ISMS概論｜情報セキュリティにおける「リスク所有者」とは

無料メルマガ登録でプレゼント！書籍「セキュリティ対策の基礎知識」

「リスク所有者」という言葉。これを聞いてどう感じるでしょう。リスクを持ってる人？存在そのものがリスクな人？

情報セキュリティでは、「リスクが顕在化したとき責任を取る人」という意味ですね。余りなりたくないポジションです。

この記事の目次

1 リスクマネジメントにおける２つの考え方
2 情報セキュリティにおいてのリスク所有者とは？
3 まとめ

リスクマネジメントにおける２つの考え方

「リスクが顕在化したときに責任を取る人」この文言の中に重要な二つの考え方が潜んでいます。

リスクは顕在化し得る

まず一つ目は「リスクは顕在化し得る」ということです。どんなに小さいくても、“可能性”はゼロにはなり得ません。顕在化することがあります。リスクが顕在化した場合に、

どう対応すれば良いのか？
対応しなくてもよいのか？

それを計画するのがマネジメントの基本と言ってもいいくらいです。

全てのリスクには責任を負うべき者が必要

そしてもう一つの考えが、「全てのリスクには責任をとるべき者がいる」ということです。

今日世間を騒がせている「豊洲市場の盛り土問題」のように、“責任者か誰なのか曖昧”の様な状態では、「マネジメントができてない」「ガバナンスの問題だ」と言われるのは当然です。ISOマネジメントの観点から見ても不適合です。

ただこのケースに関しても、責任を取るべき者は“いる”んですよ。全てのリスクには責任をとるべき者がいるはずなんですから。ではなぜ“曖昧”になってしまうのか。理由は明確です。それは、そのプロジェクトの“マネジメントシステムの責任者”の問題です。トップマネジメントの問題ということです。

つまり、豊洲市場のケースでいえば、知事の責任ということですね。極めて明快な話です。

情報セキュリティにおいてのリスク所有者とは？

それでは、情報セキュリティにおいてのリスク所有者とは誰でしょうか。情報を管理している人？多くはそうでしょう。その為、これまでは「情報資産の“管理責任者”」という言い方をされてきました。

しかし、2013年の規格改訂時には、“リスク所有者”という言い方に変更されたのです。これが何を意味するのでしょう。

「リスク所有者」の示す意味

このリスク所有者には、ISMSの運用を承認するという新たな役割が設けられました。その為、リスク所有者となった人は、リスク分析やその結果、管理策などに承認を与えることとなります。この役割を考えれば意味は自ずとわかります。何かあった場合に、責任を取らされる人ということです。

責任を負うのであれば、いい加減な管理体制でISMSを運用されたら困りますよね。自分の知らないうちに決まったことで問題が発生したからといって、その責任から逃げることは出来ません。リスク所有者を明確に決定し、内容に関して細かく確認するよう制度付けを行ったのです。

「情報資産の管理責任者」との違い

では、今まで使用されてきた「情報資産の“管理責任者”」とは何が違うのでしょうか？ここでは、ISMS内にも多発している“和訳”の問題が出てきます。

実は、和訳のJIS版が出たときに、ISOの原文にない下記の一文が追加されました。

多くの場合、リスク所有者は情報資産の管理者と同一である。

これは、間違いではありません。“多くの場合は”そうなんです。しかし、“少数”の場合もあります。

管理してない場合でも、責任を取らされるのです。法的又は契約上の場合、リスクは発生し得ます。そして法的な場合に責任の所在として挙げられるのが、下記の様な役職を与えられている人物です。

個人情報管理責任者
マイナンバー管理責任者

彼らは、マイナンバーを始めとする個人情報を“実際に”管理しているのでしょうか？…おそらく答えはNOです。部下に丸投げしているケースがほとんどです。（総務部長しかり、人事部長など）

しかし、法的には、個人情報管理責任者は、原則取締役以上でなければなりませんし、有事の際には実刑もあり得るポジションです。つまり、この人たちは「情報資産の管理責任者」ではありませんが、「リスク所有者」ということになります。
※リスク所有者は、原文では“risk owners”と複数形表記ですので、１人とは限りません。