ISO27701規格解説 ー 6.5.3.1、6.5.3.2、6.5.3.3

ここでは、ISO27002に関連するPIMS固有の手引についてISO27701で特に追加・改定されている部分の解説をしていきます。
今回は、『6.5.3.1 取外し可能な媒体の管理』『6.5.3.2 媒体の処分』『 6.5.3.3 物理的媒体の輸送』を解説します。

※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。

管理策名どおり、取外し可能な媒体（USBや外付けのHDDなど）の使用や保管方法に関するルールを作りましょうという管理策です。ISO/IEC 27001からの追加事項として、特にPIIを取り扱っている媒体をしっかりと管理することが求められています。

具体的に実施することはISMS構築時とほとんど同じです。可搬媒体内のデータの暗号化や、持出し時に管理者の承認を得ること、などが挙げられます。PIIが入った可搬媒体をしっかり管理するために、情報資産管理台帳などで、可搬媒体によって持ち出す可能性のある情報をチェックしておくのもいいかもしれないですね。

また、そもそも「可搬媒体を使わない」というルールもありです。

この管理策は、ノートPCやUSB、HDDなどの情報が入っている媒体の処分に関するルールです。業務で使用したPCを、データの削除や破壊などをせずにそのまま処分してしまうと、情報漏えいにつながるおそれがあります。そこで、PIIを保存している媒体の処分方法をルール化して、情報が漏えいしない又は悪用されないように処理することが求められています。

要求されていることは、そのデータにアクセスできなくすることなので、具体的な対策例としては以下が挙げられます。

• 媒体に内蔵されているHDDを物理的に破壊する
• データをハッシュ化する
• 廃棄処理業者に依頼する

また、必要ではなくなった媒体を倉庫などで保管するときはどのような処理をすれば良いのでしょう？
処分待ちなどでそのままの状態で保管してしまうと、倉庫への不正侵入や持出しによって、媒体から情報漏えいが発生する可能性があります。よって、倉庫で処分待ちにする前にPIIの消去やアクセス不可の状態にすることが望まれます。

ISO/IEC 27001の管理策では、「情報が入っている媒体を輸送するときは証跡が残るような手段をとりましょう」というルールを検討したと思います。
※輸送中に媒体が紛失したことを考えて、媒体を暗号化する等。
ISO/IEC 27701においても、情報の輸送は注意して行いましょうくらいのイメージです。

具体例は以下が挙げられます。

• PIIの送受信記録をとる
• 送信時には組織内で承認を得る
• USBを暗号化する