【シリーズ】ISMS新規格の管理策　変更点まとめ＜5.31〜5.35＞

管理策の変更点まとめシリーズ第7回！

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

【シリーズ】ISMS新規格の管理策　変更点まとめ｜いしはまゆうき@LRMの情報セキュリティコンサルタント｜note

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

5.31 法令、規制及び契約上の要求事項

1. 特定対象の法令等が「情報セキュリティ」に特化
   旧規格の管理策では特定すべき法令等は「各情報システム及び組織ついて、すべての関連するもの」であると記載されており、解釈の方法によってはどこまでも広く取れるような表現となっていました。
   
   一方新規格では、特定対象が「情報セキュリティに関連する」法令等と、管理対象がより明確になったと言えます。ですので、明確に「これは情報セキュリティ観点から特定すべきものではないので」と説明がつけばそこまで詳細に大量の法令等を特定しなくても良いかもしれません。
   
   ただ、もちろん情報セキュリティに関わらず守るべき法令等はたくさんありますので、同じ管理の仕組みの中でテーマを絞らず管理をするというのも業務プロセスにISMSを融合させていくという観点ではGoodです！
   

2. 「暗号化機能に対する規制」の要求削除
   今回の規格改訂では、旧規格において個別に存在していた「暗号化機能に対する規制」の管理策が、この管理策に包含される形となりました。
   その中で要求自体も管理策からは削除されています。
   
   ですのでこれまで「暗号化機能に対する規制に関する業務が発生しなかったので適用除外」といった対応をとっていた場合はその辺りの考慮を行わなくても良くなるかもしれません。
   
   ただ27002においてはガイダンス内で考慮すべき事項としては残っていますので、従来から暗号化機能に対する規制に関するルールなどを存在させている場合は引き続き運用を続けることをおすすめします。

5.32 知的財産権

1. 目的が「法令や規制の遵守」から「知財権の保護」に変化
   「知財権についての適切な手順を定める」という要求に変更はないのですが、何のために手順を定めるのかといった目的が、旧規格では「法令や規制の遵守」にあったのに対し、新規格では「知財権の保護」に変化しています。
   
   大きく要求事項などが変わるとは想定されないですが、「法令や規制が守れていればOK」ではなく、「自分たちの持つ知財権を適切に守る」という観点もしっかり考慮することをおすすめします。
   

2. 「ソフトウェア」という文言の削除
   旧規格では、この管理策の中で知財権だけでなく「権利関係のあるソフトウェア製品の利用」に対する手順を実施することも要求されていました。
   新規格ではこの文言が削除されています。
   
   ただライセンス管理をしなくて良くなったというものではなく、ライセンスも知財権の一部として引き続き考慮することが望まれます。

5.33 記録の保護

1. 「法令、規制、契約及び事業の要求事項に従って」という文言の削除
   「記録の保護を行う」という要求に変化はないのですが、旧規格では保護の取り組みは「法令、規制、契約及び事業の要求事項に従って」行うよう要求されていたものが新規格では削除しています。
   
   ただもちろんこれを行わないと違法行為や契約違反につながってしまうリスクがあるので実施事項自体は従来から変わらないと考えて良いでしょう。

5.34 プライバシー及び個人を特定できる情報（PII）の保護

1. 要求に対する言い回しの変更
   新旧規格で管理策の言い回しが少し変更しています。ただ、適用される法律や規制、契約上の要求事項に従って保護活動を行わなければならないということに変わりはありません。
   
   あえて違うポイントを挙げると、旧規格では「もし適用される法令や規制があるなら」というレベル感の記載であったものが、新規格では「法令、規制及び契約上の要求事項」があることを前提としているような記載感になっているよう読み取れます。
   
   これには今回の規格改訂までの約10年ほどで個人情報保護に関する意識の高まりや世界的な法整備が進むなどの環境変化があったことが見て取れますね。

5.35 情報セキュリティの独立したレビュー

1. 「レビュー対象」の具体化
   「定期的・イレギュラーなイベント時には取り組み状況に関する独立したレビューを実施しましょう」という要求自体に変化はありません。
   
   その中で変更点として挙げられるのが、新規格においてレビューの対象に関して「人、プロセス及び技術を含む、情報セキュリティ及びその実施の管理に対する組織の取り組み」というように旧規格に比べ表現が明確化されました。
   
   取り組みを変えることはないですが、単純に規格を理解する側としてはイメージがつきやすくなったのではないでしょうか。

まとめ

今回も5つの管理策について変更点を整理してみました。
法令管理に関してはいずれも従来から変わらない対応を求め続けられていますが、世界の社会情勢や法整備状況などを踏まえた考慮が行われているようにも読み取れます。
また、約10年スパンで行われている規格改訂に対して、法改正対応はもう少し短期間のスパンで対応を必要とするケースもあるので、実は重要な管理策である事を意識しておきましょう。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会