今回は、ISMSの規格である「JIS Q 27001:2014」の附属書で求められている「A.6.1.3 関係当局との連絡」について書いていきたいと思います。A.6.1.3には「関係当局との適切な連絡体制を維持しなければならない。」といった記載があります。これには、「インシデント(セキュリティ事故)が起きたときのために、報告が必要な連絡先と連絡手段を把握しておきましょう」といった背景があります。
一体どんな組織に報告する必要があるのか、みていきましょう。
インシデント(セキュリティ事故)発生時の報告機関一覧
①JPCERT/CC
「一般社団法人 JPCERTコーディネーションセンター」の略称です。この団体は、政府や企業からは独立した中立な組織として、様々なセキュリティに関する活動を行っている団体です。こういった団体は、セキュリティに関するノウハウや知識が蓄積されているため、インシデントが起こった際に具体的にどういった対応方法をとればいいのかなどのアドバイスをする支援をしています。例えば、何か不信な通信があると判明しJPCERT/CCに報告した場合、その手口の分析であったり、再発防止のための助言を行ってくれます。
JPCERT/CCでは、こうしたインシデント対応を年間約10,000件取り扱っています。下記にJPCERT/CCができる支援とできない支援を記載しました。
JPCERT/CCができる支援
- webサイト改ざんに関する相談
- 不正アクセスに関する相談
- マルウエア感染の相談 など
JPCERT/CCができない支援
- 捜査・取締
- 法的な対応の代行
- コンサルティングや利用方法の説明 など
②警察
下記の可能性がある場合は、警察に被害届を行う必要があります。
- 従業員の内部犯行によって情報が漏洩してしまった場合(不正競争防止法などの違反があったときなど)
- 外部からの侵入等によって情報が漏洩してしまった場合(不正アクセス禁止法違反があったときなど)
- 漏洩情報に関して不正な金銭などの要求を受けた場合(恐喝・脅迫などの事件があったときなど)
③関係する省庁
下記ケースが挙げられます。情報を漏洩したパターンや、そもそも漏洩した組織によって報告する省庁によって違いがあるので、注意が必要です。
- 個人情報を漏洩した際に、個人情報保護委員会に報告する。
- 銀行が重要情報を漏洩した際に、金融庁に報告する。
- 組織内で不正競争防止法が発覚した際、経済産業省に報告する。
④審査機関
ISMS認証を取得している組織に対してインシデントが発生した際に連絡をすることを推奨しているのが審査機関です。
こちらは必須ということではありませんが、審査機関がインシデントの情報を収集しているためです。
⑤情報セキュリティのコンサル会社(LRMなど)
LRMなどの認証取得支援コンサル会社では、インシデントが起こった際にどういう対応をとったらいいのかというノウハウがすでに蓄積されています。実際にLRMでは、大きいインシデントがあった際に利害関係者に報告するメールの雛形等を用意しております。
おわりに
今回は前回に続き、連絡をとるべき機関について記事を書きました。
前回の記事である「専門組織」とは異なり、関係当局は何か事故が起こった際の連絡場所ですので、どういった機関があるのかを把握しておくことは大切になってくるでしょう。
今一度確認してみたらいかがでしょうか。
引用元
- IPA 独立行政法人 情報処理推進機構セキュリティセンター
『情報漏えい発生時の対応ポイント集 情報が漏えいしてしまった時、何をすべきか!』