5.3職務の分離

5.3職務の分離とは？

ISO 27001:2022の管理策「5.3職務の分離」とは、不正やエラーなどのリスクを軽減するための管理策です。ニュースでとりあげられる不正の中には、職務や権限が集中し、監視や牽制がきいていないことが原因というケースが珍しくありません。

典型例は、例えば、「社内システムのアクセス権限を管理している者による機密情報の持ち出しなど」ですが、アクセス権を実際に付与する者と、それを承認する者を分離するといった措置がこの管理策に該当します。また、ひとりでは実行できないよう、ふたり以上の関与を必要とするといった措置もこの管理策に含まれます。

なお、分離したとしても、分離した職務の担当者同士で共謀するというリスクも念頭に置いておくべきであり、それを考慮して分担、監視できるような体制が望ましいです。とは言え、組織体制的に難しいケースもあるので、人的・システム的な監視などその他の管理策でリスクを低減することも検討しましょう。

また、職務や責任の分離以外に、業務のローテーションや転勤が同様の目的でなされることもあります。

不採用の可能性があるか？

組織である以上、管理策の内容的に不採用とする理由が見当たらないため、全ての組織において採用されるべき管理策と考えられます。