RN-003
情報セキュリティポリシーにおける例外措置に関する一考察

○村崎康博・原田要之助（情報セキュリティ大）

情報セキュリティに関する規定の策定・実施は，全ての組織（企業や官公庁など）においても必須施策のひとつと考えられる．これらの規定は従来のインシデント事例をもとに作成されている一方で，想定されない事件や新しい要望に対してカバーできない.そこで一部の組織では，想定外の状況にも対応できるように“例外規定”を策定している．
現状では“例外措置”をどの対象範囲まで認めるべきかについては，組織毎の判断に委ねられている可能性がある．また不測の事態にリスクを正しく認識した上で，例外措置を講じているかどうかも明らかではない．
そこで本稿では組織ガバナンスの観点から“例外規定”の策定と例外措置の取扱いやその効果について調査し分析した．