セミナーリフレクション『「認証維持できれば良いという時代は終わった！　新時代の情報セキュリティマネジメントシステムを考える』

１．セミナー『認証維持できれば良いという時代は終わった！　新時代の情報セキュリティマネジメントシステムを考える』を開催しました

10月13日（金）、JISQ27001:2023とJISQ15001:2023の同時発行を記念してウェビナーにて「認証維持できれば良いという時代は終わった！　新時代の情報セキュリティマネジメントシステムを考える」と題したセミナーを開催し、無事終了いたしました。

時間の制約上、お話しきれなかったこともありますので、セミナー概要とともにここに掲載いたします。ご参加いただけた方は振り返りに、ご参加いただけなかった方にはアーカイブ的にご覧いただければ幸いです。個人的には客観的な振り返り（内省）の場であることをお許しください。

まずセミナーでお話したテーマとしては、

• 個人情報保護法とプライバシー
• JISQ27001:2023の改訂ポイント
• ISO/IEC27002:2022の改訂ポイント
• JISQ150001:2023の改訂ポイント
• サイバーセキュリティ概念
• インシデントからの学習
  

２．一番お伝えしたかったこと

一番お伝えしたかったことは、「法令や規格があって、皆さんのISMSやPMS活動があるのではなく、まず皆さんの事業活動や日常業務があって、そこにISMSやPMSの要求事項を適合させていくこと」です。また機会を改めて、内容の深堀をさせていただければと思います。その際はぜひお付き合いください。

よく法改正や規格改訂があるとお問い合わせをいただく内容に「新しいISMS文書（or PMS文書）の雛形は、いつ頃もらえますか」というのがあります。これが、まさにISMSやPMS活動と本業が分離している状態です。日常業務の他にISMSやPMSの仕事があるということで、特にISMSの規格要求事項に照らすと不適合といってもいい状況なのです。そもそもISMSの2013年改訂（JIS化は2014年）でMS（マネジメントシステム）部分を共通文書化したのも、複数のISO規格の運用負担の軽減とともにマネジメントシステムの形骸化を是正するためでした（MS運用が認証を維持するための仕事と化している）。

たとえば、2020年から3年くらい続いたコロナ禍において、多くの組織でテレワーク運用が当たり前のように普及し、制限解除後もテレワークが減少するようなことは起きていません。このテレワーク対応は、従来のISMS運用における重大な変化といってもいいもので、JISQ27001:2023で新設された6.3 変更の計画策定の対応が必要なことだったはずです。にもかかわらず当たり前のようにテレワーク対応されましたよね。規格改訂を先取りしていたじゃないですか（事業活動が規格改訂より先行しています）。

また昨年の4月1日に個人情報保護法の改正がありました。この際、不適正利用の禁止・仮名加工情報・個人関連情報が新設されました。しかしながら、これらの規定を新設する前提となったのはJapan Taxi事件やリクナビ事件、DMP（Data Management Platform）を取り巻くパーソナル情報の取扱いの曖昧さの問題などを焦点に、前回の改正からの3年後の見直し審議で制定されたものです。

つまり、法律や規格は私たちの日常生活や事業活動の後追いなのです。

３．コンプライアンスとは

コンプライアンスとは法令順守と訳され、不祥事を起こした企業の経営者が記者会見で「これからはコンプライアンス体制の強化に努めます」が常套文句になっていますが、法令違反したから今後は法令を守りますと言っているように聴こえます。

たとえば、コンプライアンスとは何ですか？　という問いかけに対して、次のようなことを回答する経営者がいたら、皆さんはどう感じますか？

• 当社では、法律に書いていないことはやってもよい
• 当社では、法律に書いていないことはやってはいけない
• 当社では、法律を守っているなら何をしてもよい

附属書Ａに「5.31 法令、規制及び契約上の要求事項」という管理策があります。この要求事項に照らして、①～③の経営姿勢は要求事項に適合していると言えるでしょうか？

契約も要求事項と言っている以上、上記の法律を契約書に置き換えて考えてみるとよりモヤモヤが解消するのではないでしょうか。

契約書に書いていないことをやったらどうなるか、逆に契約書に書いていないことは一切やらなかったどうなるか、契約書の内容に書いてあることなら何をしてもよいのか。

契約は何のために作成するのかといえば、言った言わないの契約トラブル（水掛け論）になるのを避ける、不動産など高額な財産取引においては、取引の安全性（二重売買や詐欺の防止など）を考慮して、不動産業法や宅地建物取引業法で行政機関が監督規制をしているのです。コンビニで買い物をするときに契約を意識しますか？　コンビニの買い物も不動産の購入も同じ売買契約である点は同じです。

契約に書いていないことをやったら問題が発生しそうです。逆に契約に書いていないからできませんと拒むのもケースバイケースですが問題が発生しそうです。不正疑惑を持たれた政治家が「法律を守っている（法律に違反するようなことはやっていない）から問題ない」とコメントすると、「政治家としての道義的責任は感じないんですか」と記者の突っ込みを無視しますが、こうしたモヤモヤに似ています。

JISQ15001:2023は個人情報保護法を取り込んでいるという前提なので、Ｐマーク取得＝法令順守というロジックになりそうです。しかしながら、個人情報の漏えい等が発生すると、それは法令違反の状態となります。Pマーク制度では、1件のメール誤送信も「事故」として審査機関への報告義務があります。ただそれでPマーク取消ということにはなりません。

ISMSの運用においてもこうした個人情報の漏えいは法令違反になります。したがって、コンプライアンスとは、法令違反が起きないためのリスクマネジメントといえます。JISQ27001:2023の冒頭には「ISMS は、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える」ことなんだと。

４．個人情報の漏えい→プライバシー（人格権）の侵害

セミナーの最初のテーマは、「個人情報保護法とプライバシー」です。もう、このタイトルだけで1時間では話しきれないですね。ここでは、まず個人情報保護法の制定から直近の改正の経緯にプライバシーマーク制度との関係を俯瞰しました。OECDガイドライン8原則からEUデータ保護指令→GDPRというプライバシー保護の重要性、プライバシー概念についての大まかなイメージの説明をしています。

そもそも個人情報は流通してその有用性が発揮されます。ですから、漏えいリスクをなくすことはできません。その上で、個人情報が漏えいするとプライバシーが侵害されるから、事業者への規制をしているのです。GDPRでは識別される個人の権利も明記していますが、個人情報保護法では事業者への取扱い義務を規定することによって、事前抑制的に個人の権利利益の保護が図られるという法律体系となっています。

海外にはプライバシーと名の付く法律もありますが、日本ではプライバシー法とかプラバシー権といったことは法令での定めはありません。プライバシーは個人情報とも密接に関係していますが、プライバシー情報は本人が他人に知られたくないという精神的な要素のため、個人情報という客体とは異なり本人たる主体の問題になります。

たとえば、テレワークでWEB会議が当たり前になりましたが、自宅の部屋が映らないようにぼかしを入れたり、バーチャル背景を設定したりしますよね。それって、「自分の部屋を見られたくない」という気持ちの表れですよね？　もし、友人があなたの部屋を訪れた際に写真や動画を撮影して、それをSNSとかにアップしされたら「プライバシーの侵害だ！」と友人に怒りを覚えるはずです。そして、SNSの運営サイトに「画像や動画を削除しろ！」と訴えるのではないでしょうか。こういったプライバシー侵害になり得る（人によっては、別にいいよ、って言うかもしれません）リスクが、デジタル社会の発展によって、多様化してきているのです。

ひとたび個人情報が漏えいすると原状回復できません。仮に書類を盗まれて回収できたとしても、一度、他人に知られてしまったことを忘れさせることはできないからです（いわゆる「忘れられる権利」との関連）。取り扱っている個人情報が漏えいしたら、本人にどのような影響が及ぶかを考えてリスクアセスメントすることが大切なのです。

５．ISMS規格の改訂

続いては、JISQ27001:2023の改訂ポイントとISO/IEC27002:2022の改訂ポイントです。今回のセミナーは、この部分だけでもよかったのですが、27002のJIS化がまだなので、少し大枠や総論的なお話にしております。27002がJIS化されたらセミナー開催する予定です。

このあたりは既に移行審査を終えられた組織や、もうじき移行審査を受ける予定の組織もあるでしょうから、おおよその改訂経緯や改訂内容についてのご理解が進んでいるという前提で、ポイント解説に留めています。

規格本文（MS部分）は共通文書の細かい改訂を反映させただけ（調和させる構造）ですので、PDCAサイクルに大きな変更はありません。問題は管理策が記載されている附属書A（IS部分）です。この部分はISO/IEC27002:2022の改訂を受けてのものですので、先に27002がJIS化されていないと比較検討できないのです、まだなんですね。今のところ「英和対訳版」（日本規格協会）を購入するしかありません。ですから、セミナーではこれを参考に、管理策の改訂ポイントをお話しています。

改訂のポイントは、

• タイトルにサイバーセキュリティとプライバシー保護が加わった
• 管理策が4つにカテゴライズされた
• 114個の管理策のうち複数の管理策が24個に整理され、58個が箇条番号や管理策名称の変更を含めて更新され、11個の管理策が加わり、93個になりました。
• 管理策と管理目的が一対となりました：以前は34個の管理目的に114個の管理策
• 各管理策に属性情報が追加されました：ここが今回のセミナーポイント

６．新しい管理策のポイント

新しい11個の管理策のうち、組織的に3個、物理的に1個、技術的に7個の管理策が割り当てられています。人的管理策は従来の箇条７あたりがほぼスライドしてきており新しい管理策はありません。物理的管理策も従来の箇条11あたりがスライドしてきており、新管理策は物理的セキュリティの監視とありますが、多くの組織では「防犯カメラ」「セキュリティ会社との契約」のいずれかは実施済みでしょうし、大きな組織では「警備員」もいることでしょう。ですから、新鮮さはありません。

新しい管理策で今回の改訂の意図を感じさせるのが組織的管理策の「5.7 脅威インテリジェンス」です。脅威情報（データ）を収集し、利用可能なように加工（データベース）し、必要な管理策に適用する（インテリジェンス）一連のプロセスが審査されるはずです。従来の管理策である関係機関や専門機関との連絡（コミュニケーション）プロセスにおいて対応済みの組織もあるでしょう。またクラウドサービスや情報セキュリティ製品等におけるネットワーク監視やURLフィルタリングの自動アップデートもこの取組みにあたると考えられます。ですから、全くの新しい管理策ということでもないはずです。

この脅威インテリジェンスの取組みは、後述するサイバーセキュリティのお話とつながっています。27002のタイトルにサイバーセキュリティとプライバシー保護が加わりましたが、サイバーセキュリティ対策が不十分だと不正アクセスを許し、機密情報や個人情報の漏えいによりプライバシー侵害の恐れにつながるという文脈です。

組織的管理策には「5.23 クラウドサービスの利用における情報セキュリティ」と「5.30 事業継続のためのICTの備え」が追加されています。クラウドサービスはコロナ禍でさらに普及が加速し、社内サーバ（オンプレ）をやめてクラウドでファイル共有という組織も増えました。便利（可用性）さを求めるとリスク（機密性）も高まったり変化したりします。特に自宅の個人PCからクラウドへ直接アクセスを認めるとログ管理ができなくなります。特に複数のクラウドを利用しているとアカウント管理（利用者情報の登録・修正・削除）だけでも大変です（ランサムウェアの侵入原因の典型例がアカウント情報の脆弱性による突破や盗用です：ダークウェブなどに漏えいしていることも）。また組織が承認していないクラウドサービスの利用などシャドーITの問題も懸念されています。

そのような視点で新しい技術的管理策を見てみると、「8.9 構成管理」「8.10 情報の削除」「8.11 データマスキング」「8.12 データ漏えい防止」と4つの管理策が連番で追加されています。この近辺には「8.13 情報のバックアップ」「8.15 ログ取得」「8.16 監視活動」（新規）、「8.17 クロックの同期」があります。

技術的管理策の構成管理を筆頭に、ログ取得（クロック同期を前提）や監視活動により不正アクセスやふるまいを検知して、情報改竄やデータ漏えいされる前に撃退する、そして速やかにバックアップでシステムの初期化等、多層防御的な管理策群として位置づけられているといえます。したがって、「5.30 事業継続のためのICTの備え」が新設され、また開発段階における「8.28 セキュリティに配慮したコーディング」も新設されたといえます（あくまでも個人の見解です）。

情報の削除は、利用する必要がなくなった情報について保有していることがリスクであるため、古い情報はなるべく保管期限を決めて削除することが望ましいものです。また個人情報を長期保管や情報データベースを内部利用するにあたってもマスキングして漏えい時のリスクを低減するといったことも必要に応じて取ることが望ましいといえます。

JISQ150001:2023の改訂ポイントは、プライバシーマークのコーナーで触れます。残りのサイバーセキュリティ概念とインシデントからの学習は、次回に続きます。