3.1.4　職務分掌

はじめに

原文見出し：
「Separate the duties of individuals to reduce the risk of malevolent activity without collusion.」
見出し訳：
「共謀のない悪意ある行動のリスクを減らすために個人の義務を別々にする」
本要件は、派生セキュリティ要件です。

「職務分掌」は、企業に勤めている方達には当たり前のお話かもしれませんが、改めて、定義を確認します。
一般的に「組織の内部統制を目的として、組織内に設けた部署や役職、特定の担当者がそれぞれに取り組むべき職務、役割を明確にし、職務、役割における責任の所在や権限を適切に配分すること」と言われています。
これによって、組織内における不正或いは犯罪行為を抑制する効果がある事は、皆さん周知のことと思います。
近年、業務遂行にコンピュータを使った情報処理が当たり前になっていますが、それ故に業務との結びつきも強い状況である事も、周知の事と考えています。
そうした背景から、業務における情報セキュリティを確立する上で、既存の職務分掌と合わせて、職務、業務における情報処理の目的、役割を明確にし、情報処理の範囲、権限を分離する事は必要です。
これも最小限の原理原則に基づくことになりますが、一人の人に複数の役割や権限を与えたり、職務を越える役割や権限を与えたりしない事です。
これによって、不正のトライアングルの一角である機会を抑制できることにつながります。