「セキュリティ事件・事故」の定義とは?どこから報告や対応が必要になるのでしょうか?
簡便的に対象範囲をとらえると、「事象>インシデント>事件・事故」のように理解をしました。
とは言え、英語に訳すると、「event>incident>Incident and Accident」となるので、「event>incident and Accident>Incident」の方が納得できるのかとも思い、混乱してしまいました。
外国人社員への説明が必要となれば「event>incident and Accident=Incident」としてしまった方が良いのでしょうか。
外国人社員の方へ説明される際は、「Event > Incident」という包含関係を基本とし、「AccidentはIncidentの中に含まれる、あるいはIncidentの別称である」と整理するのが、国際規格の定義に最も忠実で分かりやすい説明となります。
1. JIS Q 27000(用語定義)に基づく整理
ISMSの用語定義(JIS Q 27000:2019)の「3.21 事象(event)」の注記には以下のように記載されています。
3.21 事象(event)
注記3: 事象は、“事態(incident)”又は“事故(accident)”と呼ばれることがある。
※「JIS Q 27000:2019」より
この内容から、全ての発生した出来事はまず「Event」であり、その中に「Incident(インシデント・事態)」や「Accident(事故)」が含まれるという解釈になります。
2. 外国人社員への説明のポイント
英語圏のセキュリティ概念では、一般的に「Accident」という単語はあまり使われず、「Information Security Incident」に集約される傾向があります。混乱を避けるため、以下のロジックでの説明を推奨します。
- Event(事象):
システム上のあらゆる変化(中立的なものを含む)。 - Incident(インシデント):
セキュリティを脅かす可能性のある、望ましくない事象。 - Accident(事故):
日本の慣習等で「実害が発生した重度なインシデント」を指すが、分類上はIncidentの一部である。
したがって、ご質問の「Event > Incident(including Accident)」という整理で説明されるのが、最も整合性が取れます。
3. 実務的なアドバイス
実務上は、「日本では実害が出たケースを便宜上『Accident』と呼び分けることもあるが、ISMSの管理プロセス上はすべて『Incident』として報告・対応を行う」と補足することで、グローバル基準との混乱を防ぐことができます。
以上、ご参考まで。
執筆・監修:ISM Web store カスタマーサポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
