社団法人中小企業診断協会東京支部 中央支会
Search
Mail Magazine
詳しくはこちら
専門家コラム ISMS認証取得に関する考え方の10ポイント(2006年6月)

<ISMS認証取得に関する考え方の10ポイント>

岡本 悦弘

 平成17年4月に個人情報保護法が施行され、個人情報漏えいに対する企業の対応は過剰ともいえ、特にビジネス上の取引条件の外圧として、プライバシーマーク制度の認証取得を取らざるをえなかった企業も多いと思われる。そうした過剰気味ともいえる個人情報保護をめぐる企業対応も一段落し、本来企業として守らなければならない企業内の機密情報漏えいについても取り組みを始める企業が多くなってきている。
 企業のビジネス形態としてBtoB型の企業間取引の多い企業はもとより、BtoC型の個人情報を多く取り扱う企業においても企業として保護すべき機密情報は多い。企業内の情報資産全般を守るための認証規格としては、ISMS(Information Security Management System)適合性評価制度(以下、ISMS)がある。BSI(英国規格協会)のBS77799‐2をベースとしたISMSは、2005年10月に国際規格であるISO27001に移行しており、今後も認証取得企業が増加することが見込まれる。
 ISMS認証取得にあたっては、プライバシーマーク制度に比べ非常に難しく、時間・費用がかかるといったイメージがあるが、必ずしもそうではなく、誤って認識されていることが多い。
 本稿は、ISMS認証取得に関する考え方・ポイントについて整理したものである。

1.運用を意識した仕組み作り
 認証取得するよりも取得後の運用、引継ぎなどが楽な、運用を考慮した仕組み作りが重要である(セキュリティと普段の業務が別々(ダブルスタンダード)になってしまっては意味がない。シンプルで経営ツールとして活用することができること)。
2.情報資産の洗い出しの粒度
 情報資産の洗い出しは、細かく洗い出しすぎないことがポイントである(せいぜい中分類程度。書類一枚一枚、ファイル一つずつを管理するのではなく、ある程度のかたまり(キャビネット、サーバ)でセキュリティ対策を実施するためである)。
3.経営判断によるリスク受容の考慮
 情報資産は洗い出すのが目的ではない。あくまでリスクのある情報資産に対して対策を実施するのが目的である。洗い出した情報資産全てにセキュリティ対策をとる必要は全くない。組織内で重要と判断したもののみ対策を実施すればよい。経営側の判断があれば、リスク受容(そのままにしてリスクを受容する)することも可能である。
4.情報資産の価値評価判断
 洗い出した情報資産に対して、価値評価を実施する。通常は点数による評価(評価項目の点数を合計して何点以上は重要とかの判断)を実施することが多いが、基準を決めるのが困難で時間がかかり、かつ部署、時期、人によって評価は異なる(調整点でバランスをとるのは意味がない)ため、あまり良い方式ではない。
5.主要メンバーによる価値評価
 価値評価は、主要メンバーによる話し合いにより決める方法でよい。点数による評価の方が一見、客観的ではあるが、上記に述べたように評価基準等があいまいであることもあるため、この方式のほうが、容易に価値評価できる。認証取得においてもこの方式でなんら問題はない。
6.プロセスに対するリスク分析
 情報資産の洗い出し、価値評価、リスク分析・評価を実施した際、リスク分析は情報資産の記録媒体ごとになるが、媒体を守ること=情報セキュリティ対策ではないことに留意する。あくまで仕事のステップ(プロセス)毎のリスクを分析(仕事内の情報セキュリティに対する欠点)することが重要である。
7.業務とセキュリティの一体化
 リスク分析による対策を業務マニュアルに組み込むことで日々の業務の中でセキュリティと業務が一体化することが重要である(業務の中で意識せずセキュリティを確保する)。これによりシンプルかつ経営ツールとして活用できるISMSの構築が可能となり、余計なマニュアルを作らないことで、ダブルスタンダードを避けることができる。
8.情報資産の重要度による組織判断と実施
 リスク分析結果により、リスクが高くとも、全てに対して対策を打つ必要はない。対策としては、(1)リスク対策を実施する、(2)リスク移転(他社にリスクを移転する(保険など))する、(3)リスク回避(リスクが発生する業務をやめてしまう)する、(4)リスク受容(何もしない)する、の4点がある。リスク対策は、必要かどうか組織内で検討し、経営判断により決めることができる。どのレベルのリスク対策を実施すべきかについては、情報資産の重要度により組織で判断、実施すればよい。
9.文書化に当たっての考慮点
 文書化については、プライバシーマークと比較して作成が必須のものは少なく、柔軟である。規程類は各社で必要のものを自由に作成する。マニュアルはリスク分析後、作成要否を判断する。必要なもの以外は極力作成しない。また社員は、それらのマニュアルを配布しても読まないので、要約版等を作成し配布する。
10.審査機関の選定
 審査機関を選ぶことは、重要なことである。審査機関によっては、審査毎に違う審査員が派遣され、指摘することが、異なる可能性もある。審査機関及び審査員は変更・交替が可能であるため、良くない審査員の場合は、審査機関の営業に相談する。審査機関は、現時点で20社程ある。
 

■岡本 悦弘(おかもと よしひろ)
日本大学文理学部史学科卒業
中小企業診断士、ITコーディネータ、システム監査技術者、情報セキュリティアドミニストレータ他 

Copyright All rights reserved (C)1997-2010 社団法人中小企業診断協会東京支部中央支会
このページのトップへ