自社のWebサイトは法令を順守している？：コンプライアンスに耐え得る情報システムとは？（3/3 ページ）

[佐藤隆，ITmedia]

発生頻度が低い業務プロセスを忘れないこと

　Webサイトにおける営業活動は、単に上記のようにコンテンツ自身には著作権法が絡んでくるだけでなく、顧客に対するアンケートには個人情報保護法が関係してくるなど、さまざまな法令が関与してきて複雑だ。もちろん、全体を把握してこれらに対処していかなければならないが、その中で特に忘れがちなのが「例外プロセス」である。

　例外プロセスとは、突発的に発生するプロセスのことで、例えば第三者から業務上の妨害行為や、情報公開請求などが発生したときに、処理されるプロセスなどである。各業務部門に業務プロセスを作成させると、通常の業務では発生しない例外プロセスをどうしても忘れやすい。しかし、コンプライアンスを確保する上では、この例外プロセスは欠かせない。

　特に、規模の小さいビジネスになると、例外プロセスに対するコンプライアンス対応が甘く、インシデント（システムに関するセキュリティ事件・事故）が発生するまで何も準備していないということが多くなる。一般的に脅威は、事業への影響度に発生頻度を掛け算することで算出できるが、発生頻度が低い例外プロセスであっても事業への影響が大きければ、無視せずに対応しなければならない。その意味で、例外プロセスは重要になってくるのだ。

　このよう事件や事故が起こった場合、情報システムのログが不正行為の重要な証拠になる。しかし、社内ルールを定めておかないと、ログ取得手段の適切でなかったり、システムが自動的に消去するという危険性が生じる。そこで、あらかじめインシデントを考慮した例外プロセスに対するルールを明文化する必要が出てくる。その際に、ログの扱いとしては下記のような点がポイントとなってくる。

• 不正な行為の証拠を確保する目的で、情報システムに対するログを請求する場合、経営陣または情報システム部責任者による承諾を得る
• 依頼によってログを取得する。提出したログは、依頼者の問題が解決するまで、改ざん、書き換え、自然消滅しない形で記録媒体に保存し、保全を行う
• 業務に対する妨害（DoS攻撃）、不正アクセスの原因追求を目的として、社外システムに調査を行う場合、情報システム部責任者、顧問弁護士など各専門となる担当者から構成されれるチーム（インシデントレスポンスチーム）が問題解決に当たる

佐藤隆