ISMS規格改訂で再認識が求められる「情報の削除」
2022年10月25日のISMS規格改訂で意識されている事柄として、「①リスク認識や対策に漏れが生じないよう表現を抽象化し、管理対象を限定的に受け取られてしまわないための管理策」と「②標準的なリスク対策をあえて具体的に要求することで、リスク認識や対策を改めて検討する機会としている管理策」の2つが挙げられます。
①は、たとえば「ライフサイクル」や「ユーザーエンドポイント」といった表現を用いて、管理策の対象をより広い視野でみることを促しています。
一方、②は以前から求められていた事業継続試験の実施についてICTに対象を制限しており、監視やウェブフィルタリングなど現在であれば標準的な対策といえる項目についても『ISO/IEC27001:2022(以下、2022年版規格)』にて個別の管理策として確実な実装が促されています。
本稿のテーマである「情報は持っているだけでリスクになる」という観点においても、“情報の保有”にフォーカスした、②に該当する考え方であり、2022年版規格ではこの観点から「情報の削除」という管理策が追加されています。
コンサルティングや審査の現場では、以前から情報の削除が不十分なケースには頻繁に出くわしてきました。その理由の多くは単純に削除してよいかわからず、とりあえず保有しているというケースがほとんどですが、中には法令や契約義務に違反しているケースも見受けられます。法令や契約上の義務違反となると、社会的ルールを遵守できない組織とみなされてしまうため、そのインパクトは決して小さくはありません。
情報を“保有し続ける”ことによる影響とは
とはいえ、情報を保有し続けることによる影響・インパクトのイメージはしづらいと思いますので、ここではいくつかの事例から考えてみましょう。
大手婚活マッチングアプリでの年齢確認審査書類の流出
2021年5月、大手婚活マッチングアプリ「Omiai」において、不正アクセスにより、年齢確認審査書類として取得していた運転免許証などの画像データ170万件超が外部に流出した恐れがあることが公表[1]されました。
同サービスでは、退会者を含めて一律10年間保管していたことに加え、他社大手サービスの多くは同様の保管期間を設定していなかったことから、退会者の情報を10年間も持ち続ける必要があったのかが議論の的となりました。
大手ゲーム会社での不採用者選考書類の流出
2020年11月、大手ゲーム会社カプコン(以下、同社)において、ランサムウェアの被害を受け、最大35万件の社内情報が流出した恐れがあることが公表[2]されました。
当時同社は公式サイトにて、不採用者および採用辞退者の応募書類などは破棄する旨を明記していたものの、約12万5000件の採用応募者情報が流出対象に含まれていたことから、適切に破棄されていなかったのではないかと問題になりました。
[1] 「不正アクセスによる会員様情報流出に関するお詫びとお知らせ」(2021年5月21日、エニトグループ)
[2] 「不正アクセスに関する調査結果のご報告【第4報】」(2021年4月13日、カプコン)
