ISO27001は6.1.2情報セキュリティリスクアセスメントを要求します。この項目はISO9001 やISO14001に規定されていることではなくISMS独特の項目です。次の事項を含む情報セキュリティリスクアセスメントのプロセスを決めて適用する必要があります。
① 情報セキュリティのリスク基準を確立し、維持する
② 情報セキュリティリスクアセスメントが一貫性、妥当性、比較可能な結果を出す
③ 情報セキュリティリスクを特定する
④ 情報セキュリティリスクを分析する
⑤ 情報セキュリティリスクを評価する
① 情報セキュリティのリスク基準を確立し、維持するためには、
1)リスク受容基準
2)情報セキュリティアセスメントを実施するための基準
の2要素が少なくとも必要とされています。情報セキュリティマネジメントを検討する際に「リスク受容」とはと思われるかもしれませんが、リスクマネジメントには①リスク回避、②リスク低減、③リスク共有、④リスク受容の方策があります。さて、リスク基準とはJISQ27000によれば、「リスクの重大性を評価するための条件」と定義されています。また、リスクとは同じくJISQ27000では、「目的に対する不確かさの影響」と示されていますから、この用語からすると確率の話になります。また、JISQ27000ではリスク受容とは、「ある特定のリスクを取るという情報に基づいた意思決定」という定義があります。
リスク受容をするための基準がリスク受容基準ですが、その様な意思決定を行う背景には、リスクの重大性が小さく、かつ目的に対する不確かさが小さいからということになります。我々はマイナンバー対策を考えるにあたり、どうしても個人情報保護法の特別法としてマイナンバー法があり、マイナンバー漏洩に対する罰則が個人の基本4情報漏洩に対するものより強化されていることもあって、リスク回避を念頭に対策を講じることが多いのですが、われわれの立場からすると必ずしも想定されるリスクすべてに対して最高レベルとされる回避を講じることができません。なぜならば、我々の対策はマイナンバー対策であったとしてもコストベネフィットを考慮する必要があるからです。
事業者として確実にリスク回避を行う簡単な方法は「マイナンバーに接触しない」ことになりますが、残念ながらマイナンバーは税と社会保障の事務効率化を行うための番号ですから、税の手続や社会保険手続の一部を代行している事業者としては「マイナンバーを接触しない」ということ逃れられないということになります。では、どこまでなら受容できるのか。マイナンバーガイドラインでは中小企業に対する漏えい対策は大企業が行うそれより低減されることになっていますが、どの程度低減できるかについては個々の企業でリスク受容基準を検討する必要があります。リスク受容基準のパラメータはリスク発生頻度とリスクの影響度となります。これらの要素を点数化してある一定の値を下回る場合はリスク受容することになります。
