例えば、取引先A社の担当である鈴木さんに重要なファイルを添付で送りたい時、
宛先欄に「suzuki」と入力した段階で、@以下の文字列が自動的に挿入されるという機能です。

eメールの誤送信事故の原因の一つに、メーラーに備わっているこの機能があります。

過去にメールをやり取りした相手のアドレスからPCが自動的に拾って来て表示しているのですが、
時間がなくて急いでいる時などは要注意！！

A社の鈴木さんとは全く別の鈴木さんのアドレスが挿入されているかもしれません。

また、色々な鈴木さんのメールアドレスがプルダンメニューに表示され、そこから選択できる場合もあります。

しかし、間違いなく選択したつもりが１行ずれていて別の鈴木さんになっていたりすることもあり危険です。

「自分もやってしまうかも・・・」と思ったあなたは、

迷うことなくこれらの機能をオフにしておくことをお勧めします。

もし、それではあまりに不便だと言うなら、
日頃からアドレス張をしっかりと作成して、そこからメールアドレスを拾ってくれば間違いは起こらないでしょう。

とにかく、メールを送る前に送り先が間違っていないか、念の為にもう一度確認するのが基本！！

急いでいる時ほど徹底したいものです。(^-^)/

特に、東日本大震災以降は、重要なデータのバックアップ方法の見直しを行う企業が多く、

コンサルティングの現場でもこれらの安価で便利なサービスを利用するに当たり、

既存の情報セキュリティルールをどのように修正すればよいかと問われることが増えています。

確かに一部では、

“クラウドサービス”と“情報セキュリティ”は水と油の関係

と言ってもよいでしょう。

この件に関して、国は本年４月１日に

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」（PDF）

を策定、公開しています。

このガイドラインは、クラウドサービスの利用者の情報セキュリティに関する不安を減らして、

クラウドサービスの利用促進を図ることを目的としています。

クラウドサービスを積極的に利用して、且つ情報セキュリティレベルを必要な水準に維持するため、

具体的手法を探るキッカケにはなるのではないかと思います。

お仕事上関係のある方は、早めに確認しておかれることをお勧めします。

こういう事ってよくありますよね・・・

自分にとっては重要なデータでも、第三者から見ると大して重要に映らないという事はよく起こります。

しかし、これを嘆いてはいけません。 そもそも、あなたの大切なデータに第三者が容易にアクセスできてしまう状態を放置したこと自体に問題があったのです。

この例が示すように、会社の備品やデータを捨てる場合、独自の判断で処理してしまいがちです。しかし、しっかりとした廃棄ルールを策定して、このルールに従って廃棄しなければ、いざその資産が必要になった段階で“紛失事故”になってしまいます。

既にISMSやPMSを運用している会社でも、この「廃棄」プロセスにおける情報資産の漏洩リスク対策が不十分なところが多いですから、マネジメントシステムを持たない企業ではなおさらです。

まず、社内の情報資産毎に保管期間が決められていません。

会社の納税関連書類などには、法定保管期間が定められていますが、私的な文書は自らがルール付けしないと使いもしない文書が大量に何時までも社内に残留することになります。

どのような理由で保管が必要なのか考えることで、妥当な保管期間は決まるものです。

また、情報資産ごとの廃棄方法も重要です。 文書などの紙データの場合は、少量ならば社内のシュレッダーで処理できるでしょうが、大量になるとそうもいきません。運送業者の溶解（焼却）サービスを利用するか、専門の廃棄業者に依頼して処理してもらうことになるでしょう。

廃棄するのが個人情報の場合、個人情報取扱事業者が廃棄を外部事業者に委託する際には個人情報保護法第２２条の「委託先の監督」義務を守る必要がありますのでご注意を。。。

そこでまず問題となるのが、廃棄事業者の選定基準です。

廃棄物が機密性の高い資産である場合、そういうものを扱っているのだという意識で対応してくれるかどうか、精査する必要があります。委託する側が廃棄業者の指導・監督を行わなければならないのです。

委託の際前提となるのは、委託側・受託側それぞれの責任範囲の明確化ですが、実際の指導・監督においては以下のような点にも注意が必要です。

１．委託する側が求める安全管理措置を盛り込んだ委託契約の締結

２．定期的な業務報告の実施

３．委託業務の再委託の禁止（もしくは再委託の際の事前報告と承諾）

また、約束したプロセスに沿って廃棄が完了したことを「廃棄証明書」で報告してもらいましょう。万一、廃棄プロセスの途中で漏洩事故が起こっても、責任の所在がより明確となります。

次に、廃棄担当者や責任者が明確でないという問題もあります。

ある会社では、特定の重要社内文書を廃棄する場合は、予め決められた廃棄責任者に申請して許可をもらい、さらに複数の担当者が立会いのもと廃棄するほど気を使っています。

この会社では、これらの廃棄方法が全て「文書管理規程」や「記録メディア廃棄規程」として文書化され、日常の業務の中に根付いています。 一般の企業でも、情報資産の「取得」や「利用」・「保管」のプロセスばかりでなく、「廃棄」プロセスにももっと注意を払う必要があると思います。

ちょっと飛躍が過ぎるかもしれませんが、ルールを作成する場合も、まず“捨てる”ところから考えてみてはどうでしょうか。捨てるところから集める・作るところを想像してみる。

もしかしたら、

「こんなもの、結局使ってないじゃないか。」

と、不要な情報資産まで集めてしまっていたことに気づくかもしれませんね。

ISO27001やPマークの支援をしていると

この質問がよく飛んできます。

「残留リスク」とは、会社が抱える固有のリスクの中で、

現在実施している若しくは今後実施することが決定している対策では対応できないリスクのことです。

したがって、どのようなリスクが「残留リスク」となり得るかは会社によって異なります。

一般的な「残留リスク」の例というものは存在し得ません。。。

例えば、盗難、紛失、破損の３つのリスクのある情報資産があり、

施錠ルールの運用により盗難、紛失の２つのリスクへの対応はできていても、

破損に対する追加の対策がなければ、破損リスクが「残留リスク」となります。

ここで注意して頂きたいのは、地震等の天災、悪意の第三者による行為を残留リスクに挙げているケースです。

これらは平時の対策ではどうにもならないリスクですので、

例え「残留リスク」として特定してもその後の対策には限界があります。

これらは事業継続のテーマとして切り分け、有事を想定したBCP（事業継続計画）によって対応する必要があります。

「業務の外注先の管理はどこまで必要なんですか？外注先がさらに外注したらどうなるんでしょうね。」

旅行業の会社で質問が出ました。

個人情報保護法では、その第２２条で、業務委託先の個人データの安全管理についての個人情報取扱事業者の監督責任が定められています。

このケースのように、業務の委託先の会社がまた別の会社に当該業務を外注することを「再委託」と言います。

最近では、定型業務を中心に業務のアウトソーシングが盛んですから、委託先企業も受託した業務の一部をさらに他の企業に再委託することも当たり前になってきました。

このような状況で、業務の委託元の監督責任が再委託先や再々委託先まで延々と問われるのか。

このテーマについては、個人情報保護の現場で常に疑問に思われているようです。確かに個人情報保護法における「委託先の監督義務」には再委託についての直接の規定はありませんから、判断に迷うのもよくわかります。

しかし、もし監督責任がどこまでも及ぶとすると、業務の遂行に大きな負担となることは明らかです。したがって、この再委託の場合の監督責任は、基本的に委託先が負うものと考えるのが自然です。

実際、現場では、最初に業務の委託を行った個人情報取扱事業者は、委託先の監督義務のみを負っていると判断しています。そして、再委託先の監督義務は、直接には委託先の事業者にあると解釈されているのです。

つまり、業務の委託元は自ら再委託先の事業者を直接監督する権限がないと考えられているわけです。

その上で、委託元である個人情報取扱事業者は、再委託先の選定に明確な基準を適用しているか、再委託先に対して適切な監督が実施されているかなどについて、委託先の事業者を監督する義務を負うことになります。

ですが、ここで一つの疑問が生じます。

実際にそんなことが可能でしょうか。特に、委託先が個人情報取扱事業者に当たらない零細企業や個人事業主の場合は、そこまでの義務を強いてよいのか。また、アウトソーシングを選択するような事業者が委託先における再委託先の監督状況までチェックできるだろうか、という疑問です。

プライバシーマークの取得支援の過程でよく思うことですが、委託先の事業者が個人情報取扱事業者でプライバシーマークを取得していたりしない限り、これは現実には無理です。

実際、委託元の事業者のほとんどは、委託先との間に締結する「業務委託契約書」の中に“再委託の禁止”を謳うことで、このリスクを回避しています。

法律や省庁ガイドラインが描く理想の個人情報保護対策と現実の個人情報保護対策との間の大きな乖離が、業務の「再委託」という、こんな場所にも表れているわけですね・・・

その根拠は、例えば管理策【A.10.2】「第三者が提供するサービスの管理」において推奨されているように、
（付属書Aに挙げられた管理策とはISO27001の要求事項を補足する概念）

この管理策が云っているのは、

「第三者の提供するサービスに関する合意に沿った、
情報セキュリティ及びサービスの適切なレベルを実現し、維持すること。」

つまり、まず第三者が提供する（第三者からの提供を受けている）サービスを特定する必要があります。
特定するための基準として“契約”が分かりやすく、
したがって、特定の第三者（サービス事業者等）との“契約書”を単位とした洗い出しが適切という判断になります。

この第三者には、一般に以下のような組織が考えられます。

●ITサービス提供事業者
●情報システム関連事業者
●会計・監査・税務関連事業者
●人事・労務関連事業者
●広告関連事業者
●清掃・不動産管理関連事業者
●警備関連事業者

例えば、監査法人との契約は、上記の会計・監査・税務関連事業者に当たりますので、
彼らとの契約に基づくサービスは情報資産の洗出しの対象になります。

但し、実際の洗い出し作業においては、出来る限り省力化を図るために、
同じ企業との間に複数の契約が有る場合は、
情報資産名を「業務委託契約書（対■■社）」として幾つかの契約を一つの資産として捉えたり、
上記の区分（情報システム関連事業者等）により分類して、
「業務委託契約書（対情報システム関連事業者）」のようにまとめて洗い出すのも手です。

ISMSにおける情報資産の洗い出しのポイントは、

「漏れ無く洗い出すこと」であり、決して細かく洗い出すことではありません。

情報資産の台帳を作成する際には、あまり現場の負担にならないようにすることが重要です。

この辺りの解釈は誤解の多いところですが、
洗い出しを担当される作業者の共通理解の下、洗い出しを実施しましょう。

情報セキュリティに関する生きた情報を発信していきたいと思います。