投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.2.28
(更新:2024.3.26)
ISO27001ISMS(情報セキュリティマネジメントシステム)の審査で、審査員が職場のごみ入れをチェックするのは定番の項目です。
と言いますのも、職場のごみ入れから往々にして、
・非公開情報が記された資料やその草案などが捨てられている、
・お客様住所氏名などが書かれたリストが”裏紙”として再利用され捨てられている、
等、職場の情報セキュリティルール運用の「穴」を発見できるからです。
〇業務に使用した記録媒体は安全な処分が求められます
ISO27001:2013の附属書A・A.8.3.2項「媒体の処分」では、紙などを含む記録媒体の、安全な処分に関する方法を定めて運用することを求めています。
「媒体」には紙も含まれます。
機密情報や非公開の情報等が記された紙媒体は以下のようにセキュリティを保った状態で処分できるよう配慮すべきです。
・シュレッダーによる細断
・溶解処分
・書類回収ボックスへの集積そして専門業者による安全な廃棄処理
等
〇電子媒体の処分にもご配慮を
紙媒体以外に、業務情報の格納に利用したDVD-Rなど光学ディスクやUSBメモリ、ハードディスクドライブ(HDD)など電子的な記録媒体も、廃棄にあたっては破砕機にかけるなどして内部に残りうるデータを確実に読み取れない状態にしてから処分すべきです。
よく誤解されることですが、HDDなどの記憶装置を「フォーマット」するだけでは記録されたデータは消えていません。
処分の際には、専用の消去ソフトを使ってデータを消去する、上記の破砕機にかけて物理的に壊してしまうなどの対策が必要です。
〇ISMS認証に関わらず記録媒体の安全な処分を
ISMSの認証を受けない職場であっても、情報漏えい防止などのために情報セキュリティ対策は必要です。
職場の規模などを問わず、紙媒体や電子媒体などの廃棄に対するルール制定・運用などの対策は必要です。
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comments