第三者認証制度としてのISMS
これまで3回にわたって、品質保証の情報法的意義と担保手段を紹介してきましたが、その中に万能薬(one-size-fit-all)はなく、各種の施策を組み合わせつつ、逐次的改善を図っていくしかないようです。ここで、わが国ではあまり注目されていませんが、アメリカでは「コンピュータ関連産業は一度も規制されたことがないし、今後も規制すべきではない」という根強い信仰(?)があることに、留意しなければなりません。
・決定打の不足と非規制産業としてのコンピュータ関連産業
インターネットは元々「自律システム(autonomous system)」(要すれば、パソコン・サーバやスマートフォンなど、ユーザが管理するコンピュータ)の相互接続で成り立っており、文字通り「ネットワーク間ネットワーク」(inter-network)なのです。従って、ネットワーク管理者よりもエンド・ユーザ(あるいはエッジ)が優位に立つべきだ、との考えが支配的です。言い換えれば「自律・分散・協調」を大原則とし、政府や独占企業のおせっかいは要らない、何でも自分たちで解決したい、という発想が原点にあります。
ですから、インターネットの商用化が実現した1990年代半ばから、IT業界は時のクリントン=ゴア政権に働きかけて、「インターネット非規制政策」を実現してきました。英語ではこれを「Unregulation 政策」と呼び、deregulationとは違って、「未だかつて一度も政府規制を受けたことがないし、今後も受けない」という意図を明確にしています(この点にご関心があれば、林紘一郎・池田信夫(編著)[2002]『ブロードバンド時代の制度設計』東洋経済、をご覧ください)。
この考えは、スマートフォンやSNS(Social Networking Service)が普及した今日では、修正を求められています。例えば、SNSや検索サービスの提供者が、「私たちは情報を運ぶだけで、通信の内容にはタッチしていません」と宣言しても、著作権侵害や名誉毀損情報の削除を求められます。しかし他方で、インターネット取引には売上税を課さないという伝統は、ある程度維持されています(これにはアメリカに特有の、連邦と州の権限が関係しており複雑ですので、細部の説明は省略します)。
従って、インターネット関連のビジネスでは、前回の表にあった、①+② 方式が忌避されるのはもとより、⑦ や ⑦´も歓迎されない、という状況になります。今後のあり方を考える上では、この点を与件とするしかないと思われます。
・「信頼できる第三者」モデルの意義と限界
そこで以下では、こうした自由主義に最も適合した、第三者認証制度(前回の表の ⑤ に掲げたもので、信頼できる第三者 = Trusted Third Partyモデルとも言います)について、より詳しく見ていきましょう。TTPモデルを、情報の信頼性を担保する場合に当てはめたのが、ISMS(Information Security Management System)と呼ばれる適合性評価制度で、「見えない品質の可視化」の手段として有効だとされています。
これは、企業等が構築した情報セキュリティに関する手続きが、JIS Q 27001(ISO/IEC 27001)に適合しているかどうかを第三者が審査し登録する仕組みです。その中心となる機関は「認証機関」と呼ばれますが、それ以外にも、審査員の資格を付与する「要員認証機関」、さらにこれらの各機関がその業務を行なう能力を備えているかどうかをみる「認定機関」があり、それぞれが自己の信頼性を第三者の評価に委ねています(図 参照)。ただし、審査員になるための研修を実施する「審査員研修機関」は、要員認証機関が自身で承認しています。
こうした仕組みは、同じグローバル・スタンダードであるJAS法(日本農林規格)やJIS(日本工業規格)とともに、できるだけ民間活力を利用するソフト・ロー(国会が制定する法律とは違って、裁判手続きなどを経た強制的な履行は担保されていないが、通常は誰もが自発的に従っている法)的なアプローチです。
図 ISMS適合性評価制度
これを評価希望組織の視点から見ると、3階層で「第三者認証」が担保されていることになります。まず、具体的作業に携わる審査員については、「要員認証機関」の第三者認証を得ています。審査を担当する「認証機関」についても同様に、「認定機関」という第三者のお墨付きを得ています。そして「認定機関」は通常一国一機関で、ISOという国際機関で認知され、外国の同種の機関と相互認証することによって、品質を担保しています。これは既述の「第三者認証と資格制度の組み合わせ」としては、最強の仕組みと思われます。
ところがこの制度には、以下のような欠陥があります。
① 認証しているのは「手続」(このような手順を踏んでいれば、セキュリティは担保されるはずという点)だけなのに、いつの間にか「品質保証」の要素(認証を得たのだから安全という潜在意識)が混入し、しかも一部の関係者はそれを容認している(アメリカでは、品質管理と品質保証は峻別されるが、ここでは意識的にか無意識的にか混同されている)、
② 認証に要する手続き料は認証を受ける組織の負担となっているので、利害関係(conflict of interest)が避けられないのに、誰も問題にしようとしない、
③ 認証を受ける範囲を申請時に当該組織が選べることになっており、全社的な品質保証の理想からは程遠い、
④ 認証を受けたことを対外的に表明するマークはあるが、範囲を示す簡易な方法が用意されていない、
⑤ 認証の主旨を逸脱した行為があった場合に、資格剥奪などの責任が追及されるのかどうかが明確でない。
・認証を得れば責任は加重されるのか、軽減されるのか
ここで上記 ⑤ における責任とは、法的責任より幅広く、ペナルティのみならず報奨も含めたものですが、やはりペナルティの問題が、より重視されることは言うまでもありません。2000年代末には、認証を受けた企業が大規模な情報漏えいを引き起こした事例が複数発生したにもかかわらず、認証機関の対応が遅かったうえ透明性に欠けていたため、世間の批判を浴びました。
日本適合性認定協会は改善策を検討しましたが、報告書の「組織不祥事に対する情報公開・公表への対応」の結論は「認証機関は当初より認証組織との間で、不祥事報道に対する情報公開方針の合意の下、認証機関から状況に応じて直接に公表ができる審査契約を事前に締結しておくことが望ましい」といった程度で、この制度に内在する制約(特に上記② に由来する制約)を示しています。
このような欠陥が最も顕著に現れる事例は、「ISO 27001取得」や「Privacyマーク取得」などの表示により相手を信用させて取引きしたにもかかわらず、その期待レベルに著しく反していた場合です。一体、これらの認証を得た企業と認証を得ていない企業では、責任レベルに差があるのでしょうか? また、どちらの企業の責任がより重いのでしょうか? それとも、少なくとも法律的には、両者に差はないと考えるべきでしょうか?
実は私たちは、2007年から2008年にかけて、講演の依頼がある度にあるケースを提示して、挙手によってどれを支持する人が多いか測ってみたことがあります。その結果は、意外というべきか想定通りと言うべきか、3説が鼎立する状況でした。これには深い意味がありますので、次回まとめて説明します。