Enterprise Watch
バックナンバー

個人情報保護法施行で注目される「ISMS」ってなに?




 個人情報保護法の施行以来、企業にとって情報管理をどのように行うかが大きな課題となっている。その情報管理のひとつとしてISMSが注目されている。しかし、具体的な内容についてはあまり知られていないのではないだろうか。今回、ISMSの導入コンサルティングを行う、株式会社ジェイエムシー コンサルティング&セキュリティカンパニー セキュリティビジネス本部 本部長の宮崎亮氏に、ISMSの内容および取得方法などについて話を伺った。


ISMSは組織の情報資産を守るための管理枠組み

 ISMSはInformation Security Management System(情報セキュリティマネジメントシステム)の略で、組織の情報資産を守るための管理枠組みをあらわすもの。具体的には、情報セキュリティの基本方針を基に、1)Plan(セキュリティポリシーの策定)、2)Do(計画に基づいた対策実行)、3)Check(ISMS監査)、4)Act(ISMSの見直し、是正措置)、のPDCAサイクルを継続的に行うことでもある。

 このISMSを認証する制度が、ISMS適合性評価制度になる。一般にISMSの認証を受けたと表現されるものは、ISMS適合性評価制度の認証を受けたことを指している。このISMS適合性評価制度は、2002年4月より財団法人日本情報処理開発協会(JIPDEC)により導入された第三者評価制度だ。そして、このISMS適合性評価制度の認証基準として使われているのが、UKAS(英国認証機関)が発行する「BS7799」になる。

 BS7799は、ISMSの規格で、ISOで認定されている情報セキュリティ管理実施基準「BS7799-Part1」と、情報セキュリティ管理システム仕様「BS7799-Part2」の2部構成となっている。ISMS適合性評価制度では、この情報セキュリティ管理システム仕様「BS7799-Part2」を日本語訳したものを認証基準としている。

 BS7799では、情報セキュリティを、「機密性・完全性・利用の可能性を維持すること」と定義し、「組織の競争力、キャッシュフロー、利益、法的準拠および商業上のイメージを維持すること」を目的としている。つまり、BS7799が求めているのは、情報の価値と脅威、脆弱性をマネジメントすることになる。

 長くなったが、ISMS適合性評価制度の認証を受けるということは、情報管理を適切に行う体制を整えた企業であることの証明になる。


情報資産の洗い出しがISMS取得の第一歩

ISMS認証取得までの流れ(出典:株式会社ジェイエムシー)
 このISMS認証を取得するには、ISMSで求められている要求事項を理解するところから始めることになる。ISMSでは、書類・データの取り扱い手順から、サーバールームに対する地震・障害などのリスクへの対応方法、不正アクセス時の対策方法、従業員に対するルールの遵守などを求めている。これらをすべて洗い出し、ISMSの構築方針を決定し、その方針に沿って教育や管理策の導入、ISMS文書の作成という作業を行うことになる。

 この中で重要なのが、ISMSの構築方針を決定するために必要となるリスクアセスメントだ。ISMSでは特定のリスクアセスメント手法は指定されていないので、組織にとって最適な手法を選択・開発することになる。リスクアセスメントでは、リスク受容レベルの設定やリスクの識別、リスクレベルの算定、対応方針などを決定する必要があり、これを決めることが非常に難しい作業であると宮崎氏は語る。「自力でISMSの取得を行うとき一番の障害になるのが、このリスクアセスメントの部分です。リスクアセスメントは確立したものが存在しないため、コンサルティングを行う企業もそれぞれの過去の経験などから得たノウハウをここで活かしています」と話す。このリスクアセスメントさえクリアすれば、自らISMSを取得することも可能というわけだ。

 このISMSの認証は、認定機関を通じて行われる。「ISMSの認証を受けるには、認定機関が委託した審査機関を通じて行われます。審査機関では、文書審査と現場審査の2つの審査を行い、認定基準をクリアしていれば認定機関よりISMSの認証を受けられます」と宮崎氏は説明する。ただし、一度認定されればそれで終わりというものではなく、半年から1年に一度は審査を受けることが求められる。また、3年ごとに再度審査を受ける必要があるので、継続的にISMSに準じた活動が求められる。


ISMS取得で企業のセキュリティレベル向上を

 企業にとってISMSの認証を受けるメリットはどのようなものがあるのだろうか。宮崎氏は、「対外的にISMS取得企業であると告知できるという点が挙げられます。また、同業他社との差別化や、ISMS取得が取引条件とされるケースに有効であったりします」と話す。「もちろん、最大のメリットは、企業内のモラルアップなどによるセキュリティレベルの向上にあります」と、ISMSの本質的な目的でもある企業内での情報セキュリティ管理の向上も挙げている。

 ISMSはあくまで情報セキュリティの枠組みでしかない。しかし、一定の枠組みにしたがうことで自社の情報管理を見直すことができるのは大きなメリットだ。ISMSに関する情報は、Webで簡単に手に入る。また、無料のセミナーなども各地で開かれているので、プロの話を聞いてみるのも参考になるだろう。情報漏えいへの不安を感じている企業、情報管理の手法が確立されていない企業に勤めている方は、この機会にISMSを調べてみてはいかがだろうか。



URL
  ISMS適合性評価制度
  http://www.isms.jipdec.jp/
  株式会社ジェイエムシー
  http://www.jmc.ne.jp/
  月刊情報セキュリティ
  http://www.monthlysec.net/


( 福浦 一広 )
2005/07/08 13:00

Enterprise Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.