ISMSの「不適合」は、ISO/IEC 27001の要求事項や自社ルールからの逸脱が生じている状態であり、放置すれば認証の維持や事業の信頼性に直結する重大リスクとなります。内部監査での指摘は是正処置の好機ですが、外部審査では重大な不適合が出た時点で審査打ち切りや一時停止・取消に発展する恐れがあります。本稿では、不適合の典型例と発生要因を整理し、是正処置(原因特定→再発防止→有効性評価)を実務手順として定着させる方法を解説します。監査で「見つけて直す」を回せる組織こそ、審査に強く、日常運用も揺るがない体制を築けます。
目次
ISMSにおける不適合とは
ISMSにおける不適合とは、拠り所となる規格である ISO/IEC 27001 の要求事項や、自社で定めたルールに従っていない状態を指します。たとえば、情報セキュリティ方針が策定されていなかったり、定めたルールに従ってアクセス権限を見直していなかったり、教育が実施されていなかったりするケースが該当します。
不適合は、内部監査や外部審査を通じて発生することがほとんどです。ISMSでは、不適合は適切に管理し、是正処置をおこない、記録を残すことが求められます。
また、ひとえに不適合と言っても、外部審査で発生する不適合と、内部監査で発生する不適合とでは、その重みや対応に違いが生まれます。
是正処置とは
是正処置とは、不適合に対応する一連の流れのことです。単に発生した問題に対処するだけでなく、原因を明らかにし、再発を防ぐところまで含めて取り組む必要があります。是正処置は、不適合への対応、原因の特定、再発防止策の実施、有効性の評価という流れで対応していきます。
不適合への対応
不適合を受けた場合、まずは修正するための処置と、不適合によって生じた影響に対応しなければなりません。たとえば内部監査で年次教育を計画どおりに実施していなかったと指摘された場合、まず不足分の教育を補講として速やかに実施し、受講記録を整備する必要があります。
原因の特定
不適合への対応が終わったあとは、不適合に至った原因と、類似の不適合が発生したかどうか、発生する可能性があるかどうかを明確にします。この例では、教育担当者の引き継ぎが不十分で計画が共有されていなかったことなどが原因になり得ます。その場合、同時に他の研修や点検でも同様の引き継ぎ漏れがないかを確認することも重要になります。
再発防止策の実施
特定した原因に基づいて、その原因を取り除くための処置として、再発防止策を実施します。先ほどの例では、教育計画を担当者個人の管理ではなく全社カレンダーで共有する、引き継ぎ時に教育計画チェックリストを確認するといったルールを導入することで、再び教育が実施されない事態を防げます。
有効性の評価
最後に、ここまでの対応が不適合に対して適切で、再発させない効力があったかどうかを、一定期間経過後にレビューします。具体的には、次の教育サイクルで計画どおりに教育が実施され、記録も適切に残っていれば、是正処置が有効だったと判断できます。逆に再び漏れが発生した場合には、対策が不十分だったとみなし、追加の改善を検討する必要があります。
外部審査における不適合
内部監査においては、不適合が生じたとしても、前述の流れに沿って是正処置をすれば大きな問題にはなりません。一方、外部審査では、不適合が発生したと同時に、審査が打ち切られてしまう恐れもあるため、注意が必要です。
審査での不適合は、その影響度と深刻さによって、重大な不適合と軽微な不適合の2種類に区分されています。これは、初回審査、維持審査、再認証審査、移転審査など審査の種類を問わず、全てにおいて共通です。
重大な不適合は、規格の要求事項を根本的に満たしておらず、ISMS全体の有効性を著しく損なうおそれがある場合を指します。たとえば、情報セキュリティ方針がまったく策定されていない、リスクアセスメントが実施されていない、といったケースです。また、単一の不備ではなく、類似の不適合がマネジメントシステム全体にわたって広範に存在する場合も、重大な不適合と判断されることがあります 。こうした状況では審査が継続できないことから審査が打ち切られ仕切り直しになったり、場合によっては認証の一時停止・取消といった重大な結果に直結します。この場合、是正処置を指定された期間内に終わらせて、その結果を審査機関に確認してもらう必要があるため、認証の取得時期や継続に影響が出たり、追加費用がかかってしまったりする恐れもあります。
一方で軽微な不適合は、規格や自社ルールの一部に不備はあるものの、直ちにISMS全体の有効性を脅かすほどではない場合を指します。たとえば、定めた頻度で教育を実施していない、パスワードがポリシーに準拠していない、といった事例が挙げられます。軽微な不適合が指摘された場合は、指定された期間内に是正計画を作成して審査機関に提出し、改善の意思と実行を示すことで、認証の取得や維持が可能となります。
よくある不適合と推奨される是正処置
内部監査や外部審査で、実際に指摘されやすい典型的な不適合には次のようなものがあります。これらはいずれも、規格や自社ルールに基づいて日常的に運用されるべき内容ですが、記録不足や運用の甘さから不適合とされるケースが少なくありません。
アクセス権管理不備
従業員の異動や退職に伴うアクセス権限の棚卸しが適切に実施されていないケースです。たとえば、退職者のアカウントが残っていたり、業務に不要なシステム権限が付与されたままになっていたりする場合です。是正処置としては、アクセス権限の定期的な棚卸しをルール化する、記録を残す、チェックリスト化することなどが挙げられます。
パスワードポリシー不遵守
定めたパスワードの複雑性や有効期限に従っていないユーザーが存在するケースです。たとえば、英数字記号を含む12文字以上とルールにあるのに、実際には8文字程度で運用されている場合などです。特に、システムのパスワードは遵守していたが、PCログインのパスワードは意識していなかった、というような対象範囲の認識もれなども散見されます。是正処置としては、ポリシーどおりの設定をシステムに反映させるとともに、従業員に再教育を行い遵守状況を監査で確認することが求められます。教育では、パスワードポリシーを遵守すべき範囲まで明確に伝えておくことも効果的です。
教育未受講・不合格
セキュリティ教育を計画通りに受講していない従業員がいる、あるいは理解度テストで不合格となったまま放置されているケースです。ISMSでは「教育計画」「実施」「理解度確認」の一連が求められるため、どれかが欠ければ不適合となります。補講の実施や再テスト、教育記録の整備を徹底すること、受講後のフォローアップまでを計画することなどによって再発防止を図る必要があります。
是正処置の有効性評価未実施
是正処置を実施したものの、その効果を一定期間後に確認していないケースです。不適合を記録する中で、是正処置票などという名称のドキュメントを作成することが多いですが、その中で実施した再発防止策までを記入して終わってしまっていることは、よくみられます。一定期間経ってから確認しなければならないという性質上、忘れてしまうことがあるため、運用計画に追加しておいたり、タスク管理ツールで日付を指定したりして、適切なタイミングで忘れず実施できる工夫が必要になります。
まとめ
ISMSの運用において、不適合は決して珍しいものではありません。むしろ、外部審査や内部監査を通じて不適合が明らかになることは、組織の仕組みを客観的に点検し、改善につなげるための自然なプロセスです。不適合そのものが問題なのではなく、それをどう捉え、どのように是正処置へとつなげるかが重要になります。
しかしながら、外部審査においては油断できません。重大な不適合が発生すれば審査打ち切りや、認証取り消しにつながる恐れがあるため、日々の運用をしっかりと行うことに加え、審査前の見直しも重要なポイントになります。
日々の運用では、不適合が発生しないようにルールを遵守することが何よりも大切ですが、全てを常に遵守し続けることは、なかなかハードルが高いものです。このような場合には、内部監査を厳格に実施して不適合をしっかり出し、是正処置まで適切に対応することが極めて重要です。これによって、審査のときに改善のサイクルがしっかりできている、と評価されることもあり、組織としての体制強化にも繋げていくことができます。
不適合がないことは理想的ですが、たとえ不適合が発生しても悲観する必要はありません。むしろ体制を強化するきっかけと捉え、冷静に是正処置へ取り組むことが大切です。もしも対応に迷う場合には、コンサルタントなど外部の専門家の力を借りることも有効な選択肢となるでしょう。
