情報セキュリティのコンサルティングを行っている中で、よく頂く質問の一つに、「書庫の施錠管理はどの程度まで行うべきなんでしょうか?」というものがあります。
「大事な情報が入っている書庫なんだから鍵をかけるのは当たり前だろう。何言ってるんだ。」と思った方もいらっしゃるかもしれません。
・・・しかし、果たして本当にそうでしょうか?
書庫における施錠管理の意義
プライバシーマーク取得の審査においては、書庫の施錠管理は当たり前のように言及されます。
審査の際も、施錠されていなければ、有無を言わさず不適合とすることもあるようです。
また、プライバシーマーク取得を支援するコンサルタントの中にも、「書庫は絶対に施錠しなければならない!」と力説する方もいらっしゃいます。
もちろん、鍵をかけていれば、セキュリティ対策を行っていることが一目瞭然です。また、鍵をかける、それだけで安心することも出来ます。
書庫の施錠管理、それは情報セキュリティ的に見て、1つの正解であることに間違いはありません。
正解は1つ…ではありません
情報セキュリティの観点から、書庫の施錠管理は1つの正解です。
しかし、唯一無二の正解ではない、と私たちは考えます。
イメージしてみてください。
あなたは多くの書庫にしまわれた書類から、必要な物をピックアップし、適正な部署に届ける役目を任じています。
あるときは、『1時間以内に●●の書類をうちの部署まで届けて!』という、イレギュラーな注文が入ることもあります。
その時、全てに鍵を掛けて、ガチガチに固めてしまうと、いざ緊急というタイミングで情報を参照できない、非常に多大なロスが生じる、という事態は容易に発生します。
結局そうなると、業務効率が落ちてしまい、仕事が回らず、セキュリティへの投資がコストに変わってしまいます。
あなたも、厳重すぎる書庫の施錠管理に準じるあまり、他部署の要求通りに書類を届けることが出来ず、自分への評価が大きく下がってしまうかもしれません。
そんな状況においては、せっかく作ったルールや取り決めを、皆が無視する恐れまで出てきます。
つまり、厳重すぎるルールや取り決めを定めることは、かえってそれらが無視されるリスクを生み、ひいては、情報漏えいの生じる危険性を一層高めてしまうことになりかねません。
では、どうすればいいのか
もちろん、『全く鍵をかけない』ということは、情報管理以前の話になってしまいます。
セキュリティの高度化を推進する上では、一定の手間が生じることは、ある意味必然とも言えるからです。
しかし、諸条件が揃えば、『書庫などに鍵をかけない情報セキュリティを構築することも可能だと考えています。
その諸条件とは、具体的に下記の7つです。
- 書庫のある執務フロアについては、外部の人の出入りがほぼ出来ない状況にある
- テナントの鍵はごくごく限られた人しか持っておらず、貸し借り等は行われない
- 事務所の窓等から泥棒が入る可能性が著しく低い(ビルの高層階など)
- 書庫の設置に死角はなく、従業員であっても、アクセスする必要性のない書庫に近づいたら、すぐにそれと分かる環境にある
- 従業員と誓約書等の取り交わしを行っている
- 書庫に施錠しないことを残存リスクとして把握し、適切な管理を行う
- プライバシーマークやISMSの認証を取得する場合は、上記の内容や書庫に施錠を掛けない合理性を論理的に審査員へ説明する
なかなか条件として難しい場合もありますし、その他の要因によって判断が変動する可能性もありますが、 ここまで外堀を埋めておけば、書庫に施錠を行わなくても、情報セキュリティを実施できていると言えるでしょう。
プライバシーマーク取得に向けて
ただ、前述のことを行っていても、プライバシーマーク等の認証取得に際しては、OKが出ないケースは存在します。
とりわけ、プライバシーマークに関しては「個人情報の媒体の施錠保管」という審査項目が存在するなど、物事の合理性が柔軟に加味されない可能性もあります。
しかし、単純に「施錠している」「施錠していない」という二元的な軸だけで情報セキュリティの仕組みを構築するのではなく、明確な意図や合理性を持って情報セキュリティのものごとを考えることで、『情報セキュリティの一般常識では当たり前』の事柄も、実のところ全く絶対的なものではない、ということが見えてくるのではないでしょうか。
様々な書面における『言葉』や『単語』にのみこだわるのではなく、本当の意味で使いやすい情報セキュリティを構築していきましょう。
LRMでは、「堅固な個人情報セキュリティ」と「ストレスのない情報活用システム」を両立できるよう、プライバシーマークの取得をお手伝いします。