2019年11月14日に初出の投稿

Last modified: 2019-11-14

JIS の運用において混乱しやすいのは、「リスクアセスメント」と「内部監査」の違いだろう。どちらも、自分たちの組織の弱点や課題を洗い出して評価するという外形的な意味では似ているので、どうして似たようなことを二つの概念として規定しているのかとか、これらが違う活動であるなら、どちらを先にやったり、二つの活動どうしの関係はどうなっているのかということに関心が及ぶのは当然だ。しかし、ISMS や PMS に関わるオンラインのリソースでは、このような論点を正確に理解して解説している事例は殆どないし、更には会計監査の解説や理解が混在している場合もあるので、情報セキュリティや個人情報保護のマネジメントという観点では不適当な解説も見受けられる。たとえば会計監査では出てくる言い方のようだが、ISMS やプライバシーマークの運用において「リスクベースの内部監査」などという意味の不明確な概念はありえない。

他の多くの ISO/IEC 工業規格と同様に、JIS Q 27001:2014 と JIS Q 15001:2017 は、HLS (High Level Structure) というフォーマットを共有するようになった。したがって、ISMS でもプライバシーマーク(PMS)でも、考え方の骨子は同じである。そこで、規格書の「6 計画 6.1 リスク及び機会に対する活動」という項目を参照いただくと(どちらの規格書でも項番は同じである)、リスクや機会、つまり何か想定しないことが事業に影響することだとか、何かのチャンスに事業へ良い影響を与えようとすることについて書かれている。つまり、危険な兆候に対応したり、予算があるので危険性はなくても今後に備えて対応しておこうとすることだ。では、そういう対応とはどのような目的のためにするのかというと、三つの目的が書かれていて、a) あらかじめ意図した成果を達成できるようにする、b) 望ましくない影響を防止したり弱める、c) さらなる改善を達成できるようにするということになり、多くの場合に「リスク」を悪い意味で使う場合は b) のことを言っていて、「チャンス」を良い意味で使う場合は c) のことを言っている。そして、前年度の結果から今年度に何か改善するための計画を立てている場合は、更に良いことをするのであれ悪い点を改めるのであれ、a) に該当する。

そこで、「リスクアセスメント」という一連の作業では、リスクを特定して、分析によりリスクレベルを決めて、あらかじめ決めた基準とリスクレベルとを比較して評価し、そのリスクに対して必要があれば対応を決める。もちろん、緊急性があればこんな手続きに従う必要はないし、帳票など後から書いてもいい。リスクアセスメントの機会は、もちろん組織の資産についてのリスクをアセスメントするのであるから、資産の一覧(PMS なら「個人情報の台帳」など)を最新の状態へ更新してからとなる。一覧や台帳の作成・更新が9月なら、リスクアセスメントは翌月から開始するとか、そういうスケジュールは組織ごとに決めたら良い(そんなことまで規格はいちいち指示しない)。そういう手続きの結果として、1) 資産の一覧(台帳)、2) リスク分析の記録、3) リスクレベルの評価記録、4) リスク対応の可否の記録、5) リスク対応計画という記録が出来上がり、これらは別に一つの記録としてまとめても問題はなく、寧ろ手続きの流れの一貫性という観点から、あまり煩雑に書類のフォーマットをたくさん作らない方がいい。弊社では、2) + 3) + 4) は「リスクアセスメント・シート」(PMS 用は「リスク分析表」)として一つにまとめている。こうして、緊急の対応を除けば、翌年度にどういうことをすべきかがまとまり、これを元にしてマネジメントレビューを期末前後に実施し、翌年度の取り組みを決定する。

では次に「内部監査」だが、これは組織が定めた要求に業務が適合しているかどうかとか、JIS の求める内容に業務が適合しているかどうかをチェックする。ここで混乱が起きるのは、何のためにチェックするのかという点である。リスクアセスメントでリスク分析する場合の a) で「あらかじめ意図した成果」と言っているのは、社内ルールや JIS の要求事項のことではなく、前年度までに計画されたリスク対応のことなのである。もしリスクがないなら、実はリスク計画もないので、a) でやるべきことはなくなるはずである。しかし、内部監査は違う。リスクが前年度に指摘されていようがいまいが、社内のルールや規格に業務が適合しているかどうかは独立にチェックしなくてはいけない。つまり、内部監査は或る資産や業務にリスクがあるかどうかとは関係なく常に行うことである。

このようなわけで、リスクアセスメントと内部監査の違いは、その目的がリスク対応計画や突発的なインシデントへの取り組みであるか、それとも社内規程や規格への適合であるかという違いに求められる。そして、実施する時期については、要するに、どちらの基準でチェックするにしても、法令や規格や社内ルールが意図しない事実が明らかになれば、即座に対応したり、リスクなり不適合として記録するという結果は手順の後先など関係なく同じであるが、内部監査が後になる。なぜなら、内部監査は組織のマネジメントシステムに準じた取り組みが適正かどうかを監査するのだから、リスクアセスメントが適正に実施されているかどうかも監査の対象となるからである。

ということで、ISMS やプライバシーマークの外部監査で実施される現地審査も、不適合なりリスクとして認識できる事実を発見するためのチャンス(機会)として活用するべきであり、現地審査で《何事もなく終わるように》祈るなどというのは Chief Privacy Officer や情報セキュリティ責任者としてのコンピテンシーを欠く態度だと言っていいだろう。自社の問題を明るみにするのは頭の痛い話ではあるが、馬鹿げた理屈をこねまわして逃げ続けているようでは、大阪地方検察庁と同じだ。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook