手抜かりの多い「記録の管理」
記録の管理がまるで分かっていないことに気がつかされる。書式の枠を埋めてバインダーに閉じてキャビネットに収容して施錠。期限がきたら廃棄する。これが記録の管理ですか。ただのISMSごっこではあ~りませんか。
コンピューターの各種ログも同じ。監視カメラのビデオ情報も同じ。℡応答時の音声データの記録も同じ。入室時の電子錠のデータも同じ。
保管も管理には違いないが、そこで得られる効用はトレーサビリティだけ。何か問題が起きた場合、原因究明に利用できるというもの。基本的には後の祭り。社会に対して説明責任を果たすことも出来ない。
.*.
ISMSの規格を見ても、記録管理におけるダイナミズムの観点がなかなか読み取れない。当たり前すぎる問題だから? 嫌、記録に対する概念が実は確立されていないからですね。狭義の記録は活動結果を示すデータ的なもの。活動のための計画は記録か文書かはっきりしない。年度方針は記録ですか、文書ですか。両者を分ける定義は実は存在しません。無理に分けても意味を成さないと言った方が正しいでしょうか。
ISO27001:2013では文書と記録をもっと統一的に扱うようにチャレンジします。
.*.
さて、ここでは、「記録の目的」を明確にせよ、あるいは正しく理解せよと申し上げたい。また実際に記録を取り始めた時には、果たして、目的を達成できる記録内容かどうかも常々チェックすることが必要であることも申し上げたい。
好き嫌いの問題はありますが、「超監視社会」の実現です。SF映画でよく表現される不愉快な社会の実現ですから、その内、人に優しいセキュリティが議論される時代が来るかもしれませんね。
.*.
但し、当初の目的とは違ったことに記録を利用しようとする時は注意が必要です。データの特性・素性、目的外利用の可否など。
.*.