ポリシーの適用範囲
セキュリティポリシーはその適用範囲も明確に示す必要がある。
これまでも頻繁に全社的な取り組みと表現してきたことからもわかるとおり、単純にIT部門のみを対象にするのではなく一般業務部門や、場合によっては提携先にも注意を払う必要がある。
ここでは、ポリシー適用範囲を決定する上での留意事項を扱う。
考慮すべき脅威
情報がさまざまな場所で利用される以上、脅威はあらゆる場所に潜んでいる。
情報資産が利用される際には、主体、媒体、用途、重要性などさまざまな要素や状況が存在し、それぞれ想定される脅威も異なってくる。
たとえば実際に情報システムを扱うIT部門が相応のセキュリティ対策をとっていても、そのIT部門から情報を引き出した顧客部門がノーガードならばそこから外部に顧客情報が流出する危険性が生じる。また自社が厳密な規定で守られているとしても、業務を委託した他社が杜撰な管理をしていればそこから間接的に情報が流出する場合もある。
セキュリティポリシーはこういった多様な状況に対応できる総合的なセキュリティマネジメントシステムを構築するものであるべきで、当然その内容は多岐に渡ることとなる。
個別の事象ではなく全体を包含
前項に示したように、想定される脅威は多岐に渡り、無数に存在する。そのため単純に個々の事象のみに焦点を当てて規定を作るのみでは到底十分な対応はできない。
適用範囲というとどうしても個々の事象や具体的な部門を想定しがちだが、決してそれが全てではない点は注意すべきである。
理想としては、策定の際には予想し得ない脅威(あるいは存在していなかった脅威)にも対応可能なマネジメントシステムを構築したい。
そのためにも、ポリシーは単なる決まりごとではなくシステムを規定するものとして作成することを意識すべきであろう。
情報資産の洗い出し
当然ながら守るべき情報資産が正確に把握されていなければ適切な適用範囲は策定できない。自社社員の個人情報など思わぬ盲点がある場合もあるため、情報資産管理台帳などを利用して守るべき資産は明確にすべきである。
この情報資産はモノやデータに限らず、組織や人員、明文化されないノウハウなども含まれる。失っては困るもの、漏洩する事で損害をこうむる可能性があるものを適切に抽出することが重要である。
適用範囲を決定するにあたって
これまでにも述べたとおり、ポリシー策定時には自社の状況(事業特性、組織特性、物理的な周辺状況、資産規模や資産の種類、使用技術など)を考慮することが必要不可欠である。当然適用範囲決定においてもこれは同様であり、さらに他社や顧客との契約事項、法令などにも整合するように調整する必要がある。
たとえば個人情報保護法に基づく規定や、顧客との間に結んだ保護規定、或いは他社との守秘義務契約などもポリシーに影響する。
また逆に、ポリシーにしたがって業務委託先などと守秘義務契約を結ぶことも重要である。他社に自社のポリシーを適用する事は難しいが、少なくとも自社に関係する情報に関する保護規定としての守秘義務契約などは一つの適用範囲のあり方として考慮すべきである。
