他社とのオフィス同居・サーバー共有時、ISMSのルール変更や書面作成は必要ですか?
まったく資本関係のない会社をフロアー内に同居させた場合に関して質問です。
ドアのカギも共有し、ネットワーク、サーバーも特定ファイルを共有させ、同居する会社とは「機密保持契約の締結」のみで、すでに大家側が保持しているISMSの内容を変更せずに済まそうかと思っております。
同居する会社はISMSは取得していないのですが、別途 事細かく、セキュリティに関することを列挙した契約書を作成する必要なく済ませたいと考えております。
サーバーアクセスのID管理は 大家側が行います。
また、ネットワークへの社外からのアクセスも出来ません。
PCに関しては、大家側と同じようにウイルスソフトを入れてもらいます。
このような事を書面で残す必要はありますか。
ご相談ありがとうございます。他社との同居は、情報セキュリティ上の「物理的・論理的境界」が消失することを意味します。
ISMSの根幹は「リスクアセスメント(リスクの特定と対策)」にあります。
他社を「身内」として扱う現在の想定では、以下の4つのポイントで審査上の指摘(不適合)を受ける可能性が高いです。
1. 物理的境界と入退室管理の不備
ISMSでは「管理区域(オフィス)」へのアクセスを厳格に制御することが求められます。
- 懸念点:
カギを共有し、入退室の記録や制限がない状態では、同居会社の社員が貴社の重要書類やPCに物理的に接触できるリスクを放置しているとみなされます。 - 必要な書面:
- 入退室管理規程の改訂: 「他社との共有エリア」と「自社専用エリア(もしあれば)」の定義。
- 鍵管理台帳: 誰に鍵を貸与しているかの記録。
- 入退室ログ: 誰が、いつ入退出したかの記録(スマートロックやサイン入りの管理表)。
2. ネットワーク・サーバー共有のリスク
「特定ファイルの共有」を行っている場合、そのアクセス権限とログの管理が焦点となります。
- 懸念点:
大家側がID管理を行うとしても、同居会社の社員が「想定外のフォルダ」にアクセスできてしまわないか、あるいはウイルスを持ち込んでネットワーク全体を汚染しないかというリスク評価が不可欠です。 - 必要な書面:
- アクセス権限一覧(管理台帳): 誰に鍵を貸与しているかの記録。
- ネットワーク構成図の更新: 共有サーバーと他社端末の関係性の図解。
3. 「機密保持契約」だけで済まない理由
ISMS審査員は「性悪説」に基づき、事故が起きた際の「責任の所在」を重視します。
- 懸念点:
簡易的なNDAだけでは、「ウイルス対策ソフトの導入義務」や「不正アクセス時の報告義務」「棚卸しの協力」といった具体的なセキュリティ運用ルールが担保されません。 - 必要な書面:
- ISMS適用範囲(適用宣言書)の再定義:
同居会社を「外部委託先」または「施設共有者」として定義し、リスクアセスメントを再実施する必要があります。 - 具体的なセキュリティ遵守事項:
単なるNDAではなく、「PCへのウイルス対策ソフト導入」「クリアデスク・クリアスクリーンの徹底」「貴社ルールへの準拠」を明記した覚書や特約が必要です。
- ISMS適用範囲(適用宣言書)の再定義:
4. 審査員が重視する「境界」の考え方
審査では、内部(自社)と外部(同居会社)の境界において、リスクを低減するための「物理的・技術的・組織的」な対策が講じられているかを見られます。
- 物理的: パーテーションによる視覚的遮断や、施錠管理。
- 技術的: VLANによるネットワークの分離や、アクセスログの監視。
- 組織的: 同居会社に対する定期的なセキュリティチェック(棚卸し)。
アドバイス:最小限の対応で済ませるために
「事細かく列挙した契約書」を避けたい場合でも、せめて「施設・インフラ共有に関するセキュリティガイドライン」を1枚作成し、それへの同意(署名)を同居会社から得ておくことを強く推奨します。
「このような事を書面で残す必要はありますか」という問いへの答えは、「YES」です。書面がないことは、ISMSにおいて「管理が行われていない」と同義とみなされるためです。
弊社のISMSサンプル文書集には、こうした外部機関との連携や物理的セキュリティの雛形が含まれています。これらを活用し、現在の同居実態に合わせた「リスク評価表」と「運用ルール」を最低限整備することで、審査を乗り切るための準備が整います。
