「対象外」判定こそが、
再発を防ぐ最大のチャンス
当社では、発生した事象に対して「対象外」から「レベル4」までの判定を行っています。
しかし、ここで落とし穴があります。「対象外=事故ではない=もう何もしなくていい」という誤解です。
「対象外」とは、たまたま実害がなかった、あるいは定義に当てはまらなかっただけに過ぎません。放置すれば、次は情報セキュリティ事故として再発する可能性が非常に高いのです。
判定結果に関わらず向き合うべき「口頭漏洩」
「対象外」と判定された場合であっても、決して見過ごしてはならない例に「口頭漏洩(口頭による情報漏洩)」があります。
典型的なのは、委託元から提供された個人情報データそのものに誤りがあり、その情報をもとに架電した結果、意図しない相手に情報を伝えてしまったケースです。
当社に起因しない原因でも?
元々のデータミスが原因であれば、当社の過失ではないため、判定は「対象外」となることがあります。しかし、たとえデータが間違っていたとしても、電話口で「不要な個人情報を発言してしまった」という事象そのものは、本来防ぐべき不適切な対応です。
なぜ是正が必要なのか
「データのせいだから仕方ない」で終わらせず、判定が「対象外」であっても是正に動くべきです。トークスクリプトの見直しや、本人確認手順の強化など、仕組みを改善する機会と捉える必要があります。
「対象外」でも必要な4つのステップ
情報セキュリティ事故報告書を書くだけで終わらせないために
原因分析
なぜその事象が起きたのか?徹底して「なぜなぜ分析」を行い、真因を特定します。必ず当事者への直接ヒアリングを徹底してください。
ヒアリングが不可欠な理由:
「注意不足」で片付けてしまうケースの多くは、ヒアリング不足が原因です。当事者の声を直接聞くことで、手順書の分かりにくさや心理状況など、表面化しにくい真因が見えてきます。
是正処置
特定した原因を除去し、再発を防ぐ仕組みを整えます。業務フローやマニュアルの根本的な見直し、再教育などを実施します。
効果確認
対策を打って満足せず、一定期間後に本当にその対策で事象が防げているかを確認します。効果がなければ再是正を検討します。
真の水平展開
水平展開は、単なる「事象の周知」ではありません。「する側」と「される側」双方が具体的なアクションを起こすことで初めて機能します。
- 単なる事象の共有
- 是正策およびリスクアセスメントのレビューを実施し、その業務フローのデータを共有する
- 単なる事象の把握(読み流し)
- 共有されたフローと自部門のフローを突き合わせ、再リスクアセスメントを実施する
内部監査での「不適合」に注意!
水平展開された事象に対し、自部門での「再リスクアセスメント」が実施されていない場合、内部監査において「不適合」と判断されます。
「他部署のことだから関係ない」ではなく、自部門のフローに同様の落とし穴がないか今すぐ再点検を行い、その記録を残してください。
現場の「違和感」がISMSを強くする
事故報告書や是正処置の対応は、確かに多大な労力を要します。
しかし、口頭漏洩のようなケースこそ、自分事として再アセスメントを実施してください。
「対象外」の時にどれだけ徹底できるか。 それが、あなたと組織を将来の事故から守る唯一の方法です。
理解度チェック:フラッシュカード
カードをクリックして正解と解説を確認しましょう。
「対象外」判定となった事象は、何もしなくてよい?
いいえ。「対象外」はたまたま実害がなかっただけの可能性が高いため、放置せず是正に繋げることが重要です。
原因分析を行う際に、書類確認以外で必ず行うべきことは?
当事者への直接ヒアリングです。現場の心理状況や手順の不備など、真因を特定するために不可欠です。
「是正処置」の本当の目的は何ですか?
不適合の原因そのものを除去し、将来の再発を防ぐための「仕組み」を整えることです。
「効果確認」で効果がないと判明した場合の対応は?
速やかに再是正(別の有効な対策)を検討・実施する必要があります。
「水平展開」を受けた部門が行うべき必須アクションは?
自部門の業務フローと照らし合わせ、同様のリスクがないか「再リスクアセスメント」を実施することです。
内部監査で水平展開が不備とみなされるケースは?
「情報の把握」だけで終わり、自部門での検証(再アセスメント)の記録がない場合、不適合と判断されます。