情報資産を守り、安全に事業を展開する仕組み
ISMSは企業内にある情報資産が漏洩したり、改ざんされたりするリスクから保護する設備や対策を整え、安全に事業を展開する仕組みのことです。「ISMS適合性評価制度」は、国内のみならず諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的として、2002年4月より運用が開始された評価制度です。
ISMS適合性評価制度は、品質マネジメントシステム(ISO 9001)や環境マネジメントシステム(ISO 14001)などと同様の第三者による認証制度です。言い換えれば、組織が構築したISMSが認証基準に適合していることを第三者の認証機関が保証するものです。認証を取得することは、個人情報などのさまざまな情報に対して、情報漏えいの未然防止、不正アクセスなど自己対応能力があり、リスクへの対応が適切に実施されていることを意味します。
2005年10月にISMSの国際規格ISO/IEC 27001:2005が発行されたため、ISMS認証基準(Ver2.0)はこの規格に移行することになりました。また、国内規格JIS Q 27001:2006は、ISO/IEC 27001の規格の内容に可能な限り合わせているので、2006年5月20日の制定を起点に、JIS Q 27001をISMS基準とし、これに基づく認証が開始されています。
近年は日本年金機構やベネッセの個人情報流出をはじめ、官公庁や大手企業における個人情報の流出、ホームページの改ざんといったニュースが、連日のように新聞やテレビで報道されています。
企業の情報資産、つまり経営機密情報、企業ノウハウ、製品情報などは、「脅威」にさらされているとともに、「脆弱性」も持っています。脅威とは、外部からの不正アクセスによる改ざん・流出、システムの突然のダウン、意図的な外部漏洩、災害による喪失などを指します。脆弱性とは、情報へのアクセス管理不備、インターネットからのアクセスの容易性、防災対策の不備などのことです。
ISMSは、このようなリスクへの対応はもちろん、組織の情報価値や利用性を高めることを効果的かつ効率的にマネジメントするものです。まさに情報セキュリティ対策を講じることが不可欠となってきた状況の中で、ISMSの認証取得が奨励されています。
日本品質保証機構(JQA)の調査によると、「個人情報取扱事業」「情報ネットワーク運営事業」と「電子取引関係事業」においては、約9割の担当者がISMS認証取得は不可欠又は望ましいと考えています。
また、ISMS認証は企業の自主判断により取得されるものですが、国や自治体において、各種認定制度や入札条件などでISMSの認証取得を条件にしているケースもあります。今後は、プライバシーマークや情報セキュリティ監査などと併せて、入札や取引上の条件として考慮させる方向にあるといえます。
「情報資産」に対して様々な管理策を施すため、情報漏洩、改ざん、不正アクセス、ハードやソフトのトラブルなどのリスクを減少させることができます。万が一の場合も、事業損害を最小限に食い止めることが可能になります。
情報漏洩事件やシステム障害が相次ぎ、企業の目は厳しくなってきています。こうしたなか「当社は情報セキュリティの対策に万全を尽くしております。」だけでは説得力に欠けます。情報セキュリティは品質や環境に比べて、目に見えない部分が多いからです。しかし、ISMSの認証を取得しているということは、第三者の客観的な評価を得ているということになりますので、取引先企業や顧客からの信用を得ることができます。
近年は、一部の官公庁の入札では、認証取得を必須条件とするところも出てきています。また、認証を取得すると名刺やホームページにロゴマークを掲載することができるため、競合他社との差別化をはかることができます。
ISMSは一度取得してしまえば完了というものではありません。情報セキュリティへの脅威は目まぐるしく変化しており、それに即したマネジメントシステムを維持する活動も重要となってきます。これらの活動をPDCAサイクルに基づいて継続的に行うことにより、従業員のセキュリティに対する意識を常に高い状態に保つことができます。
ISMSとプライバシーマークの違いについてですが、プライバシーマークは、JIS Q 15001(個人情報保護に関するコンプライアンス・プログラムの要求事項)に適合して、個人情報の取り扱いに対して適切な保護措置を講じている業者を認定する制度のことです。ISMSが対象部門の情報資産と情報セキュリティ対策を全般的に扱うのに対し、プライバシーマークは情報資産のうち個人情報に特化した保護とセキュリティを対象にしています。
また具体的な「個人情報の定義や特定」が必要とされ、「目的外の利用の禁止」など、個人情報所有者本人の権利保護と個人情報を取り扱う場合の管理責任などが考慮されています。
ISMSはどちらかと言えば企業向けのビジネスを主に営む企業を対象としていますが、プライバシーマークはどちらかと言えば個人向けのビジネスを主に営む企業を対象としています。
審査も根本的に異なり、現地審査が少ない代わり費用も安くなっています。ただし、不祥事を起こすとJIPDECのホームページで「取り消し事業者」として公表されてしまいます。ただし、継続審査がないので、内部統制に対する有効性の面でISMSに劣ります。
組織が保有している情報資産(システム、ネットワーク、データ、ノウハウなど)が漏洩や破壊などにより失われる可能性があることを「情報リスク」といいます。リスクをもたらす要因には、内部要因と外部要因の二つがあり、それぞれの側面から個別に対策を検討することが重要となります。
内部要因においては、例えば、社内で利用しているシステムに、ソフトウェア的な脆弱性があるとすれば、そこがセキュリティホールになって、セキュリティ事故につながる要因となります。また、社内のデータベースにどの社員もアクセスできるといった、「情報セキュリティ」という発想がないという状況も考えられます。重要情報の持ち出しなどの大きな事故につながらないように、アクセス制限をルール化する必要があります。
次に外部要因としては、ネットワークを介した意図的な加害や自然災害などの脅威があります。具体的には、クラッカーによるシステムへの不正侵入やウイルスが仕込まれた被害、停電によるシステムダウンなどがこれに該当します。
マネジメントシステムが継続的かつ有効に機能するには図のようなPDCAモデルを確立していることが必要となります。