SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

約10年振りの改訂「ISMS 2022年版」の要諦──“インシデント前提思考”の情報セキュリティマネジメントとは

ISMS改訂で追加された「情報削除」の要点とは 削除タイミングを失って情報漏えいする大手企業も

情報は持っているだけでリスク?

 近年、情報漏えい事件の対象情報に、本来保有し続ける必要がない情報が含まれていることが問題となっており、法規制においても「不要な情報は持ち続けないように」という要求が強まってきています。その風潮は『ISMS』でも見られ、2022年版の新規格においては「情報の削除」という管理策の追加につながっています。今回は、情報保有がなぜリスクなのか、不適切な保有を減らすための企業内活動について考えていきます。

ISMS規格改訂で再認識が求められる「情報の削除」

 2022年10月25日のISMS規格改訂で意識されている事柄として、「①リスク認識や対策に漏れが生じないよう表現を抽象化し、管理対象を限定的に受け取られてしまわないための管理策」「②標準的なリスク対策をあえて具体的に要求することで、リスク認識や対策を改めて検討する機会としている管理策」の2つが挙げられます。

[画像クリックで拡大]

 ①は、たとえば「ライフサイクル」や「ユーザーエンドポイント」といった表現を用いて、管理策の対象をより広い視野でみることを促しています。

 一方、②は以前から求められていた事業継続試験の実施についてICTに対象を制限しており、監視やウェブフィルタリングなど現在であれば標準的な対策といえる項目についても『ISO/IEC27001:2022(以下、2022年版規格)』にて個別の管理策として確実な実装が促されています。

 本稿のテーマである「情報は持っているだけでリスクになる」という観点においても、“情報の保有”にフォーカスした、②に該当する考え方であり、2022年版規格ではこの観点から「情報の削除」という管理策が追加されています

 コンサルティングや審査の現場では、以前から情報の削除が不十分なケースには頻繁に出くわしてきました。その理由の多くは単純に削除してよいかわからず、とりあえず保有しているというケースがほとんどですが、中には法令や契約義務に違反しているケースも見受けられます。法令や契約上の義務違反となると、社会的ルールを遵守できない組織とみなされてしまうため、そのインパクトは決して小さくはありません。

情報を“保有し続ける”ことによる影響とは

 とはいえ、情報を保有し続けることによる影響・インパクトのイメージはしづらいと思いますので、ここではいくつかの事例から考えてみましょう。

大手婚活マッチングアプリでの年齢確認審査書類の流出

 2021年5月、大手婚活マッチングアプリ「Omiai」において、不正アクセスにより、年齢確認審査書類として取得していた運転免許証などの画像データ170万件超が外部に流出した恐れがあることが公表[1]されました。

 同サービスでは、退会者を含めて一律10年間保管していたことに加え、他社大手サービスの多くは同様の保管期間を設定していなかったことから、退会者の情報を10年間も持ち続ける必要があったのかが議論の的となりました。

大手ゲーム会社での不採用者選考書類の流出

 2020年11月、大手ゲーム会社カプコン(以下、同社)において、ランサムウェアの被害を受け、最大35万件の社内情報が流出した恐れがあることが公表[2]されました。

 当時同社は公式サイトにて、不採用者および採用辞退者の応募書類などは破棄する旨を明記していたものの、約12万5000件の採用応募者情報が流出対象に含まれていたことから、適切に破棄されていなかったのではないかと問題になりました。

次のページ
情報保有の意識すべき「リスクベネフィット」「コストベネフィット」

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
約10年振りの改訂「ISMS 2022年版」の要諦──“インシデント前提思考”の情報セキュリティマネジメントとは連載記事一覧

もっと読む

この記事の著者

村田 一彦(ムラタ カズヒコ)

情報セキュリティコンサルティング事業やB2B向けSaaS事業を展開するLRM株式会社のコンサルティング事業部副部長。情報セキュリティコンサルティングに20年以上携わっており、ISMS/ISO27001、ISMSクラウドセキュリティ/ISO27017、プライバシーマークなどの認証取得やQMS/ISO9...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18277 2023/08/30 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング