セキュリティ管理のメモ帳

セキュリティに関する備忘録

「Due care(デューケア)」と「 Due diligence(デューディリジェンス)」

CISSP関連知識

はじめに

 情報セキュリティマネジメントを推進する上で、特にCISOが意識すべき概念として、セキュリティ上のDue care(デューケア)と Due diligence(デューディリジェンス)があります。CISSPでもベースとなる考え方*1として理解することが求められているため考えてみたいと思います。
 注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)

デューケア

 先ずは、デューケアについて考えてみます。
 Weblioによると、duecareは、「相当な注意」と訳されています。
 また、使用例として以下が例示されていることから、一般的に法律用語として使用されていることが理解できます。
 Duty of Due Care of Prudent Manager
 和訳:善管注意義務(善良なる管理者による注意義務)

 法律関連の辞書でもう少し深く調べてみます。
 Black's Law Dictionaryのオンライン版では以下のように記載されています。

Black's Law Dictionaryから引用

What is DUE CARE
Just, proper, and sufficient care, so far as the circumstances demand it; ths absence of negligence.
This term, as usually understood in cases where the gist of the action is the defendant’s negligence, implies not only that a party has not been negligent or careless, but that he has been guilty of no violation of law in relation to the subject- matter or transaction which constitutes the cause of action.
Evidence that a party is guilty of a violation of law supports the issue of a want of proper care.

状況によって要求される限りにおいて、正当、適切、かつ十分な注意。
この用語は、訴訟の要旨が被告の過失である場合に通常理解されるように、当事者が過失や不注意を犯していないだけでなく、訴訟原因を構成する主題または取引に関連して法律違反の罪を犯していないことを意味する。
当事者が法律違反の罪を犯しているという証拠は、適切な注意の欠如という問題を裏付けるものである。

※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果

 調べた結果、以下のように理解しました。
注)これ以降の内容には、筆者が独自に解釈した内容が含まれるため、正確性が損なわれている可能性があります。

  • デューケアは、要求に対し相当(正当、適切、十分)な注意を払うこと(コンプライアンスベース)
  • デューケアが満たされていれば、過失や不注意を犯していないことを意味する
    (過失が認められた場合は、デューケアの欠如を裏付ける)
  • 対象となる要求が法的なものである場合、過失は法律違反の罪に問われる可能性がある
  • デューケアの十分性は、要求に対する絶対的な判断に依る

デューディリジェンス

 Due diligenceについても、duecareと同様にBlack's Law Dictionaryのオンライン版で調べてみます。

Black's Law Dictionaryから引用

What is DUE DILIGENCE
Such a measure of prudence, activity, or assiduity, as is properly to be expected from, and ordinarily exercised by, a reasonable and prudent man under the particular circumstances; not measured by any absolute standard, but depending on the relative facts of the special case.

特定の状況下で、合理的で慎重な人物から適切に期待され、通常行使されるような、慎重さ、活動、または勤勉さの尺度。いかなる絶対的基準によっても測定されないが、特別なケースの相対的事実に依存する。

※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果

 理解を深めるため、さらに調べてみます。

 OECD日本政府代表部のサイトデューディリジェンスに関する記述を見つけました。
 また、当該サイトで紹介されている「責任ある企業行動のためのOECDデュー・ディリジェンス・ガイダンス」本文の中にもデューディリジェンスに関連する記述がありましたので、併せて紹介します。

OECD日本政府代表部のサイトから引用

デューディリジェンス(Due diligence)
ある行為者の行為結果責任をその行為者が法的に負うべきか負うべきでないかを決定する際に、その行為者がその行為に先んじて払ってしかるべき正当な注意義務及び努力のこと

「責任ある企業行動のためのOECDデュー・ディリジェンス・ガイダンス」から引用

・デュー・ディリジェンスは、自らの事業、サプライチェーンおよびその他のビジネス上の関係における、実際のおよび潜在的な負の影響を企業が特定し、防止し軽減するとともに、これら負の影響へどのように対処するかについて説明責任を果たすために企業が実施すべきプロセスである。
・デュー・ディリジェンスは、・・・(中略)・・・実際のまたは潜在的な負の影響(リスク)に対処するものである。

 デューディリジェンスについて、調べた結果をまとめます。

  • デューディリジェンスは、特定の状況下で然るべき正当(合理的で慎重)な注意義務および努力を行うこと
  • デューディリジェンスは、組織がある行為に対し合理的なリスクマネジメント(実際のまたは潜在的な負の影響を特定し、防止し軽減するとともに、これら負の影響へ対処する)を行い、その行為の結果について説明責任を果たすためのプロセス(リスクベース)
  • デューディリジェンスの十分性は、特定の状況下における相対的事実に依る

比較結果

デューケアとデューディリジェンスを表により比較してみます。

まとめ

 今回は、Due care(デューケア)と Due diligence(デューディリジェンス)について考察しました。
 組織は、情報セキュリティマネジメントを活動する中で、様々な遵守すべき要件(例えば、法的要件*2や社会的要件*3 、契約上の要件 )を過失なく満たしていることをデューケアにより確実にしなければなりません。
 一方、組織特有の要件(例えば、利害関係者からの期待や組織の目的達成を最適化するためのサプライチェーンを含めたリスクマネジメント)については、デューディリジェンスにより、相対的に見て合理的な判断により活動し、それに見合う結果が得られていることを内外の利害関係者*4に対し説明できる体制を整えることが重要です。

参考資料

 本稿は、以下のサイト、文献を参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。

  • Black's Law Dictionary

  • OECD日本政府代表部のサイト

  • 責任ある企業行動のためのOECDデュー・ディリジェンス・ガイダンス

脚注

*1:CISSPの公式トレーニングガイドブックでは、デューケアは「サービスは、顧客の期待に応え、顧客が不当な被害に遭う可能性を排除するもの」、 デューディリジェンスは「デューケアを提示または提供するために行う行動」と定義されています。

*2:法令・規制、判例など

*3:倫理観、社会通念、一般常識など

*4:例えば、取引先や株主、組織の要員