ISMSで著作権や商標、ソフトウェアライセンスの管理まで行う必要はありますか?
今回は、適合性管理規程についてですが、この中では個人情報の取扱いに関する法令や指針のほかに、著作権や商標、ソフトウェアのライセンス管理なども含んでおりますが、ここまで必要なものなのでしょうか?
1999年版のときは、法令、条例やガイドライン、通達などを含めた形にはしておりました。
結論から申し上げますと、現在のISMS(JIS Q 27001:2023)において、著作権、商標、ソフトウェアライセンスの管理を含めることは「必須」の対応事項となっております。
なぜ、以前の規格よりも範囲が広がっているのか、最新規格の要求事項に基づき解説いたします。
1. 最新規格(2023年版)での明確な要求
最新のJIS Q 27001:2023(ISO/IEC 27001:2022)では、管理策(附属書A)において以下の項目が明示されています。
- 管理策 5.31「法的,規制的,国による及び契約上の要求事項」
組織は、知的財産権(著作権、ソフトウェアライセンス等)に関連するすべての法的・契約上の要求事項を特定し、遵守することが求められています。 - 管理策 5.32「知的財産権」
著作権で保護された資料や、商用ソフトウェアの適切な利用を確実にするための具体的な保護策を講じることが規定されています。
したがって、1999年版のような「個人情報保護法やガイドラインのみ」の構成では、現在の審査において「重大な不適合」と判定される可能性が非常に高いです。
2. ISMSとPマーク(個人情報保護)の決定的な違い
「法令遵守=個人情報保護」と捉えがちですが、ISMSは「情報の機密性・完全性・可用性」を守る包括的な仕組みです。
- ライセンス違反のリスク:
違法コピーやライセンス外利用は、多額の損害賠償だけでなく、セキュリティパッチが当たらないことによる「脆弱性の放置(可用性・機密性の欠如)」に直結します。 - 商標・著作権の保護:
自社のブランドやコンテンツを守る、あるいは他者の権利を侵害しないことは、現代のビジネス継続において不可欠なリスク管理の一部です。
3. 実務を「重くしない」ためのサンプル文書の工夫
「そこまで必要なのか(=管理が大変になるのではないか)」という懸念もあるかと存じます。
弊社のサンプル文書集(適合性管理規程)では、これらを網羅しつつも、実務が煩雑にならないよう以下の工夫を凝らしています。
- 管理対象の絞り込み:
全ての法令を逐一追うのではなく、ISMSに関連の深い「知的財産権」「労働法」「個人情報保護」「不正アクセス禁止」等にポイントを絞って構成しています。 - 一貫した管理体制:
ソフトウェアライセンス管理を「資産管理」の一部として統合することで、二重の手間を省く設計にしています。
アドバイス
1999年版の形式で受審して指摘を待つよりも、最初から最新規格に準拠した弊社のサンプル文書をベースに調整することをお勧めいたします。それが結果として、審査の工数を減らし、組織のコンプライアンス体制を強固にする最短ルートとなります。
最新規格への移行対応についても、同梱の「要求事項理解のためのガイドブック」にて詳細を解説しておりますので、ぜひご活用ください。
