5.5関係当局との連絡

5.5関係当局との連絡とは？

ISO 27001:2022の管理策「5.5関係当局との連絡」とは、情報流通（情報を取得し、提供する）の管理策で、主に、法規制の新設や改正情報を取得し、適切に遵守することが目的です。その中には、実際にインシデントが発生した際に適切に対処すること（適切なタイミングで適切な相手に適切な内容を報告し、指示を受け適切に対応して報告すること）も含まれます。

なお、関係当局には、監督官庁や個人情報保護委員会等の規制当局の他に、警察や消防などの所謂執行機関、各種インフラサービスの提供事業者（通信事業者や水道事業者等）等も含まれます。

また、実際には以下の例のように管理策を実装することになります。

• 関係当局を特定する（例えばリスト化する）
• 関係当局の窓口（担当部署や連絡先等）を特定する
• 自組織の各窓口を決定する
• 連絡先が最新で有効であるか定期的に確認する
• どのような場合に誰がどこに連絡・報告すべきかを特定・決定する（例えば、インシデント対応マニュアル等に記載する）

以上ですが、情報の流通を目的とした管理策なので、例えば監督官庁のホームページを閲覧して情報を得るといった活動も情報流通の一部と考えられます。したがって、必要なURLを特定して定期的に確認するといった活動もこの管理策に含まれると解釈することもできます。

さらに、インシデント発生時等に指定された様式での報告を求められるようなケースでは、その様式の入手方法の特定や、その様式が最新のものであるかの確認等も必要です。

不採用の可能性があるか？

管理策の内容的に不採用とする理由が見当たらないため、全ての組織において採用されるべき管理策と考えられます。