備忘メモ #01 JIS Q 0073「リスクマネジメント―用語」の行方

仕事の都合で、ISO/IEC 27001 (JIS Q 27001) を熟読する機会がありました。気になるところがいくつかありますが、その一つに「JIS Q 0073は今後どのように扱うべきか」という疑問があったので、雑感として記録しておきます。

JIS Q 0073:2010とは

JIS Q 0073:2010「リスクマネジメント―用語」とは、そのタイトルが示す通り、リスクマネジメントに関する用語を定義した規格書です。2009年に発行された国際規格は ISO Guide 73:2009 "Risk management - Vocabulary"を日本語訳して2010年にJIS化したものです。
この手の国際規格化された用語定義は、国際的なプロジェクトを実施する上で、用語の違いによる誤解などを防ぐために有効です。リスクマネジメントに関しては、例えば「脆弱性(vulnerability)」という用語を定義することで、その用語を使った文書を多くの人が同じ認識で理解することができるようになります。

JIS Q 27001とJIS Q0073の関係

さて、なぜJIS Q 27001「情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項」を読んでいてJIS Q 0073が気になったかというと、それは次の様な関係があるからです。（対応する ISO/IEC 27001とISO Gude 73も同じ関係です。）

1. JIS Q 27001は、ISMS（情報セキュリティマネジメントシステム）の要求事項を提供する。

2. JIS Q 27001を含めたISMSファミリ規格の用語と定義は、JIS Q 27000「情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 用語」で定められている。

3. JIS Q 27000の中で、リスクマネジメントに関する用語の定義は、JIS Q 0073を参照して定められているものが多い。

つまり、ISMSのリスクマネジメントに関する要求事項を理解する際には、そこで使われている用語の定義については、JIS Q 0073 の内容を拠り所にできることになります。

ISO Guide 73の廃止

JISやそれが対応する国際規格は定期的に更新されるので、2010年に発行されたJIS Q 0073:2010もそろそろ更新されるのではないかと、対応する国際規格の方を確認してみると、なんと、ISO Guide 73:2009は「廃止（Withdrawn）」されていました。

ISO Guide 73:2009

きっと後継の国際規格があるだろうといろいろ探してみたのですが、今のところ見つかっていません。ISO規格であれば、ISO 31000 "Risk management"辺りが有力ですが、必ずしもVocabulary を提供するものでもなさそうです。

今後のリスクマネジメントに関する用語定義の拠り所

翻って、JIS Q 27001との関係を考えると、2023年に発行された最新版 JIS Q 27001:2023では、用語の定義で JIS Q 27000:2019 を参照しています。JIS Q 27000:2019が発行された2019年ではまだ ISO Guide 73:2009 及び JIS Q 0073:2010が有効だったので、現時点ではこれまでと同じく JIS Q 0073:2010 を拠り所にして良さそうです。
今後、ISO/IEC 27000:2018及びJIS Q 27000:2019が更新されるタイミングでは、リスクマネジメントの用語定義に関して、廃止されてしまったISO Guide 73:2009 の代わりとなる拠り所を探るか、用語定義はあくまでISMSファミリ規格内で定めたものと位置づける必要が出てきそうです。
ISMSを含めたサイバーセキュリティ対策では、リスクマネジメントの重要性がますます増してきているので、国際規格としてリスクマネジメントの用語定義をきちんと行うことは、引き続き必要な取り組みだと考えます。