ISO 27001「物理的・環境的管理」におけるカメラ制限と装置処分の具体的な運用ルールとは?
御社から購入いたしました「ISMS構築パッケージ」について数点ご質問がございます。
■下記2点、「物理的・環境的管理規程」についてです。
1) 「2.5 セキュリティを保つべき領域での作業(A.7.6)」
(4) 画像、映像、音声又はそのた記憶装置(例:携帯端末についたカメラ)は、許可されたもの以外は許可しないこと
→”許可されたもの以外は許可しないこと”など、日本語的にこの文章全体が、少々分かりづらいです。
いかがでしょうか?
2) 「3.6 装置の安全な処分又は再使用(A.7.14)」
<他の人に譲る場合>
→上記の条で説明している、”他人に譲る場合”というのは、会社内部で従業員同士で譲る場合ですか?それとも、社外の第3者に譲る場合のことですか?
最新のISMS規格(ISO/IEC 27001:2022 / JIS Q 27001:2023)に基づき、規程の解釈と改訂のアドバイスを回答申し上げます。
1. セキュリティ領域での記録機器の制限について
ご指摘の「許可されたもの以外は許可しない」という表現は、以前の規格(JIS Q 27002:2006等)の直訳に近い表現を使用しております。ご指摘のとおり、確かに日本語として冗長で分かりにくい側面がございます。
運用のおいては、従業員が直感的にルールを理解できる表現が推奨されますので、以下のような書き換えを検討してみてください。
こちらは、JIS Q 27001:2023の「7.6 セキュリティ区域での作業」に関連した管理策です。
(修正例):
「(4) 許可を得ていない撮影・録音機器(カメラ付き携帯端末等)のセキュリティ区域への持ち込み、および使用を禁止する。」
2. 装置の安全な処分・再利用の範囲について
ここで言う「他の人に譲る場合」には、「社内での配置換え(従業員間)」と「社外への譲渡・廃棄」の両方が含まれます。
この管理策の目的は、装置内に残っている「機密情報」が、その情報にアクセスする権限のない人の目に触れるのを防ぐことにあります。
こちらは、JIS Q 27001:2023の「7.14 装置の安全な処分又は再利用」に関連した管理策です。
- 目的:
前の利用者が扱っていた機密データが、権限のない他者(社内・社外問わず)に漏えいするのを防ぐこと。 - 実務対応:
誰に譲渡する場合であっても、一度データを完全に消去(上書き・物理破壊等)し、責任者がその記録を確認するルールを設ける必要があります。
相手が誰であっても、管理責任が移る際には「適切な手法(上書き消去や初期化など)」でデータを完全に消去し、情報セキュリティ責任者等の権限者がその事実を確認する運用を徹底してください。
