デューケア（Due Care）

デューケアとは、ひとことで言えば、セキュリティリスクを認識した上で合理的な保護措置を実際に講じる「実行の注意義務」です。たとえば、脆弱性情報が公開されたら速やかにパッチを適用する、従業員に定期的なセキュリティ研修を実施する、アクセスログを監視するといった具体的行動がデューケアにあたります。デューデリジェンスが「知るべきことを調べたか」を問うのに対し、デューケアは「知った上で適切に行動したか」を問います。デューケアを怠ると、法的な過失（ネグリジェンス）とみなされ、損害賠償や規制上の制裁の根拠になり得ます。CISSPでは経営層の法的責任と紐づけて理解することが求められます。