セキュリオの機能をISMSの観点から見てみよう【法令管理】
情報セキュリティコンサルタントの立場から、LRMが開発・提供する情報セキュリティ教育クラウド「セキュリオ」の機能がどういうふうにISMSの規格をカバーしているのか整理してみる企画第13回、今回は法令管理機能です!
※特に何か依頼されているわけでもなく、勝手に書いているので筆者の意見と思ってください(笑)
セキュリオ「法令管理」機能について
セキュリオ「法令管理」機能は、事業運営として大前提、かつ、ISMSなどでも要求される法令管理をシステム上で一元管理できる機能です。
ISMS観点から見る法令管理機能
法令管理機能は規格のどこに当てはまる?対応できる?
【規格本文】
4.2 利害関係者のニーズ及び期待の理解
<規格要求>
ISMSに関する利害関係者とその利害関係者からのニーズの決定。
ここでのニーズの一部として「法的・規制上の要求事項や契約上の義務を含めること」が含められています。
そのため、ニーズの一つとしての法令等の特定・管理を法令管理機能を用いて行うことが可能です。9.3.2 マネジメントレビューのインプット
<規格要求>
規格の事項を考慮したインプットの実施。
考慮事項の一つとして「ISMSに関連する利害関係者のニーズ及び期待の変化」が含まれています。
ですので法令管理機能で法令の改訂状況を把握し、その変化をマネジメントレビューでインプットすることなどが想定されます。
【附属書A】
5.12 情報の分類
<規格要求>
機密性・完全性・可用性及び利害関係者の要求事項に基づく組織のニーズに従った情報分類の実施。
利害関係者からの要求事項の一つとして法令や業界ガイドライン等で求められる分類ルールなどが存在する可能性があります。
それらについて法令管理機能上で確認・特定しておくことなどが想定されます。5.31 法令、規制及び契約上の要求事項
<規格要求>
情報セキュリティに関する法令、規制、契約上の要求事項、並びにそれらの要求事項を満たすための取り組みの特定、文書化、最新状態での保持の実施。
この管理策への対応の一つとして多くのケースで法令一覧の作成が行われます。
そして法令管理機能ではその一覧をセキュリオ上で管理することが可能になります。
また、最新に保つという観点でも法令管理機能に特定されている法令類は全て四半期に一度改正状況を反映させているため、運用組織が工数を掛けずに対応することが可能です。5.34 プライバシー及び個人を特定できる情報(PII)の保護
<規格要求>
適用される法令、規制、契約上の要求事項に従ったプライバシー・PIIの保護に関する要求事項の特定、満たすことの実施。
法令管理機能では個人情報保護に関する法令等も登録されているため、それらの法令を特定し改正状況や要求などを把握することも可能です。選考
<規格要求>
適用法令、規制、倫理等を考慮に入れた候補者の経歴確認の実施。
こちらについても個人情報保護や採用等に関連するような法令、ガイドラインを法令管理機能上で特定し、改正状況や要求などを把握することも可能です。8.11 データマスキング
<規格要求>
適用される法令等を考慮したデータマスキングの実施。
こちらについても個人情報保護や各種業界や取り扱うデータ(AI等)に関するガイドラインを法令管理機能上で特定し、改正状況や要求などを把握することが可能です。
法令管理機能を使うメリット
ここまでは法令管理機能がISMSの規格とどのように関連しているか整理してきました。
続いてISMSでセキュリオの法令管理機能を使うメリットについて考えてみましょう。
法令等の追加・削除が容易
法令管理機能では、一覧から簡単に法令検索を実施でき、自社の法令一覧への登録・削除についてもワンクリックで対応できるため、法令一覧の作成・維持に工数を割く必要がありません。管理工数を大幅に削減できる
法令一覧を管理する取り組みにおいて最も工数がかかるのが、特定している法令等の改正状況を確認することです。
通常の場合、自分たちで情報源に調べに行って改正内容などを一つ一つ確認していく必要があります。
それに対し法令管理機能では、セキュリオ側で登録されている法令の改正状況を四半期に一度確認、反映させているため組織側で改正状況の確認等の工数削減が可能です。
まとめ
今回は第13回として「法令管理」機能を取り上げました。
法令管理は「最新に保つ」という要求の影響もあり、意外と手間や工数がかかる取り組みでもあります。
それをシステム内でシンプルに一元管理できますので、工数削減、管理しやすさの観点で利用について一考の価値があるかもしれません。
この記事が気に入ったらサポートをしてみませんか?