ISO/IEC 27002:2022 8.10 情報の削除
teramoto
ISO27002:2022年度版の新設された要求事項
ISO27001の審査員を始める事になり、半年ほどが経ちます。
現在はトレーニングをしており、多くの情報を頭の中に入れている状況です。
そんな中で昨年に発行されたISO27002:2022年度版、ISO27001のガイドライン的な位置付けの規格書になります。この要求事項に対応が必要となってきます。ISO27001:2022年度版が10月25日に発行されましたので、約1年後に「JIS Q 27001」という日本版が発行され、ISO27001認証取得機関は、2年ほどの猶予の内に2022年度版の要求事項に更新が必要となってきます。
この規格の内容には現行の2013年度版から11のあらたな要求事項があり、その中に弊社の業務に関係する事項が「8.10 情報の削除」です。
過去の2013年度版にも処分などの文言で2つほど小項目として要求事項はありましたが、今回は大項目として「情報の廃棄」という要求事項が作られた事になります。
なぜ、このような要求事項がつくられたのか
神奈川県庁における情報漏洩事件に関する記者会見での画像を引用
昨年にこの2022年度版の研修を受講しましたが、その際のテキストや講師の方が口にされていた言葉が、
「日本が特に要望をして格上げされた要求事項」であった。
そのようなお話でした。
察するに、上記の2019年に発生した神奈川県庁の情報漏洩事件が影響しているのではないかと個人的には覆思っています。
事件の概要
神奈川県庁で個人情報や機密情報を含む行政文書の保存に使われていた3TBのHDD(ハードディスクドライブ)18個がインターネットオークションサイトで転売され、情報が流出した。
神奈川県とサーバなどのリース契約を結んでいる富士通リース(東京都千代田区)が2019年春に県にリースしているサーバからこのHDDを取り外し、契約に基づいたHDDの処分を処理会社のブロードリンク(東京都中央区)に外部委託した。同社の担当者がHDDの一部を持ち出してオークションサイトで転売し、このうち9個を購入したIT企業経営の男性がHDDの中身をデータ復元ソフトで確認したところ、神奈川県の公文書と思われるデータを発見して新聞社に情報提供したことから、新聞社が県に確認して流出が判明した。6日午前の県の発表によると持ち出されたHDDは計18個で、そのうち9個は回収済み、ほか9個の所在は記事作成時点(2019年12月6日)で不明とされている[1][2]。流出したのは個人名や企業名記載の納税通知書、法人名記載の税務調査後の通知、個人名や住所が記載された自動車税の納税記録、企業の提出書類、県職員の業務記録や名簿などの個人情報を含むデータで、持ち出されたHDDは1個当たり3TBの保存容量を有するため、18台分で最大で54TBのデータが流出した可能性がある。
フリー百科事典『ウィキペディア(Wikipedia)』より引用
注目する内容
弊社として注目する内容が以下になります。
装置をベンダに送り返す際に、意図せずに取扱いに慎重を要する情報が漏洩することを防⽌するために、装置が組織の敷地を離れる前に、補助的な記憶装置(ハードディスクドライブなど)やメモリを取り除くことで、取扱いに慎重を要する情報を保護する事が望ましい。
この内容です。
私の解釈では、「神奈川県庁の事件」のようにならない為に、パソコンの入れ替えの際にはハードディスクなどの記憶媒体はパソコンから取り外して、それ以外を処分するようにしてください。
こう受け取れます。
もっと突っ込んで考えると、これはあらゆる情報媒体に言える事で、紙であれ、データーであれ、廃棄の際は自社敷地外への持出ではなく、自社内にて廃棄を行って下さい。
こういう要求事項に思えます。
今後の対応として
ISO27001なんて関係ないと考える事業者さんは別として、情報セキュリティ対策を行う教科書的な規格ですので、無視はし辛いのではないかと思います。
特にISO27001の認証取得を受けている企業さんは検討が必要な管理策ではなかと。
ISO27001の2022年度版への移行審査はこれからがメインとなっていきますが、コンサルの先生と詰めていかなければならない要求事項なのだと思います。
アリビオができること
弊社は出張にて機密文書やHDD等のデータを処分するサービスを提供しています。
この新たな要求事項の対策として、有効な手段として検討を頂けるサービスではないかと思っています。
機密性を守る手段として是非ご検討下さい。
詳しい弊社のサービスは以下バナーよりご確認下さい。
