セキュリティアドミニストレータ？のつぶやき

時間があいてしまいましたが、今回はＩＳＭＳ認証を与えられた組織等が、セキュリティ事故（情報漏えい）を起こした場合のＩＳＭＳ審査側の法的責任というのが、私が参加した１１月の研修会で問題になっていました。この点についてちょっと考えて見たいと思います。
ＩＳＭＳ認証は、ある組織等がＩＳＭＳというセキュリティの基準に達する位のセキュリティレベルを確保している事を第三者が認め証明するものです。
ＩＳＭＳの審査をする側としては、「基準に達しているという事を認証するもので保証するものではない（だから法的責任は無い）」という事だそうです。
でも、保証しないからといって法的責任が全くないというのは、ちょっと御幣がある気がしませんか？
それは、「この会社はＩＳＭＳ取ってるから機密情報や個人情報を扱わせてもよいな・・・」というつもりで、ＩＳＭＳを信頼したけど、実はとんでもなく杜撰な情報管理だったとか、であったらＩＳＭＳは何のためにあるのか分からないですよね？

ＩＳＭＳの審査も、最終的な判断は形式的な基準だけで判断されないので（言い過ぎのきらいもありますが）ＩＳＭＳ審査の際に何かの力が働いて、基準に達していなくても認証を出すとか、（「他のところにたのむわ」なんて言われたりすると弱いでしょうし・・・）
うっかり重要なことを見逃していたとか・・・
の場合には、たとえＩＳＭＳの認証が出ていてもＩＳＭＳの基準に達しているセキュリティだとは言えませんよね？
その場合審査して認証を通した側は責任を取るのかという事です。

やはり、無責任では済まされませんよね？
でも、ＩＳＭＳは組織にあった形で事実上限定適用する事が出来る上、審査のための実地調査にしても、時間は短く、業務に支障の無いように行い、社内のガイドを同行させて行うので、そう考えると審査する側に責任を負わせるのはちょっとひどい話だと思いませんか？
そうすると、責任も限定的にするべきでないかと思います。
ちょっとうっかり見過ごしたという程度だと調査が限定的である以上、責任とを問うのは難しいのではないかと思います。

しかし、全くセキュリティ管理の体制が整っていないのに整っているように調査した審査担当が嘘の報告をして、認証を取ったという場合や、
例えばドアに鍵がついていないのに、実地調査される会社の人の説明を鵜呑みにして鍵がつけていたという報告のように少し調べれば明らかに分かるようなものを見逃すなど
があればＩＳＭＳ審査側の責任は全く無いとはいえないでしょう。

そのため、ＩＳＭＳを審査する側に責任が無いわけではないですが、多分責任を問われるのは、通常考えられないような事態が発生したときにかぎられるでしょう。
（ただ、「法的責任がない」というのは言いすぎではないかなと思います。）
（ちなみに法的責任はＩＳＭＳを信頼して契約を結んだ相手には、直接の契約関係が無いので不法行為責任を負う事になります。また、認証を受けた側に対しては、債務不履行責任を負う事になります。ただ、審査する側とされる側がグルになっていた場合はお互い悪い事をしているので、基本的には責任云々の問題ではないのですが、特定の個人同士でグルになっていた場合は会社からその人達に不法行為もしくは（委任や雇用、契約上の）債務不履行責任等を問う事はできます、）

今回もやたら難しい話ですみません。