情報セキュリティポリシーに関わる例外規程の必要性と限界

 本研究は，情報セキュリティ業務に不可欠である例外措置について，その根拠となる規程（例外規程）を策定した上で，管理運用する（例外措置を実施する）ことにより，業務の効率化を図っていくことを提言している．

 通常私たちは，その生活や仕事において，ルールやマナーを守って生活している．それらは一般に原則と例外が存在するので，例外に対し適切に対応することで，原則による規律を維持している．だが世の中の事象には，あらかじめ原則として措置できないものの例外としてなら措置できるものと，想定外の事象のため例外としても予め措置できないものとがある．前者では原則を継続して維持できるが，後者では規程そのものを抜本的に見直すことにもつながる．つまり例外は原則と相互に関係しながらセットで作用する．

 情報セキュリティポリシーに基づく組織の業務は汎用化されたものであり，かつ即応性が求められることから，それに付随する例外の適用範囲も，情報セキュリティポリシーを網羅するよう広くとる必要がある．また情報セキュリティにおいては，自然災害やサイバー攻撃等における非常時での例外適用だけでなく，情報技術の著しい進歩と急速な普及などにより，平常時における例外の適用が不可欠となっている．しかし起こり得るすべての情報セキュリティインシデントやリスクを事前に把握し，それらへの措置を事前に講じることは不可能である．

 そこで本研究では，情報セキュリティの業務遂行上において，例外への認識とその許容範囲の認定，さらにそれらをどのように措置すべきかを探求した．まず例外規程に関わる国内外の先行事例を調査し，その結果から例外措置の実施において，例外規程によって管理・運用している組織では，業務の効率化が図られているものと推定できた．次に例外規程の実態を分析するため，日本の組織を対象にアンケート調査を実施し，その結果から例外規程の策定が業務の効率化につながっていることがわかった．一方，必ずしも利用部門においての例外措置の実施が，現状に沿った例外規程の策定および管理・運用となっているとは限らないこともわかった．

 こうした結果から例外規程の策定自体は利用部門が担い，策定に対する承認権限は管理部門が担うという柔軟な活用を提案した．また例外規程とすべきか否かについては，その実施内容および適用範囲が一般化できるものであれば例外規程として策定すべきとした．さらに利用部門が持つ例外措置への阻害要因を把握し，それらに対応することも必要と結論付けた．

 例外規程を適用する意義は，例外措置を一般化することで，承認作業を可能な限り簡便化・省力化でき，業務効率が図れることにある．さらに例外規程を体系化・モデル化（図参照）することにより，管理・運用の可視化が期待できることにもある．なお例外規程は，経験事例を蓄積し，運用していくことにより，その組織に適応する例外措置の獲得とその効果を得ることができる．今後のビジネスチャンスや働き方改革などを見据え，社会全体においても，例外規程の活用を見据えた体制作りを検討していく必要があると考える．