弁護士のための取扱情報の情報セキュリティを確保するための「基本的な取扱方法」の検討事項　その４

１　点検及び改善

　ここが一番悩んだところです。モデル案だと、取扱方法が有効に実施されてるかを確認し（PDCAのC）、実施されていないことが分かった場合は、その原因を特定し、改善計画を立案したり取扱方法を改訂する（PDCAのA）とされているのですが、これだと
・そもそもどういうふうに点検したらいいのかわからない
・実施されていないことがわかってもどういうふうに点検したらいいのかわからない
といった問題が生じます。
　そこで、取扱方法自体をIPAの「情報セキュリティ自社診断」に準拠したものとし、確認の際にも同診断を利用することで基本的な情報セキュリティが実施されるような仕組みとすることにしました。
※自社診断だと具体的な改善策まで提案してくれます。

２　漏えい等事故が発生した場合の対応

　ほとんどモデル案のとおりですが、情報機器の紛失事故発生のおそれが生じた段階でリモートワイプ（遠隔削除）を実施することを盛り込んでいます。

３　共同事件の特例

　ほかの弁護士と共同で取扱情報を取り扱う場合を例外的なものととらえ、最後に配置しました。内容はモデル案のとおりです。

４　結論的な何か

　モデル案どおりに作るにせよ、現状の追認的に作るにせよ、まずは「最終的にどういう水準まで持っていきたいのか」というところや、「どういうふうに点検して改善していくのか」というところを決めることをおすすめします。そうしないと、私のように「点検及び改善」の手前まで作ったやつをもう一度作り直すということになりかねません笑

　せっかくIPAという公的機関が策定している「情報セキュリティ自社診断」があるのですから、これを活用しない手はないとおもいます。ぜひみなさんも検討してみてください。

　なお、私はこの自社診断が改訂されたら、これにあわせて取扱方法も変更しようと考えています。
　また、自社診断が楽々クリアできるくらい取扱方法が浸透したら、IPAのおすすめどおりに「中小企業の情報セキュリティ対策ガイドライン」準拠の取扱方法にしていこうかと考えています。

おわり