情報セキュリティ事故に備える

「内部統制評価基準 勝ち抜く会社の800のポイント」を活用した内部統制の仕組みづくりでは、内部統制に関わる組織経営のプロセスを８つの側面（カテゴリ）に分けて、質問を通じて具体的に仕組みに落とし込んでいきます。

カテゴリ６．情報セキュリティについて見ています。

情報セキュリティ事故に対する備えについて確認します。

６．（９）情報セキュリティに関する事故対応
情報漏えい事故等の情報セキュリティに関する事故が発生した場合の対応方法は定められていますか。

情報セキュリティ事故が発生した場合は緊急事態として捉え、事故発生に備えて、緊急時の体制整備や対応手順を作成するなど、準備をしておくことが重要です。

情報セキュリティへの取り組みは次のフェーズに分かれています。

特定（ID）→防御（PR）→検知（DE）→対応（RS）→復旧（RC）

事故対応は、「対応」フェースが中心となりますが、そのためには「検知」が重要です。

情報セキュリティ対策で、守るべきものは何か、何がセキュリティ事故であるかを、現場のメンバが理解していることが前提となります。

例えば、朝出社時に、社員証（入館カード）がないことがわかったときに、それが単に自宅に置き忘れただけなのか、あるいは、出勤途中に紛失したのかがわからない場合には、後者の場合を想定して、それが不正に使用されるのを避けるために、セキュリティ事故として届け出るというようなことを規定しているところもあります。
それが組織のセキュリティ上どの程度リスクとなるかによって、そうした規定がなされます。

情報セキュリティ発生（検出）時の緊急連絡先・伝達ルートを整備し、周知しておくことが重要です。
情報漏洩などの場合には、組織の外部からの指摘などで発見される場合もあります。組織内だけでなく、組織外部からの連絡先・受付窓口も体制を整備しておきます。

緊急事態が発生した場合、緊急時対応体制として、事故の影響を判断し、対応について意思決定する情報セキュリティ責任者を決め、事故の原因を調査・報告し、情報セキュリティ責任者の判断・意思決定に基づき適切な処置を行う対策チーム（または担当者）を設置し、事故・異常を発見した従業員の協力を得て、対応に当たります。
事故の規模や影響度によっては、対策委員会のような緊急時体制をとることもあります。

このような緊急体制のもとで、想定される経済的な不利益及び社会的な信用の失墜、情報元及び共有先への影響などのおそれを考慮し、その影響を最小限にするための対策を進めます。

対策としては次のような内部・外部とのコミュニケーションに関する手順も定めておきます。

・緊急事態が発生した情報の内容を情報元及び共有先に速やかに通知し，又は情報元及び共有先が容易に知り得る状態に置くための手順
・緊急事態の二次被害の防止，類似事案の発生回避などの観点から，可能な限り事実関係，発生原因及び対応策を，遅滞なく公表する手順
・緊急事態の事実関係，発生原因及び対応策をお客様を含む関係機関に直ちに報告する手順

また、業務委託先が情報漏洩事故等のセキュリティ事故を起こした際の対応方法についても、規定し、業務委託先と共有しておきます。

「復旧」には、緊急事態の是正措置及び予防措置を実施することも含みます。

★★

内部統制評価基準改訂版「内部統制評価基準 勝ち抜く会社の800のポイント」については、NPO法人内部統制評価機構のウェブサイトをご覧ください。