カテゴリ:ちょっと高度?個人情報保護とセキュリティ
時間があいてしまいましたが、今回はISMS認証を与えられた組織等が、セキュリティ事故(情報漏えい)を起こした場合のISMS審査側の法的責任というのが、私が参加した11月の研修会で問題になっていました。この点についてちょっと考えて見たいと思います。
ISMS認証は、ある組織等がISMSというセキュリティの基準に達する位のセキュリティレベルを確保している事を第三者が認め証明するものです。 ISMSの審査をする側としては、「基準に達しているという事を認証するもので保証するものではない(だから法的責任は無い)」という事だそうです。 でも、保証しないからといって法的責任が全くないというのは、ちょっと御幣がある気がしませんか? それは、「この会社はISMS取ってるから機密情報や個人情報を扱わせてもよいな・・・」というつもりで、ISMSを信頼したけど、実はとんでもなく杜撰な情報管理だったとか、であったらISMSは何のためにあるのか分からないですよね? ISMSの審査も、最終的な判断は形式的な基準だけで判断されないので(言い過ぎのきらいもありますが)ISMS審査の際に何かの力が働いて、基準に達していなくても認証を出すとか、(「他のところにたのむわ」なんて言われたりすると弱いでしょうし・・・) うっかり重要なことを見逃していたとか・・・ の場合には、たとえISMSの認証が出ていてもISMSの基準に達しているセキュリティだとは言えませんよね? その場合審査して認証を通した側は責任を取るのかという事です。 やはり、無責任では済まされませんよね? でも、ISMSは組織にあった形で事実上限定適用する事が出来る上、審査のための実地調査にしても、時間は短く、業務に支障の無いように行い、社内のガイドを同行させて行うので、そう考えると審査する側に責任を負わせるのはちょっとひどい話だと思いませんか? そうすると、責任も限定的にするべきでないかと思います。 ちょっとうっかり見過ごしたという程度だと調査が限定的である以上、責任とを問うのは難しいのではないかと思います。 しかし、全くセキュリティ管理の体制が整っていないのに整っているように調査した審査担当が嘘の報告をして、認証を取ったという場合や、 例えばドアに鍵がついていないのに、実地調査される会社の人の説明を鵜呑みにして鍵がつけていたという報告のように少し調べれば明らかに分かるようなものを見逃すなど があればISMS審査側の責任は全く無いとはいえないでしょう。 そのため、ISMSを審査する側に責任が無いわけではないですが、多分責任を問われるのは、通常考えられないような事態が発生したときにかぎられるでしょう。 (ただ、「法的責任がない」というのは言いすぎではないかなと思います。) (ちなみに法的責任はISMSを信頼して契約を結んだ相手には、直接の契約関係が無いので不法行為責任を負う事になります。また、認証を受けた側に対しては、債務不履行責任を負う事になります。ただ、審査する側とされる側がグルになっていた場合はお互い悪い事をしているので、基本的には責任云々の問題ではないのですが、特定の個人同士でグルになっていた場合は会社からその人達に不法行為もしくは(委任や雇用、契約上の)債務不履行責任等を問う事はできます、) 今回もやたら難しい話ですみません。 お気に入りの記事を「いいね!」で応援しよう
最終更新日
2005.11.25 22:42:41
コメント(0) | コメントを書く
[ちょっと高度?個人情報保護とセキュリティ] カテゴリの最新記事
|
|