ISO取得・コンサルティングサービス 帝国データバンクネットコミュニケーション

帝国データバンクネットコミュニケーション
岡崎 弘明

　情報セキュリティに関しては、世界基準が存在する。いわゆるISO（International Organization for Standardization）の規格として、ISO15408やISO27000シリーズがある。中でも注目を浴びているのが、ISO27001であり、「ISMS（Information Security Management System）：情報セキュリティ・マネジメントシステム」としても知られている。

　企業や団体における情報セキュリティのレベル向上のために、ISO9001（品質マネジメントシステム）やISO14001（環境マネジメントシステム）と同様、「マネジメントシステム（管理手法）」を導入するというものである。

　一方、もう一つの情報セキュリティに関する国際規格ISO15408は、製品やシステム自体の規格であり、ISO27001とは多少性格が違う。

　ISO27001は認証の規格であり、所定の審査を受けて合格すれば、ISO27001認証取得企業（団体）として広くアピールすることができる。ISO27001取得で、期待できる効果として、以下のようなものがあげられる。

　一言でいえば、「信用・信頼の構築」に尽きるわけだが、企業のステータスは確実に上がる結果となり、当然ながら情報セキュリティに関する事件事故が起こりにくい体質になる。
ただし、認証取得したからと言っても、リスクがまったくゼロになるわけではない。

　ISO27001が正式に発行されたのは、2005年の10月であったが、国内では2002年より「ISMS適合性評価制度」として始まっていた （ISO27001の前身である英国規格BS7799-2をもとにしたもの）。現在、国内では累計で2,043社（2007年3月9日時点）が登録されており、年々増加の一途である。（表１参照）

　認証取得企業で、業種的に一番多いのがやはりIT関連企業であり、中でもシステム開発の業者が目立つ。また、ポータルサイトの運営会社などネットビジネス関連も多い。その他、広告関連や印刷、アウトソーサー、人材派遣など、企業向けのサービスを展開している企業も多い。これは取引先の信頼を得ることと、当然ながら営業的なアピールを兼ねての取得である。また、金融、不動産、建設業界などでも大手を中心として取得が進み始めている。

　業種によっては、得意先から認証取得のプレッシャーを受けたり、認証がないと仕事がもらえないというように、やむにやまれず認証取得している企業もある。システム開発や広告、印刷業界ではこの動きが顕著である。

　続いて、ISO27001の規格の内容について述べるが、大きく分けて「本文部分」と「附属書」との二部構成であり、前者はマネジメントシステムの構築や運用等に関しての要求事項である。後者の「附属書」には、合計１３３個の情報セキュリティに関する対策（管理策）が列挙されている。

　「本文部分」でまず目に付くのが「ＰＤＣＡモデル」の図だ（図１参照）。ISO9001やISO14001と同様、このＰＤＣＡサイクルがマネジメントシステムの基本である。

　すなわち、計画（Ｐ）→ 実行（Ｄ）→ 点検（Ｃ）→ 改善処置（Ａ）のサイクルを定着させて、情報セキュリティレベルの向上・維持を図り、利害関係者の要求や期待にこたえていくことである。

　計画（Ｐ）と実行（Ｄ）のプロセスは、多くの企業が行っていると思われるが、ISOでは、内部監査やマネジメントレビュー（評価）、及び継続的改善のための是正／予防処置が求められている。これら点検（Ｃ）と改善処置（Ａ）のプロセスを含めることで、ISMSを有効的に進めていくことが可能となる。

　もう一つ、規格の「本文部分」で大切な記載は、経営陣の責任についてである。

　経営陣の責任として、ISMSの基本方針の確立や、役割と責任の決定、ヒト・モノ・カネ等の経営資源の提供などが求められており、様々な場面で、経営陣の関与が必要となる。

　ISMSはトップダウン型であり、ボトムアップ型ではなかなかうまくいかない。経営陣の強い意志のもと、全社（適用範囲）が一丸となって取り組まなければ、成功しないのである。次回では、さらにISO27001の構築・導入について詳細に記す。