2016年12月8日「サイバーセキュリティ経営ガイドライン」の改訂版と解説書が発表されました。
▷サイバーセキュリティ経営ガイドライン解説書/IPA(情報処理推進機構)
今回は、臨時コラムとしてサイバーセキュリティ経営ガイドラインVer1.1の改訂版・解説書について考えてみたいと思います。
サイバーセキュリティ経営ガイドラインの整合性
2015年12月に発表されたVer1.0は、“滑り込み”で発表されたこともあり、内容に問題点も多く非常に解りにくいものでした。
これに対し、今回の改訂では「セキュリティ投資に対するリターンの算出はほぼ不可能」など、リスクマネジメントの概念を根底から覆すような誤りは削除されましたので、一応“整合性”は取れるものになったと言えるでしょう。
しかし、各説明について“構成”から見直したわけではありませんので、「本当に解りやすいか」と問われると疑問が残ります。具体的で解りやすい「中小企業の情報セキュリティ対策ガイドライン」と比べた場合、実用性の面で劣るのは明確です。
このような現状に対し、今回の改訂版では同時に「サイバーセキュリティ経営ガイドライン解説書(以下解説書)」が発表されました。しかし、残念ながらこの解説書については、事実誤認や誤解を招く表現が散見されています。
企業が参考にする際、注意すべき点をまとめていきたいと思います。
サイバーセキュリティ経営ガイドライン解説書の注意点
1 会社法との関係性
まずは、会社法との関係についてです。
会社法において取締役会の決議事項である「内部統制システムの基本方針」等に、サイバーセキュリティリスク管理が含まれています。
(サイバーセキュリティ経営ガイドライン解説書7Pより引用)
“会社法に定められている以上必要”と相応の対策を求めることは正しいのですが、解説書の文言のまま経営陣へ提案することは少し危険です。
これは、NISCの出した「企業経営のためのサイバーセキュリティの考え方の策定について」から引用してきた文言かと思われますが、サイバーセキュリティリスク管理が取締役会の決議事項であるべきケースは、次のような理由に因ります。
内部統制の要求
会社法の362条4項6号では、取締役会の決議事項として「内部統制」の要求を定めています。
内部統制とは、経営に影響を与えるようなリスクに対し適切な管理を要求することで、この中に「サイバーセキュリティリスク管理」が含まれているという解釈が本来正しいものです。今の時代にサイバーセキュリティリスクをそのままにしておけば、経営に重大な影響を与えることも十分あり得ますからね。
基本方針に含まれているわけではない
つまり、解説書の文言のまま「基本方針にはサイバーセキュリティリスク管理が含まれています」と表現してしまうことは間違いです。基本方針には、そのような記載は出てきません。
あくまでも、会社法が定めている「内部統制」の中に、サイバーセキュリティリスク管理が含まれているということです。
2 責任の所在
次に、責任の所在についての注意点です。委託先が漏洩を起こした場合の責任の所在について、解説書では下記の様に書かれています。
別段の特約が無い限り、基本的には委託元も委託者としての責任を問われます。
(サイバーセキュリティ経営ガイドライン解説書10P/0-3サイバーセキュリティ経営の原則(2)より引用)
この表記は問題です。「委託元“も”~」と書かれていることにより、責任の“主体”が委託先にあるように感じられます。
情報資産を預かっているのは…?
情報の所有者は、委託元へ情報を「提供」しています。所有者(=提供者)が、委託元を信頼し、情報を預けているのです。つまり、責任の主体は委託元なのです。
日頃起こり得る具体例で、責任の所在を考えてみましょう。
- Aさんは友人のBさんにブランド品の自転車を貸しました。
- Bさんは、友人のCさんにAさんの自転車をまた貸ししました。
- Aさんは、Bさんからの「Cさんは自転車に乗るのが上手だから大丈夫」という言葉を信用していました。
- Cさんが自転車で転び、壊してしまいました。
- Bさんは「Cさんて、思ったほど自転車上手じゃなかったみたい」と謝ってきました。
この場合、責任をとるべきなのは誰でしょうか?
- 自転車を壊したCさん(委託先)
- 自転車をまた貸ししたBさん(委託元)
委託元が責任の主体
情報漏洩の場合、あくまでも最初に提供を受けた、委託元“が”責任を負うのです。解説書の記載のように「委託元“も”責任を問われる」といった生易しいものではありません。
“委託先のミスに巻き込まれた”など、自分たちに責任は無いといった認識では、情報の所有者(提供者)である世間から一斉に非難されることとなりますので、十分に注意しましょう。
まとめ
今回は、解説書で誤解の生じやすい「会社法との関係」と「責任の所在」について考えました。
改訂版及び解説書に関しては、まだまだ注意すべき表現がありますので、次回もこの内容を引き続き解説していきたいと思います。