ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

情報資産台帳の「保有者」と「リスク所有者」への記載方法

2019/08/21 (2022/05/31)
ISMSサンプル文書集.  2,896 views

情報資産台帳に関してお伺いしたい事がございます。

弊社では部長や課長といった役職が特に無く、業務自体もかなりの割合をそれぞれの裁量で行っている状態です。

記入例を見ますと保有者が「○○部長」といった記載になっておりますが、弊社ではこの様な状況のため、一元的な保有者を決めることが難しいです。
そこで、この保有者の欄は「営業部」の様な広い範囲で記入しても問題無いでしょうか。

また、記入例ではリスク所有者が全て「情報セキュリティ委員長」となっており、弊社も情報セキュリティ委員長をリスク所有者に記載しようと思うのですが、全てを情報セキュリティ委員長にするのは一般的でしょうか。

まず、情報資産台帳の「保有者」への記載に関してですが、規格には「保有者」という定義はなく、サンプル文書で使用している用語となります。
この「保有者」欄には、情報資産の保有者を記載することになります。
記入例の「〇〇部長」とあるのは、部単位で取得し管理しているため、その責任者の役職名を記載しております。

ご質問の趣旨からすると、「営業部」でも良いかとも思います。
ただ、もう少し具体的に「営業部の責任者」や「営業部の担当者」と記載する方法もあります。
また、部署課という組織名もないのであれば、業務として捉え「営業業務の責任者」や「営業業務の担当者」などと記載しても良いかと思います。

次に、情報資産台帳のリスク所有者にて、全てを情報セキュリティ委員長にするのは一般的なのかというご質問に関してですが、まず既にご存知かもしれませんが、「リスク所有者」について簡単に解説させていただきます。

「リスク所有者」とは

「リスク所有者」とは、「JIS Q 27001:2014(解説)」にもあるように、旧規格(JIS Q 27001:2006)の「A.7.1.2 資産の管理責任者」と同じ訳と記載されています。

※JIS Q 27001:2006 A.7.1.2 資産の管理責任者
『情報及び情報処理施設と関連する資産のすべてについて,組織の中に,その管理責任者を指定しなければならない。』

そして、JIS Q 27001:2014では、「リスク所有者」と「資産の管理責任」との関係を示すため、「A.8.1.2 資産の管理責任」に注として、以下のように示されています。

『6.1.2 及び6.1.3では,情報セキュリティのリスクを運用管理することについて,責任及び権限をもつ人又は主体をリスク所有者としている。
情報セキュリティにおいて,多くの場合,資産の管理責任を負う者は,リスク所有者でもある。』

ちなみに、JIS Q 27000:2014では、「リスク所有者」を以下のように定義しています。

※2.78 リスク所有者(risk owner)
『リスク(2.68)を運用管理することについて,アカウンタビリティ及び権限をもつ人又は主体。』

「リスク所有者」の条件を整理すると以下の通りになります。
① 特定されたリスクを運用管理することに対して、アカウンタビリティと権限を有する
② その資産(以下、個人情報を含む)の管理責任を負う(多くの場合)

では、「リスク所有者」=「資産の管理責任を追う者」=「旧規格の資産の管理責任者」となり得るのかについて説明します。

「資産の管理者責任者」が「リスク所有者」となる場合

多くの場合は、事業や業務ごとにおける特定されたリスクへの運用管理は、業務又は部門の管理責任者が行い、何かあった場合は責任をとることになります。
この場合、②の「資産の管理責任」と①の「資産のリスク運用管理に対して説明責任及び権限」の両方を有するため、「資産の管理責任者」が「リスク所有者」となるでしょう。

資産の管理責任者が「リスク所有者」とならない場合

「多くの場合」とあるように、①の責任及び権限を持ちえず、②の責任を負う方もいます。
例えば、業務又は部門の管理責任者が、組織の事情や管理方法等により、問題があった場合の責任をとることできない若しくは責任を与えない等の理由で、情報セキュリティ管理責任者や個人情報保護管理者といった者が「リスク分析や管理策などを検討し、資産のリスク運用管理に対して説明責任及び権限」を有する場合があります。この場合、業務や部門の管理責任者は「資産の管理責任」を有するが、リスク所有者ではありません。
また、法的な責任の所在としては「個人情報管理責任者」や「マイナンバー管理責任者」といったような立場の者が、実際に管理していない場合でも有事の際には責任を負う立場にあるため、「資産の管理責任者」ではありませんが、「リスク所有者」になるということがあります。

サンプル文書での「リスク所有者」の扱い

当サンプル文書では、法的な責任の所在を考慮するとともに、リスクマネジメントを適切に遂行するために、「情報セキュリティ委員長」が自らリスク運用管理(リスクの分析やその結果、管理策などの特定)を行うことで、資産の管理責任を負わないが「リスク所有者」としております。

情報セキュリティ委員長が誰かにもよりますが、「リスクが顕在化したときに責任を取る人」と考えることもできますので、”会社のトップ”や”情報セキュリティのトップ”など責任を取れる人(経営層など)となる場合もあるとご理解ください。