再び、組織セキュリティの話。サイバー攻撃等、何らかの情報喪失による事業の停止に備えるため、情報資産のバックアップをやるというのは通常の話。本来は、事業継続に必要な情報資産を洗い出して、台帳等にも管理ルールを定めておくとともに、実際の情報のバックアップなども実施しておく。

そこで、A氏から質問があった。「◯◯◯の情報資産は非常に機微なので、永年保存管理にルール付けるべきではないかと考えるが、どう思うか」との相談があった。A氏は監査寄りの人。情報を全体になくさないためにも、永年保存にしたほうがいいのではないかとの相談であった。

 

私は、永年保存はなかなかセキュアにはなりにくいと思っている。理由はこうだ。

①　情報資産の管理は、管理者を職位や具体の担当者名と紐づけて職務としてミッションにしておかないと守られない。例えば、情報資産の管理期限が３年、情報資産管理者の人事交代周期も３年であれば、このミッションを引き継ぐことにより保全される期待があるし、その時点で引き継いだかどうかで、管理漏れがあったときに誰が対処すべきであったかの責任関係は明確になる。

②　情報資産管理の取り扱いも含めて、業務委託等外部事業者に委託する事象は十分に考えられる。この際に、本来の外部事業者であれば、永年管理する情報資産が管理対象としてあることを持って、（弊社では対応できないと）受託しなくなってしまう。

 

しかし、お客様の情報を期間を定めないサービス契約を締結している場合、この情報資産は永年保存というか、少なくとも相応の期間の情報の適切な管理は求められる。一般の企業でもそうなんだから、政府等が定める重要インフラ事業者にとっては当然の責務だ。なので、不定期の相応期間の管理は求められるものの、契約の解除後は、（リコール対応など）一定の必要性がない情報資産は消されるのが本来である。確実に消すこと自体が、セキュアな状態だ。

 

実はこのA氏、内部監査の役割は、社内に定めたセキュリティ基準や規程を、各部署が遵守しているかどうかのチェック担当と勘違いしがちなきらいがある。A氏の質問の意図としては、規程を管理する部門が永年保存を基準として定めてくれれば、情報管理の不備を簡単に指摘が出来るからと考えるのだ。まあ、内部監査であれば、いろんな監査のやり方があっていいと思うが、本来は事業ヒアリングを通じて、（情報セキュリティに限らず）内部統制全般に関するリスクを理解し、それに対する統制を評価しただけるといいなと思う。事業継続に関しては、情報だけでなく、従業員、協力事業者、業務手順、契約書に記載されている条件等を総合的に判断して事業を創り、維持していくものなのだから。

 

昨今、内部統制がどうなっているんだろうという企業の報道が多い。内部統制の不備なのか、内部統制でも不正は明らかだけど上司に忖度して指摘事項に出来ないのか。そのために、監査権限を持った監査役がいるのである。経営層がセキュリティへの不正を求める場合は少ない？（むしろ、ちゃんと関与して必要な対策を計画的に進めてほしい）と思うが