「おい,不正コピーはやめろよ!」
ある人が会社のデータをバックアップのためにUSBメモリーにコピーしていたら,急にこんなことを言われたとします。よかれと思ってやったことが,同僚には不正コピーに見えたようです。読者のみなさんはどう思いますか?
ルールを守っているかが重要
答えは,「これだけでは不正かどうか判断できない」です。「不正」というのは,ルールを守っていないということです。つまり「不正コピー」とは,コピーという行為において,ルールを守っていないということです。
この会社ではどのようなルールを適用しているのか,それを知らなければ,この人が行なったUSBメモリーへのコピーが,不正コピーなのか,それともバックアップなのかは判断できません。
「コピー」という行為だけでは不正かどうかは問えません。情報の取り扱い方が,ルールに従っているかどうかが問題なのです。「ルールを決めて,それに従って情報を取り扱う」---。このことは,情報セキュリティの本質の一つといえます。
「ルールを決める」「申請書を作る(システムを構築する)」「記録を残す」---というのは,情報セキュリティ・マネジメントの基本的な考え方です。しかし,多くの企業がこの3つをセットにして運用していないのも事実です。これは,ルールの作り方が悪いからです。特に,記録を残せないようなルールになっているというのが,最も多いようです。より良いルールの作り方については,次回解説したいと思います。
さて,きちんとルールが決められていて周知徹底されている会社では,冒頭のやり取りは以下のようになるはずです。
A:「ねぇ,今コピーしたのは誰のファイル?」
B:「ああ,営業部のファイルだけど・・・」
A:「ちゃんと許可は取ったの?」
B:「ごめん,忘れていたよ・・・申請書必要なんだな」
この会社の情報取り扱い規程では,「情報をコピーするときは,情報オーナーの許可を得ること」という一文を用意し,許可申請フォーマットによって申請作業が行われ,記録として残すようにしています。情報セキュリティ・マネジメントがきちんと実践されているといえるでしょう。
「いちいち申請するのは面倒」ということであれば,個人認証とアクセス制御を利用して,ファイル・サーバーやWebサーバーなどで情報共有をしてもよいでしょう。ナレッジ・マネジメント・システムを利用する手もあるでしょう。
情報の“持ち主”が責任を持つ
前述の情報取り扱い規程に「情報オーナー」という言葉が出てきました。情報オーナーとは,文字通りその情報の持ち主であり,その情報の“責任者”となります。すべての情報資産には情報オーナーが存在し,情報オーナーがその情報資産に責任を持つことになります。この考え方は,情報セキュリティにおいて重要なことの一つです。
例えば,みなさんが作成した文書ファイルであれば,みなさん自身が情報オーナーになり,みなさんが「その情報をどのように扱ってほしいのか」を決めることになります。具体的には,社内ルールに従って,情報に「社外秘」や「取扱注意」などのラベルを付け,その情報が共有される(公開される)範囲を制限します。
このように一般的には,情報の作成者が情報オーナーとなります。これは,作成者が,その情報の価値を最も分かっていると考えられるからです。重要な情報資産であれば,情報オーナーが責任を持って大切に取り扱うことになり,適切な対応策(取り扱い方)を指示できるでしょう。
それでは最後にクイズです。「個人情報の情報オーナーはだれですか?」
正解は「個人情報を提供してくれた本人」です。ですから,本人には利用範囲を明確にしてもらう権利があり,自己コントロール権があるのです。個人情報を預かった企業/組織は,その意向を理解し,守る義務があります。それが個人情報保護の本質です。
個人情報保護法の本格運用からもうすぐ1年。情報オーナー(情報提供者)が「どのように個人情報を扱ってほしいと思っているのか」,その声を一度も聞いたことがないという企業/組織は,情報オーナーに確認することをお勧めします。
| 「セキュリティ・マネジメントの勘所」は,ディアイティのセキュリティガバナンスビジネス部部長の河野 省二氏による技術コラムです。河野氏は,BS7799スペシャリストやCISSP,公認情報セキュリティ主任監査人などの資格を持つ,情報セキュリティの専門家です。日本セキュリティ監査協会(JASA)スキル部会の副部会長であり,同協会の監査人資格制度 研修・トレーニング講師や高度IT人材アカデミー 情報セキュリティ担当講師,(ISC)2 CISSPオフィシャルセミナー講師などを務めています。経済産業省の情報セキュリティガバナンス委員会にも参加されています。本コラムでは,情報セキュリティ対策やマネジメントに関する話題について,河野氏に分かりやすく解説していただきます。(編集部より) |
