« 経済産業省 個人情報保護法Q&A | Main | 個人情報保護法 格別の措置の検討の行方 »

2004.12.28

情報セキュリティポリシーは公開すべきか?

 こんにちは、丸山です。「セキュリティポリシーは公開すべきか?」 「極楽せきゅあ日記」を見ていたらこのような話題があり、先日ある会社の方から同じ相談を受けて回答したことを思い出しました。これを機に、自分の考え方をまとめようと思いました・・・

 
 公開すべきかどうかを考える前に、セキュリティポリシーを誰かに「伝える目的」を考えることが重要だと思います。「誰に」、「何を」、「どのような手段により」伝えるのかを考えることが重要なのかなぁと思います。そこで、「公開」というよりも、「コミュニケーション」という観点からセキュリティポリシーを「伝える目的」を考えてみます。

 セキュリティーポリシーを誰かに伝える目的は、「利害を有する人の意思決定に影響を及ぼす事項を伝達することにより、利害を有する人が不測の損害を被らないようにするためだと思っています。」それが、ひいては自らに対するリスク対策にもなります。こういう観点で考えると、PR的に「我が社のセキュリティ対策は完璧です」というようなセキュリティポリシーは、それが遵守されていなかったとしたら、かえってリスクを招くことになると思います。公開されている情報セキュリティポリシーは、ある意味「情報セキュリティ宣言書」として、「社会に対するお約束」になりますので・・・。

 それでは、順を追ってセキュリティポリシーを伝える目的を考えていきます。

 「誰に」というのは、利害関係者です。個人情報を取得しているのであれば、取得されている個人が「誰」になるし、データセンタであれば、データ処理などを委託する企業が「誰」になりますね。そして、データ処理を委託する企業であっても、経営者レベルの人から、サービスメニューを詰めるための担当者レベルまで人に分けると違いがでてきます。また、既に取引を行っている顧客と、これから取引を行ってほしい潜在的な顧客という分け方もあります。このような観点にも気を配る必要がありますね。

 「何を」というのは、利害関係者の意思決定に影響することです。ポリシーを見て利害関係者の意思決定に影響しないのであれば、伝える意味がありません。ポリシーにも経営理念のすぐ下に位置づけられるような会社としての方針から、サーバのアクセス権の設定方針までありますが、目的は違うでしょう。利害関係者を投資家と考えると、情報セキュリティのリスクが大きいことをわかっているので、経営上の重要な課題と捉えて、それなりの優先順位で対応を行っていることを伝達するような文言であるべきですね。取引を行っている担当者レベルであれば、具体的な情報セキュリティ対策のスペックが意思決定に影響をするでしょう。

 さて、ここまで考えると、次にそれを伝える「手段」の話になります。その時に、伝える意味と伝えることによるリスクをバランスさせなくてはなりません。まず、公開、あるいは誰でも知り得る状態にするいう意味では、「ウェブに載せる」「冊子にして配る」という方法があります。広く知ってもらうという意味では、将来の利害関係者のために伝達する意味が大きくなります。これが、PR的な要素にもつながってくるわけですが、データセンタであれば将来の顧客の会社としての意思決定者に向けた内容を公開していくことになると思います。おそらく、既にそれはパンフレットに載っているのではないでしょうか。そのパンフレットに載せているメッセージの本質を抽出すると、立派な公開用のセキュリティポリシーが出来上がるかも知れません。それでは、サーバの設定方針などはどうなるのか。これは公開できませんね。本当に伝えたい人は、世の中の一般の人ではなく、目の前の顧客の技術担当者でしょう。であれば、目の前で守秘義務契約を結んだ上で開示すればよいですね。

 情報セキュリティーポリシーを公開するべきか否か。という入り口から考えると、「公開するべき vs できない」という話、あるいは、「できる部分とできない部分」がある、という話になってしまいます。「情報セキュリティポリシーを伝える目的は何か」という入り口から考えると、「誰に対して、何を、どのような手段によって伝えればよいのか」と分解して考えることができ、すっきりとするのかなぁ・・・と思います。公開というのは伝達する手段の一つなのですから・・・

 ところで、「情報セキュリティポリシーを社内の人に伝える。」というのは、また別の意味になります。それは、単なるコミュニケーションではなく、「指示」になるからです。そういう意味で、企業全体としての情報セキュリティポリシーは重要となってきます。なぜならば、「外部に対する宣言・お約束・契約」と「社内に対する、行動規範、手順書」を結びつける要となりますから。一つの方針を「外部用」と「内部用」と表現方法を変えて伝えてなくてはならない場合があります。「表現方法こそ違えど考えているところは一つ」という話です。

 極楽セキュア日記さんの、セキュリティ夜話のセキュリティポリシーの話はタメになりますね・・・勉強させていただきました。

=============
このブログの中の意見は私見であり、所属する組織の意見ではないことをご了承ください。
=============

 最近このブログ、はじけてないですよね・・・

 
 

|

« 経済産業省 個人情報保護法Q&A | Main | 個人情報保護法 格別の措置の検討の行方 »

Comments

丸山 様

こんにちは。

基本的には同感です。

理論的には,セキュリティポリシーには少なくとも3つ以上の異なる要素が含まれており,その性質の相違に対応して異なる情報公開ポリシーが適用されるべきだと思われます。

1つ目の部分は,情報セキュリティに関連する連絡場所(contact point)は,本質的に,公開または通知しなければならないものだと思います。連絡場所が警察関係だけに関係する場合には当該関連する警察機関に対する「通知」だけで足りるのでしょうが,もしそれが顧客その他の一般ユーザとの関係での連絡場所であるのならば,それを「公開」しないことには全く意味をなさないと思います。

2つ目の部分は,顧客やユーザに対する「保証」を含む部分で,これは,必ず「公開」されなければならないと思います。
個人情報保護法に定める安全に管理する義務の中には情報セキュリティに関する部分が含まれていますので,この部分については,何らかの意味での「保証」が必要になることがあるでしょう。少なくとも,個人情報の利用目的は明示しなければならないので,その利用目的と関連して発生する情報セキュリティ上の問題については何らかの「保証」が必要になるのではないかと思っています。つまり,このような部分については,法的にも公開が義務付けられていると解する余地はあるように思われます。
なお,もし保証のするのがいやなら「誰に対しても何も保証しない。誰の指示にも監督にも従わない。個人情報保護法上の義務もすべて無視する。何らの法的責任も負わない。社会に対して何も責任を負わない。誰に対しても何も約束しない。唯我独尊でいく。」というポリシーを策定すれば良いです。その結果,その企業が社会からどのような目で見られるか,個人情報保護法上の主務大臣からどのような監督を受けるのか,顧客や株主等からどのような損害賠償責任を問われるのかは,自明と思われますが,要するに最初から「損害賠償したい。罰則の適用を受けたい。社会から非難されたい。」と言っているのと同じことなので,完全に(皮肉をこめた意味での)自己責任の問題でしょう。

これに対し,セキュリティポリシーの中には,完全に内部の処理だけに関する部分が含まれています。そして,その中には機密扱いを要するものもあり,そのようなものについて「公開」を考えることはナンセンスだと思います。同様に,機密とは言えないとしても,情報セキュリティを実施するための内部的な組織構造を定める部分(インシデント対応チームの構成やインシデントエスカレーションの手順などを含む。)についても,別に公開すべき要請はないのではないかと思われます。

ただ,「機密」とは言ってみても,実際には,どこにでもあるISMSのテンプレートをそのまま引き写しただけのようなものであれば,何も機密など含まれていないと考えるべきでしょう。
というよりも,正確には,そのようなテンプレートを用いた運用は,実際には,何もセキュリティポリシーが存在していないのと同じことですので,そのようなテンプレートを機械的に採用しているだけの場合には「実質的には何もありません」と表示するのが正直な行動だと言うべきなのではないかと思われます。

Posted by: 夏井高人 | 2004.12.28 at 10:22

夏井先生、コメントありがとうございます。夏井先生の切り口、いいですね。物事は多面的に見ることが重要です。今まで、夏井先生のような見方で考えたことが無かったので、また1つ成長です。

企業が情報セキュリティポリシーを公開したくない理由は、そこに秘密が隠されているのではなく、情報セキュリティポリシーが自分でいうのも恥ずかしいくらいに立派だから・・・という場合も多いような気がします。

Posted by: 丸山満彦 | 2004.12.28 at 13:19

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/2395896

Listed below are links to weblogs that reference 情報セキュリティポリシーは公開すべきか?:

« 経済産業省 個人情報保護法Q&A | Main | 個人情報保護法 格別の措置の検討の行方 »