主任コンサルタント 柏原 吉晴
今回は、「7.5文書化した情報」について解説します。
旧版(2008年版)の4.2.3文書管理、および4.2.4記録の管理に該当する要求事項で、
基本的には規格の意図するものは変わりません。文書と記録という言い方を「文書
化した情報」と統一し、文書も記録も同様の管理が求められます。
その中で特に注目したい「7.5.3.1」を解説します。要求事項は以下の通りです。
――――――――――――――――――――――――――――――――
7.5.3 文書化した情報の管理
7.5.3.1
品質マネジメントシステム及びこの規格で要求されている文書化した情報は、次の
事項を確実にするために、管理しなければならない。
a)文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した
状態である。
b)文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用
及び完全性の喪失からの保護)。
――――――――――――――――――――――――――――――――
a)は、旧版の4.2.3d)に該当しているのでよいでしょう。
b)ですが、旧版にも記録の保護について要求はありましたが、詳しくは述べられてい
ません。今回、「機密性の喪失、不適切な使用及び完全性の喪失からの保護」と詳し
く書かれています。
情報セキュリティの観点で、機密性、可用性、完全性を考慮することが追加されました。
・機密性(confidentiality):権限を持っていない者は、情報にアクセスできない状態
にすること。
・完全性(integrity):情報の破壊、改ざん又は消去されない状態にすること。
・可用性(availability):情報にアクセスを要求した時に、使用可能な状態にすること。
食品会社の「情報通信技術」を事例に考えてみます(関連:7.1.3インフラストラクチャー)。
仮に、生産部門の「生産制御システム」が、ネットワークの監視システムの制御プ
ログラム不備や、外部からの不正アクセス等の攻撃によって、エラーを起こすこと
が想定できます。
例えば、ピンホール検査機やX線探知機の制御プログラムが、コンピューターウイル
スにより書き換えられ、機能不全を起こしていることに気付かず、ピンホールや異物
混入の恐れがある不適合製品が何カ月も流出する、とか、加熱と冷却を自動制御して
いる機器が、外部からの不正アクセスによりプログラムが書き換えられ、モニターで
は正常な加熱数値が表示されていたが、細菌検査結果が出るまで加熱不足に気付かず、
数日間にわたり殺菌温度に達していない製品を出荷し続けていた、という事例が想定
できます。
生産制御システムのプログラム(文書)やモニタリング記録の機密性、完全性を確保
するために、ウイルス対策ソフト、ファイヤウォール、不要なポートの閉鎖、OSの選択、
ネットワークの仕様、通信プロトコルの選択、外部デバイスの接続制限、ログ監視ツール、
脆弱性試験、稼働時の機能の完全性評価、パッチやアップグレード、バックアップや冗長
構成など、様々な手段を講じることが必要です。
このような産業インフラの制御システムに対して、管理の重要性を認識させられる
事件として、2000年、オーストラリアの下水処理システムへの無線LANを介した侵入
(河川や公園に下水流出)や、2010年、イランのウラン濃縮施設の制御システムへの
サイバー攻撃(一時機能不全、監視モニターに偽装データの表示)や、2010年、日本
のコンピューター周辺機器メーカーの主力製品へのコンピューターウイルスの侵入や、
2012年、日本の産業インフラ制御システム会社への米国セキュリティ会社による攻撃
プログラムの公開などが挙げられます。
食品会社には、顧客情報管理システム、機械警備による警備システム、在庫管理シス
テム、販売管理システム、会計システムなど、まだまだ多くの情報通信技術が存在し
ます。それぞれ、個人情報の流出、不審者の侵入や製品レシピの流出、在庫先入れ先出し
不備、誤配送、誤請求など、食品安全や企業の信用喪失・コンプライアンス問題など、
情報セキュリティの重要性は、組織の存続に直結する課題です。
