度で点検を行わなければならないの?どれくらいの頻度で実施すればいいの?

 

事例を含めた、わたくしの考え方です。

 

特定した個人情報の重要性単位で運用確認の頻度を行うことがベストと考えています。

例えば、受託で個人情報の処理を行っている企業で、クライアントから支給された個人情報が

もっとも重要な個人情報のため、毎月運用の確認を行っている企業もあります。

 

この企業の場合、受託処理する以外の部署は3ヶ月単位での点検となっています。

個人情報の重要性、漏洩などの問題発生時の経営ダメージと合わせ(損失の把握)

運用確認の頻度を定められることが良いかと思います。

 

今後も、一問一答をお届けしますので

PMSの運用の参考となればと考えます。

 

本日はこのあたりで。

 

2009.0828

個人情報保護アドバイザー 目木知明

 

更新への不安。問題は言うまでもなく、その”不安”の中身である。

pmark-anchor 2009年8月18日 火曜日

 

本日は情報セキュリティコンサルタント 岸本雅美のコラムをお届けします。

 

「プライバシーマーク更新への不安。問題は言うまでもなく、その”不安”の中身である。」

 

新JIS移行後、初めての更新を控えとき、その準備に”不安”はつきものであるが

問題は言うまでもなくその”不安”の中身である。

 

JISQ15001:2006の要求事項は多岐に亘るため

PMS(個人情報保護マネジメントシステム)の運用レベルに

かなりのバラツキが見受けられる。

 

特にマネジメントシステムの運用が”属人的”になっている場合

組織としての取り組みが不十分というケースがある。

 

マネジメントシステムの構築時にはプロジェクトメンバーが中心となって作業を進めるため

その中核組織である個人情報保護委員会にノウハウが蓄積され

PDCAは一定レベルで有効に機能している。

 

しかし、時間と伴にメンバーの意識も低下する傾向があるのではと感じる。

また事業や組織の変化により担当者が入れ替わったりすると

これまで”属人的”に支えてきたノウハウまでが失われ

最悪の場合、組織としての取り組みに機能不全を起こす。

 

しかし、こうした結果は事前に予測できる範囲であり

“マネジメントシステムの形骸化”というリスクを

いかに回避するかという意味での見直しもできたはずである。

 

が、現実は担当者に過度の負担を強いながら

更新準備(辻褄合わせ)が進められるというケースも少なくない。

 

まずは現状をしっかり把握することが必要である。

更新はあくまで通過点でありゴールではない。

 

見直しは組織的な取り組みでなければ意味が無く

PMSの変化情報(リスク、管理策、文書、エビデンス等)を全社から吸い上げ

 

PMSが自社の実態に最適化されているかについて再評価が必要となる。

PDCAサイクルにおいては特にACT(見直し・改善)フェーズが重要であろう。

 

当然、その有効性評価も必要となる。

 

PMSはトップダウンのマネジメント事項である。

また会社にとって有用な財産であり、リスクマネジメントの一環として

効率的に、かつ効果的に最適化していくことは

経営品質を高め、信頼性のバックボーンとなり得る。

 

プライバシーマーク更新という通過点に再認識すべきは

書類作りではなく積極的な経営関与であり組織関与であると考える。

 

2009.0818 情報セキュリティコンサルタント 岸本雅美

 

構築、運用のキーマン!貴社にリスクマネージャーはいますか?

pmark-anchor 2009年8月17日 月曜日

 

こんにちは、リスクマネジメントアドバイザーの目木知明です。

今年はお盆からカンカン照りが続きましたね。熱中症にはご注意くださいませ。

 

さて、本日はリスクマネジメント体制構築の組織作りについてお伝えしたいと思います。

 

全社統合的なリスクマネジメント体制をシステムとして運用するためには

まずそのための組織体制を整える必要があります。

 

体制は、一般的には経営トップ(経営会議メンバー及び取締役会メンバーを指す)の中から、

CRO(Chief Risk officer)が選任され、CROを委員長とするリスクマネジメント委員会を設置します。

 

この委員会は全社のリスクマネジメントに関する承認、諮問機関として

各部門や部署のリスクマネジメントを統括します。

また委員会の事務局として、実務面の統括機能を果たすのが「リスク管理部署」です。

そして「リスク管理部署」に所属するリスクマネージャーが

全社のリスクマネジメント体制の“キーマン”になります。

 

リスクマネジメント活動そのものを実施する主体はあくまでも各部門や部署であり、

「リスク管理部署」や「リスクマネジメント委員会」は

全社のリスクマネジメントの推進及び統括の役割を担います。

 

リスクマネージャーが委員会や推進の中心となりますので

全社のリスクを、全て把握・コントロールする指揮者表現しても良いでしょう!

 

最後に、全社システムのフレームワーク、体制を整えることによって

全社のリスクマネジメントを統括する仕組みができたことを社内外に明確に示すことが可能になります。

 

特にリスクマネジメントシステムの体制を整えることは、

社外(ステークホルダー)に対するアピールという意味でも重要です。

 

下記はリスクマネジント体制組織図の一例です。

ご参考にしてください。

http://www.risken.net/erm08.asp

 

本日はこのあたりで。

情報セキュリティの不備と会社役員の責任

pmark-anchor 2009年8月10日 月曜日

 

本日は情報セキュリティコンサルタントの岸本雅美がお届けします。

 

情報セキュリティの不備と会社役員の責任

 

一連の情報漏えい事故を振り返ってみると

相変わらず情報セキュリティに起因するものが多い。

事故件数でみれば人的ミス(ヒューマンエラー等)が多くを占めるが

流出した場合の個人情報の件数となると

電子情報の場合が圧倒的であり、影響もまた甚大である。

つまり情報セキュリティに係わるリスク対策が

最優先事項のひとつであることは事故結果をみても明らかだ。

しかし現状は、この情報セキュリティの不備の間隙を狙って

情報は持ち出され、流出し、被害を発生させている。

 

経済産業省の『情報セキュリティ関連法令の要求事項集(平成21年6月)』では

この問題について経営責任という視点で法律との関連性を解説している。

 

「情報セキュリティに関する体制が不備であるため、情報の漏えい、改ざん又は

滅失(消失)若しくは毀損(破壊)によって会社又は第三者に損害が生じた場合、

会社の役員(取締役・監査役等)は、どのような責任を問われ得るか」

 

という点については以下のような考え方を示している。

 

―――――――――――――――――――――――――――――――――

取締役会が決定した情報セキュリティ体制が、当該会社の規模や業務内容に

かんがみて適切でなかったため、情報の漏えい等により会社に損害が生じた

場合、体制の決定に関与した取締役は、会社に対して、任務懈怠(けたい)

に基づく損害賠償責任(会社法第423条第1項)を問われ得る。

また、決定された情報セキュリティ体制自体は適切なものであったとしても、

その体制が実際には定められたとおりに運用されておらず、取締役(・監査

役)がそれを知り、又は注意すれば知ることができたにも関わらず、長期間

放置しているような場合も同様である。

個人情報の漏えい等によって第三者が損害を被ったような場合、取締役・監

査役に任務懈怠につき悪意・重過失があるときは、第三者に対しても損害賠

償責任を負う。

―――――――――――――――――――――――――――――――――

 

説明としては

 

―――――――――――――――――――――――――――――――――

・取締役は、内部統制システムの構築義務の一環として、情報セキュリティ

体制を構築する義務を負うと解される。

・取締役会で決議された内部統制システムが、当該会社の規模や業務内容に

鑑みて、株式会社の業務の適正を確保するために不十分であった場合には、

その体制の決定に関与した取締役は、善管注意義務(会社法第330条・民法

第644条)違反に基づく任務懈怠(けたい)責任(会社法第423条1項)を

問われ得る。

・内部統制システムは適切なものであったが、その内部統制システムが実際

には遵守されておらず、取締役(・監査役)がそれを知り、又は注意すれば

知ることができたにも関わらず、それを長期間放置しているような場合にも、

善管注意義務違反に基づく任務懈怠責任を問われ得る。

・情報セキュリティ体制の構築又はその運用に欠陥があり、情報の漏えい等に

よって会社に損害が生じたときは、取締役(・監査役)は、以上の理由に基

づき、責任を負うことがあり得る。

―――――――――――――――――――――――――――――――――

 

また取締役(・監査役)が、悪意・重過失により、適切な情報セキュリティ体制を

構築せず、又は体制が適切に運用されていないのにこれを是正するのを怠った

場合に、個人情報の漏えい等によって第三者が損害を被ったときは、取締役

(・監査役)は、当該第三者に対しても責任を問われ得るとある。

 

これらは情報セキュリティリスクと経営責任を明確に示した一例であるが

コンプライアンス経営が強く求められる昨今において

また情報セキュリティガバナンスの効率性や有効性を高める意味においても

『情報セキュリティ関連法令の要求事項集』は極めて有用な資料と考える。

 

2009.08.10 岸本雅美

 

アクセス権限を有するユーザーの管理について

pmark-anchor 2009年8月6日 木曜日

 

先日、このような事件があった。

住友生命、従業員1652人分の個人情報がWinny流出

 

住友生命保険は29日、退職者を含む同社従業員の個人情報が

ファイル交換ソフト「Winny」のネットワーク上に流出したと発表した。

従業員のPCがウイルスに感染したことが原因。

 

流出したのは、2005年9月から2009年6月までに

同社横浜支社に在籍していた1652人の

氏名、生年月日、性別、所属、入退社年月日など。

 

該当者には個別に事情説明とお詫びをするとしている。

なお、顧客情報は一切流出していないという。

 

住友生命保険によれば、流出元となった従業員は

業務資料を作成するために、これらの情報を自宅のPCに保存。

その後、Winnyを介してウイルスに感染した。

同社は社内情報を社外に持ち出すことを禁止していた。

 

とコメントしている。

 

この事件について考察してみたい。

 

そもそも従業者1652名分の個人情報を取得できる立場は

アクセス権限管理上ではサーバやデータベースへアクセスすることを

許可された正規ユーザーであったのではと考える。

 

業務処理を行うための正規ユーザーでなければ、

個人情報の固まりへはアクセスできないハズである。

 

コメントでは、社内情報を社外に持ち出すことを禁止(内部規程に明文化)していたとあるが

おそらく日常業務が忙しく、週末などで自宅で作業を行おうと思い、

電子メールやUSBメモリ等で持ち出したのでは・・・と考える。

 

本来の管理は、定期的な点検で

メールログやUSBログについて確認し不適切な行為がないか

チェックする体制が必要である。

 

しかし、できていなかった・・・

おそらく、権限を与えられた管理者(者)だから、大丈夫だろう!

と点検が疎かになっていたのではないだろうか。

 

多くの企業で処理についてログを取得しているが

その作業内容が適正か不適正かを点検することが

実施出来ているのだろうか?

 

できていない場合、管理者(例えば情報システム管理者など)が寝返れば

個人情報の漏洩はたやすくできてしまう!とも言い換えられる。

 

特に、情報システム管理責任者の作業内容、

データベースにアクセスし大量の個人情報を操作できる者の行為については

上席のものが作業を行っている企業が多いが、

作業(行為)の点検は不可欠である。

点検機能が無い場合、管理者が寝返れば終わりである。

 

アクセス管理、アクセスログの取得、点検は

個人情報管理の中枢的な役割であるが、

対外的に十分点検できているとコメントできる企業は何社あるのだろうか。

 

本日はこのあたりで。

 

不祥事の連鎖

pmark-anchor 2009年8月1日 土曜日

 

本日は情報セキュリティコンサルタントの岸本雅美がお届けします。

 

不祥事の連鎖

 

金融機関からの情報流出が止まらない。

さらに、2次被害の発生・拡散は社会的な信用不安に繋がるため

最優先すべきリスクマネジメント事項であることは言うまでもない。

では何故こうした事件が無くならないのかという疑問に突き当たる。

 

リスクマネジメント視点で見れば

予見されるリスクに対しては、その影響度や発生の可能性を考慮した

リスクの回避、低減、移転あるいは受容という対策が一般的だ。

多くの場合はリスク低減措置に力点が置かれれるが

リスクがゼロになることはない。

想定されるリスクの規模に相応した管理策が選択され

かつ、その有効性がしっかりと検証されているかがポイントとなる。

 

クライシスマネジメント(危機管理)視点で見れば

顕在化したリスク(情報漏えい)に対して

被害の極小化が大きなテーマとなるが

クレジットカード情報の流出による不正使用の被害は最悪のケースである。

さらにA社Webサイトにはクレジットカード情報に関する

便乗詐欺の注意喚起がされている状況だ。

このままでは事態の収束まで相当の時間を要するだろう。

 

今回の事件は情報漏えいだけにとどまらず

2次被害の発生という最悪のシナリオが進行している。

オンラインでの保険契約者のクレジットカード情報が流出したことは

多くのネット利用者に衝撃を与えている。

まだ流出経路についての原因究明は継続中ではあるが

顧客情報のテストデータが流出した可能性との報道もある。

となればテストデータが“実データ”だったことになる。

 

いずれにせよ金融機関からの情報流出はあってはならない事態だ。

「信用」「信頼」に裏打ちされてこそ成り立つサービスであり

その前提条件が崩れることは会社の存続そのものをを脅かす。

リスク予見とリスクに見合う管理策の選択が適切であったか。

また、リスクが顕在化した際の“顧客利益の保護”は最善であったか。

仮に内部不正による情報流出の場合であれば

オペレーショナル・リスク管理の有効性は担保されていたのか等々。

“範”となるべき業界としての真摯な対応を期待したい。

 

2009.08.01 岸本雅美

損失の把握

pmark-anchor 2009年7月31日 金曜日

 

本日は損失の把握の重要性について記載します。

まず、損失とはリスク(不確実な事象)が発生した際に、

企業(又は組織)が受ける被害(金額やイメージダウンなど)が損失となります。

しかし、実際のところ多くの企業でこの損失が明確になっていないことが多い現状です。

 

先日、とある企業の広報部の方からお問い合わせを頂きました。

お電話の内容はこのような感じです。

 

広報担当者

『危機・問題が発生した際の広報対応についてレクチャー頂きたいのですが?』

 

『リスクは沢山ありますが、リスクの優先順位、損失の把握は明確でしょうか?

リスクの重要度、損失の大きいものに合わせて広報対応していきます。

例えば、問題が発生した際のリスク度合いに合わせて

記者会見レベルなのか書面による広報のみで良いのか

リスクの重要度(=損失の状況)に合わせたシミュレーションが必要と考えます。

 

広報担当者

『そこまで考えておらず、上司に言われるままに

広報部のリスク対応についてレクチャーしてくれる企業をさがしていました。

おっしゃる通り、リスクの優先順位が決まっていないのに

広報対応のレクチャーを受けてもあまり意味が無いですね・・・ もう一度社内で調整します』

 

とのことでした。

 

この問い合わせを頂いた企業の大きな問題は、

広報部とリスクマネジメント部門のコンセンサスが取れていないことです。

 

リスクの優先順位付けは損失の大きさによると言っても良いと思います。

会社法においても『損失の危険の管理に関する規程その他の体制』の構築が

要求されています。

 

最後に、事業全体のリスクマネジメントへの取組みスタートは

リスクの優先順位付け、損失の把握から始まります。

 

本日はこのあたりで。