ISO/IEC 27002:2022 8.10 情報の削除

ISO27002:2022年度版の新設された要求事項

ISO27001の審査員の業務を始め、いろいろな情報が入ってきています。

そんな中で2022年に発行されたISO27002:2022年度版、ISO27001のガイドライン的な位置付けの規格になります。この要求事項に対応が必要となってきます。ISO27001:2022年度版が10月25日に発行されましたので、約1年後に「JIS Q 27001」という日本版が発行され、ISO27001認証取得機関は、2年ほどの猶予の内に2022年度版の要求事項に更新が必要となってきます。

この規格の内容には現行の2013年度版から11の新たな要求事項があり、その中に弊社の業務に関係する事項が「8.10 情報の削除」です。

過去の2013年度版にも処分などの文言で2つほど小項目として要求事項はありましたが、今回は大項目として「情報の削除」という要求事項が作られた事になります。

なぜ、このような要求事項がつくられたのか

神奈川県庁における情報漏洩事件に関する記者会見での画像を引用

昨年にこの2022年度版の研修を受講しましたが、その際のテキストや講師の方が口にされていた言葉が、

「日本が特に要望をして格上げされた要求事項」であった。

そのようなお話でした。
察するに、上記の2019年に発生した神奈川県庁の情報漏洩事件が影響しているのではないかと個人的にはそう思っています。

事件の概要

神奈川県庁で個人情報や機密情報を含む行政文書の保存に使われていた3TBのHDD(ハードディスクドライブ)18個がインターネットオークションサイトで転売され、情報が流出した。

神奈川県サーバなどのリース契約を結んでいる富士通リース東京都千代田区)が2019年春に県にリースしているサーバからこのHDDを取り外し、契約に基づいたHDDの処分を処理会社のブロードリンク東京都中央区)に外部委託した。同社の担当者がHDDの一部を持ち出してオークションサイトで転売し、このうち9個を購入したIT企業経営の男性がHDDの中身をデータ復元ソフトで確認したところ、神奈川県の公文書と思われるデータを発見して新聞社に情報提供したことから、新聞社が県に確認して流出が判明した。6日午前の県の発表によると持ち出されたHDDは計18個で、そのうち9個は回収済み、ほか9個の所在は記事作成時点(2019年12月6日)で不明とされている[1][2]。流出したのは個人名や企業名記載の納税通知書、法人名記載の税務調査後の通知、個人名や住所が記載された自動車税の納税記録、企業の提出書類、県職員の業務記録や名簿などの個人情報を含むデータで、持ち出されたHDDは1個当たり3TBの保存容量を有するため、18台分で最大で54TBのデータが流出した可能性がある。

フリー百科事典『ウィキペディア(Wikipedia)』より引用

注目する内容

弊社として注目する内容が以下になります。

装置をベンダに送り返す際に、意図せずに取扱いに慎重を要する情報が漏洩することを防⽌するために、装置が組織の敷地を離れる前に、補助的な記憶装置(ハードディスクドライブなど)やメモリを取り除くことで、取扱いに慎重を要する情報を保護する事が望ましい。

この内容です。

私の解釈では、「神奈川県庁の事件」のようにならない為に、パソコンの入れ替えの際にはハードディスクなどの記憶媒体はパソコンから取り外して、それ以外を処分するようにしてください。

こう受け取れます。

もっと突っ込んで考えると、これはあらゆる情報媒体に言える事で、紙であれ、データーであれ、廃棄の際は自社敷地外への持出ではなく、自社内にて廃棄を行って下さい。

こういう要求事項に思えます。

今後の対応として

まず審査員の立場からお話をしますと、ISO27002はガイドラインであり規格要求事項ではありません。

従って、27002に書かれてある内容と御社の規定や手順、運用と相違があっても、ISO27001の要求事項を満たしていれば審査員は指摘事項にはできません。

しかし、もし御社の守ろうとしている情報が上記の神奈川県庁の事件のように扱われて、適正に処分がされなかったら・・・性悪説ではありますが、情報セキュリティは性悪説に基づいて対策を行う方が安心だと思います。あくまで組織の判断になりますが。

私見ではありますが、ISO27002ですので全く無視はできないのではないかと思います。

ISO27001の2022年度版への移行審査はこれからがメインとなっていきますが、コンサルの先生と詰めていかなければならない要求事項なのではないでしょうか?

アリビオができること

【一つ】

弊社は出張にて機密文書やHDD等のデータを処分するサービスを提供しています。

この新たな要求事項の対策として、有効な手段として検討を頂けるサービスではないかと思っています。

機密性を守る手段として是非ご検討下さい。

【二つ】

弊社はISO27001審査員がサービスを提供する会社です。

現在ISO27001を新規で取組む企業様の支援やISO27001:2022年度版への更新に向けて取組まれる企業様の支援も行っています。

もし、御社がお困りの場合は気軽にご相談頂ければと思います。

詳しい弊社のサービスは以下バナーよりご確認下さい。

お申し込みはこちらから


TEL : 072-749-5170
お気軽にお問い合わせください。
受付時間 9:00 - 18:00 (土・日・祝日除く)