日比谷の街角 弁護士 稲垣隆一 稲垣隆一法律事務所

稲垣隆一法律事務所 〒100-0006 東京都千代田区有楽町一丁目7番1号有楽町電気ビル南館9階956区 電話:03-6273-4351

2012年02月

セキュリティ監査とコンプライアンス

熊本にセキュリティ監査に行ってきた。

対象は全国に散らばる支社のひとつ。

監査のテーマは,セキュリティ管理規程の浸透度。つまり,支社が本社が定めたセキュリティ管理規程をきちんと理解して実施に取り組んでいる程度を調べるということ。

驚いたのは,「規程の中身が難しくてとても読めない」「やることはやっている」という責任者の反応。
たしかに,規程は読むにはそれなりの気構えがいるけれど,解説も出し,マニュアルもある。
要するに,仕事が忙しくって情報管理なんかやってられない。それなりに注意しているからいいじゃないかということ。

メーカーなら物作りが仕事。だから責任者のような主張がなされても,まあ,わからないでもない。

でも,今回監査をした会社は,サービス業。しかも,顧客や関係者から情報を得て,それを職員や外部委託先に伝えて仕事をさせるという会社。やっているのは情報処理そのもの。
その責任者がこういう感覚ではね。チェックリストの最初が,規程を周知しているかという質問だったから,その後のチェックなど無意味。

ただ,考えたのは,規程を読もうとしない原因がどこにあるかということ。

まずは規程の書きぶりが,仕事の具体的な手順で使われる言葉を使っていないこと。
次は,何をすれば良いかを,現場に応じて考えてもらうことになっていること。
「情報管理責任者は・・・・適切な措置を講じる」というのが良い例。
本社は,支社の手順を知りえないから,情報管理責任者に考えてもらわざるを得ないのだけれど,現場の責任者に考える力というか,責任感がないときは,貴方が考えるんですよとか,責任感を持てとか言っても始まらない。

このような状況を是正するにはどうしたら良いのか。

入力の時はこういう注意をしろ,こういう点検手順をとれ,と具体的に規定することがひとつの方法。
規程の教育が十分でないのだから,具体的にやってみせるか,具体的に規程を遵守している状態を見やすくしてあげることが一法だろう。

そして何よりも,情報セキュリティが,仕事の品質そのものだということを理解してもらうこと。
この理解をしてもらうには,仕事のフローを書き出して,そこにセキュリティ上の脅威を書き出して,そこに,規程の内容を具体的な手順として書いて,脅威がどれほど経るかを実際に感得してもらうことが役立つようだ。

本社が定めたルールを理解し遵守することは,組織人として当然だという思いは捨てて,こうやるんだ,ほらできるでしょ。こういう手取あしとりを蓄積して,ひとつづつ出来るようにしてゆく以外にないのだろう。

情報セキュリティといっても,今回のテーマは要するにコンプライアンスレベルの監査。
人はなぜルールを無視するのか。
同じセキュリティ監査でも,システムセキュリティの監査とは全く違ったアプローチと社会心理学の知識が求められると痛感した次第。










情報セキュリティと児童ポルノ

情報セキュリティが,児童ポルノとどうつながるのか?
答えはこうだ。
会社の情報セキュリティポリシーでは,従業員は一定の例外を除いて,業務目的でのみ業務用端末を使うことが許されているに過ぎないことが規定されているだろう。
これに反して従業員Aが児童ポルノをダウンロードしていたとする。
そこに,ファイルを共有するというアプリが組み込まれていたとする。
これを外から見ると,不特定多数に対する提供目的で児童ポルノを所持しているという状況になる。
これは,児童ポルノ禁止法の提供目的所持罪の外形だ。
刑事訴訟法は,司法警察職員は,犯罪の嫌疑があると認めるときは捜査「しなければならない」と規定している。
その結果どうなるかは言わずもがなだ。
捜査機関によって業務用端末や職員Aの取調を受ければ,当然業務に支障がでる。
場合によっては業務用端末の利用が一時制限されるだろう。

情報セキュリティマネジメントで取り扱うべきリスクは,情報システムのCIAに関するリスクだけではない。

従業員も立派な情報資産なのだ。

情報セキュリティマネジメントでは,従業員の違法行動のリスクも考えることが大切だ。

児童ポルノ禁止法違反の弁護活動の教訓のひとつだ。






システム開発契約のコツ

契約書の解釈を巡る紛争はよくあることだ。
特にシステム開発請負契約などでは,仕事の内容を特定することが大問題。
最近こういう文案に接した。
「本契約の解釈に甲乙間の相違があるときは,甲の解釈を優先する」
感心した。
まず,この文言を考えた人の経験の豊富さ。過去によほど痛い目にあったにちがいない。
しかし経験を蓄積し,契約書に生かすという知恵は素晴らしい。皮肉ではない。心底そう思う。
ところでこの文言の効果はどうか。文字通り全てに甲の解釈を優先できるのか?
争いになったときは,おそらく,「合理的な範囲において」という限度で有効ということになるだろう。
契約の本質は合意だ。だから,こうした文言が有効な範囲は,契約の経緯,利害の公平などを考慮して,当事者の合理的な合意の内容がまず最優先されることになるだろう。その限度で,この規定は有効だろう。
とはいえ,当事者の合意の解釈をめぐる指針」という)意味では評価してよい規定だと思う。
たしかにこの文言からは,ユーザー側の強引さが伝わってくる。
しかし,契約内容は,終局的には力関係で決まるのだ。



QRコード
QRコード
  • ライブドアブログ