|
前回のリスク分析の項で書いたとおり、把握できないリスクは対応策を施しようがありません。どのような企業も一定のセキュリティ対策はとっていると思いますが、果たしてそれはリスクマネジメントの結果としてのセキュリティ対策でしょうか?つまりリスクアプローチをしているかどうかが問題なのです。
■ 遊園地での事故を考える
例えば、先日起きた遊園地の遊戯施設での事故を例に見ると、経営の中、つまりガバナンスの基本的な仕組みの中にリスクマネジメントの観点が欠如しているように思えます。
「お猿の電車」よりも「着席ジェットコースター」の方が固有リスクが高く、「立ち乗りジェットコースター」はさらに固有リスクが高いことは明らかです。 「立ち乗りジェットコースター」で車軸が折れた場合、乗客の生命、身体の安全が損なわれるかも知れないリスクは極大であり、事故が起きる可能性は、交換せず10年以上使い続けたぜい弱な設備環境では、かなりの高い頻度でその脅威が発生しそうだと判断できます。
更に新聞等で伝えられる状況が正しいものとすれば、ぜい弱なメンテナンス体制や製造メーカーが倒産していることも大きなリスクです。
安全管理責任者が「この遊戯施設でいったん事故が起きれば人命が損なわれる。」という自明のリスクを把握していれば、プリミティブメンテナンスや定期部品交換、JIS規格の適用などの安全管理策を適用し、リスクを下げることによって、事故はかなりの確率で回避されていたと思います。
事故を起こしてしまうと、企業として、存続の危機に陥ることは自明であり、この観点からもリスク管理の視点が欠如していたと言わざるをえません。
■ JIS Q15001:2006が求める、リスクに対応した適正管理
情報セキュリティに話しを戻しましょう。
JIS Q15001:2006が求める、リスクに対応した「適正管理(安全管理)」とはどのようなものでしょうか。JISは適正管理を次の4項を統合して実施することによって達成することを求めています。
3.4.3.1 正確性の確保・・・入力チェックや、バックアップをとり、個人情報の正確性を確保すること。
3.4.3.2 安全管理措置・・・リスクにたいして適正な管理策を適用し、安全管理をおこなうこと。
3.4.3.3 従業者の監督・・・安全管理に関する従業者の監督をおこなうこと。
3.4.3.4 委託先の監督・・・安全管理に関する委託先の監督をおこなうこと。
今回の主題である「安全管理措置」に関して、JISは分野別の個人情報保護のガイドラインの第20条「安全管理措置」の項を参考にすることを求めています。
■ 経済産業分野のガイドラインにおける安全管理
例えば経済産業分野のガイドラインにおける安全管理は以下の4分野で述べられています。
(1)組織的安全管理措置
(2)人的安全管理措置
(3)物理的安全管理措置
(4)技術的安全管理措置
| 経済産業分野のガイドライン 安全管理措置 |
 |
|
「組織的安全管理措置」と「人的安全管理措置」はセキュリティシステム(安全管理)のマネジメントレベルのことが述べられており、「物理的安全管理措置」と「技術的安全管理措置」は個別具体的な安全管理の仕組み例が述べられています。これらの管理措置の事例の中から、リスクを低減するための管理策を選択し、適用するのです。
■ リスク低減の把握の仕方
リスク低減の把握の仕方は次のような例が考えられます。
【ケース1】 適切な管理策を適用するケース
対策→ 管理策を適用して、発生の可能性、影響度を下げ脆弱性を改善する
【ケース2】 リスクを保有(受容)するケース
対策→ リスクからの損失を負担したり、メリット(費用効果)を受容する
【ケース3】 リスクを回避するケース
対策→ 適切な対応策や経済合理性が認められない場合データを廃棄したり、業務を停止しリスク発生を回避する
【ケース4】 リスクを移転するケース
対策→ 契約等によりリスクを他に移転する方法、アウトソーシング、保険等
|
|
つまりリスクは様々な方法で対応、低減することが可能であり、またコントロール(マネジメント)すべき対象であるということです。
リスク発生の可能性と影響度は次のような相関図で表すことができます。
上記の【ケース1】について、具体的に例を挙げて考えてみましょう。
個人情報を「搬送」する際の「紛失リスク」に対する安全管理策は、
「発生の可能性を下げる」・・金属製のケースに入れ施錠し身体から離さない状態で2点間を直接移動する。
「影響度を下げる」・・・・・暗号化等の秘匿化によって、万一の紛失の際の影響度を下げる。
このようにリスクは「発生の可能性」、「影響度」を低減するか、「脆弱性」の改善を行うことによってマネジメント可能になります。
|
