「コンサルに言われるがままISMSやPマークの認証を取得したが、次に何をすればいいのかわからない」。このようなご相談をいただくことがあります。ISMSやPマークを取得するのは実はそう難しいことではなく、規格に沿った規程・記録類があり、最低限の対応をしていれば認証は取得できてしまいます。しかし実態としてリスク低減に繋がっていない事例は多く、事実これらの認証を取得している企業でも、大きなインシデントを起こしてしまう事例も数々存在しています。
そこでこのコラムでは、認証取得の一歩先に進み、ISMSやPMSの質のスパイラルアップを達成するために、実施すべきことを考察します。
課題検出方法の改善
「何をすべきか」ですが、これは企業ごとの状況によって異なりますので一概には言えません。
認証取得までに、新たな課題が見つかっていた場合は話が早いです。
例えばリスクアセスメントにおいて、一旦受容判断をしたリスクがある場合は、それに対応していけば良いでしょう。しかしそのような企業は、そもそも「やることがわからない」などという悩みは抱えません。
このような悩みを抱える場合は、まず「自社の課題を見つける」という活動が必要になります。
しかし、ISMSやPマークを取得したばかりの企業にとって、ただ漫然と運用を行うだけでは課題を見つけることは難しいです。今課題が見つかっていないということは、取得までのISMSやPMS運用は新たな課題の検出に繋がるような活動ではなかったということであり、その活動を継続しても当然新たな課題は見つかりません。
むしろ「適切なISMS・PMS運用ができていない」ということを前提に、課題検出方法の改善から考えていく必要があるでしょう。
例えば以下のような視点から検討することが考えられます。
リスクアセスメントの改善
リスクアセスメントの実施記録に、毎年「残留リスク無し」だけ記載されている……このような無意味な活動をしていませんか。
毎年同じ基準でリスクアセスメントを実施しても、新しい課題が見つかるはずがありません。
たとえば、社員がアカウントを共有しているWEBサービスはないでしょうか。
ログインパスワードや多要素認証の設定状況はいかがでしょうか。USBメモリで情報を持ち出されるリスクは? 重要な情報をメール添付でやりとりしていませんか? そして、このような「よくある課題」が明確にあるのに、リスクアセスメントの記録には何も書かれていない、といった不自然な状態になっていませんか。
リスクアセスメントでは、適切なベンチマークを設定し、その達成度を見るベースラインアプローチにより弱点をあぶりだしていくのが一般的です。しかしそのベンチマークも、ずっと同じ状態では陳腐化し、新たな課題検出に繋がらなくなってしまいます。
リスクアセスメントから新たな課題が検出されないと感じた場合、ベースラインの見直しの実施、さらには定期的に見直す体制整備を行う必要があります。
また、いくら立派なベースラインが出来上がっても、アセッサーの力量が不足していれば課題の検出には繋がりません。後ほど触れますが、力量のあるアセッサーを育成することも、リスクアセスメントにおいては重要なファクターです。
内部監査の改善
こちらもリスクアセスメントと近しいですが、全て○が付いた内部監査チェックシートや「指摘事項無し」とだけ記載された内部監査報告書をよく目にします。あるいは、指摘事項自体はあるのですが、「○○が情報資産台帳に特定されていない」といった、形式的な不適合しか記載されていないケースも多々あります。このようなケースは基本的に、形式的な監査しか実施されておらず、そもそも課題を検出できるような監査方法になっていない状態です。
もちろんルールから逸脱しているといった指摘も必要なのですが、意味のある課題を検出するためには、形式的にはルール通りの対応であっても、「本当に有効に機能しているのか」を確認する観点が重要です。
ISMS・PMS全体の課題検出の観点としては、事務局等、3ラインモデルにおける2線の活動の監査を強化することが考えられます。多くの企業では、2線の監査自体が実施されない、または実施されてもルールに沿った記録類が作成されているかを確認するのみで、実際のISMS・PMSが有効に機能しているかまでは確認されないケースが多いです。新たな課題を検出できる体制を整備するという意味で、この2線の監査は非常に重要です。
本来的には有効性評価自体も2線のカバー範囲ではあるのですが、適切に評価できていない可能性もあるので、内部監査員が客観的視点で有効性を確認することで、課題を検出しやすくなると考えられます。 また、個別部門に対する内部監査では、業務実態からリスクを想定して対策の有無を見ていく姿が目指すべきところです。そのためには、ただチェックシートに沿って質問していくだけではなく、詳細な業務フロー等を把握し、それに合わせてチェックシート項目を適切に解釈しながら課題を検出するような監査を実施することが求められます。それには、監査員の力量が重要です。加えて、個別業務だけでなく全社的な課題に対応する観点では、リスクアセスメント結果や、自社・他社のインシデント等と関連付けて、監査の重点目標を明確化し、監査チェックシートに反映することも有効だと考えられます。
審査で確認されなかった点の改善(PMS)
「構築・運用指針2023版の全貌」でも取り上げたように、従来のプライバシーマーク審査においては厳密に審査されてこなかった項目がいくつかあります。これらの項目について、規格に沿って愚直に取り組んでみるというのも選択肢の一つでしょう。
たとえば個人情報保護目的(目標)に関わる部分は、まさに改善に向けての施策を組み込むのにうってつけといえます。社会情勢の変化やステークホルダーの要求を含め、自社の状況を踏まえて検討することで、課題が浮かび上がり、活動目標を設定できるでしょう。
具体的な課題例
課題検出方法の改善について記載してきましたが、もっと手っ取り早く何をやればいいか知りたいというご要望もあるかもしれません。ここからは具体的に、一般的に対応が不十分になりがちな事項を記載します。もちろんあくまで一例であり、やるべきことは企業ごとの状況によって異なり、自社で見つけていく必要があることは前提です。
教育・訓練の充実
ISMSでもPMSでも従業員の力量管理が求められており、実態としては年に1度以上の従業員教育という形で実施する形が多いです。実施方法としては例えば全従業員に一律に研修動画を配信したり、テキストを配布したりという形式での実施が多く見られますが、このような教育が必ずしも効果的とは言えません。なぜなら、組織における役割や立場によって求められる力量は異なる場合があり、その力量を充足させるための教育プログラムも当然に異なるはずだからです。
裏を返せば、教育プログラムを最適化するためには、「求められる力量」を定義することが必要です。
まず最も手近な取り組みとして、従業員と管理職の2つの役割について、情報セキュリティ/個人情報保護の観点で求められる力量(能力・知識、持つべきマインド等)を考えてみましょう。
力量が具体的に定義できれば、それを充足させるための措置も具体的に検討することができます。
例えば従業員向けには基礎知識を学ぶための座学、管理職向けにはグループディスカッションやケーススタディを取り入れた演習的な研修を実施するといった、階層別教育の実施がターゲットとなるでしょう。組織形態によってはさらに多くの階層を設定しても構いませんし、業種によっては本部従業員/店舗従業員や、機密情報を直接取り扱う業務担当者など、担当業務に合わせた階層設定も有効です。
さらに一歩進めば、3ラインモデルに沿った階層別教育の実施も視野に入ってきます。
この場合はISMSやPMS上の役割に応じて、規格要求の詳細やセキュリティ対策の専門知識を身に着けるための教育プログラムを検討することが考えられます。特に前述の通り、リスクアセスメントのアセッサーや内部監査員等の力量は、課題を継続的に検出するための最重要ファクターといえます。社内研修のみではなく、外部の専門機関による研修受講や、資格の取得などを力量定義に含め、高度な力量の獲得を確実にすることも有効です。
力量の定義とそれを充足させるための措置の実施は、ISO27001でもプライバシーマーク構築運用指針でも求められている事項ですが、おざなりになっている企業が多い印象があります。
力量定義と教育プログラムの充実は、規格要求事項に沿いながら、効果的に情報セキュリティ/個人情報保護のレベルをアップさせることができる施策です。
システムセキュリティに踏み込んだリスクアセスメント
先に「リスクアセスメントや監査で課題を見つける」ことを提案しましたが、自社で情報システムを構築している場合には、システムのセキュリティに踏み込んでリスクアセスメントを実施するべきです。
ISMSの管理策はもちろんのこと、NIST SP800-53や800-171、CIS Controls、3省2ガイドライン、PCI DSSなど、世の中にはシステムセキュリティに関連する様々なベースラインがあります。それらを考慮し、セキュリティ上あるべき姿を詳細化したものをベースラインとして設定し、そこからのGAPを一つ一つ確認して改善の計画を立てていくのが理想的です。
実は2024年10月から適用されるPマーク新審査基準においても、リスクアセスメントの留意事項で、個人情報保護リスクの観点として「個人情報に係る情報処理施設及び個人情報に係る情報システム」が取り上げられています。Pマークを取得している場合は、新審査基準への対応という意味も含めて、システムへのリスクアセスメントを実施してみてはいかがでしょうか。
継続的改善実現のために…
そうは言っても現実的にはなかなか難しい……、そんな声が聞こえてきそうです。継続的課題がありすぎて優先順位が付けられない、規格で何が求められているのか理解できていない、質の高いリスクアセスメントや内部監査をする社内リソースがない。力量の定義はわからないし教育コンテンツも用意できない、システムセキュリティのリスクアセスメントを実施する知見もない……等々。
そのようなお悩みを抱えている場合は、ぜひ一度当社にご相談ください。
当社ではリスクアセスメントや内部監査の支援をはじめ、階層別教育のご提案および実施や、ISMS/PMSの運用見直し・改善サービスを提供しています。情報システムのセキュリティを対象としたリスクアセスメントについても豊富な知見を有しております。ISMSやPMSの質を高めたいとお考えの皆様のお問い合わせをお待ちしております。