ISMSは「すべての情報資産」を対象とした認証

ISMSはプライバシーマークと同様に情報セキュリティに関する認証ですが、プライバシーマークが従業者や顧客の個人情報を対象としているのに対して、ISMSは個人情報だけでなく、技術情報はもちろん財務情報や人事情報などすべての情報資産を対象としています。

もともとプライバシーマークは、個人情報を守るという思想でスタートした制度であり、個人情報の取得や利用・提供・委託、保管および管理、廃棄や開示要求への対応など、個人情報全般の取り扱いについて定めたマネジメントシステムです。しかしISMSは自社の情報資産全般を守るための枠組みとしてつくられたものであり、その一部として個人情報を含んでいるという関係にあります。

ISMSで認証が与えられるのは会社全体の場合もありますが、部署や場所単位、あるいはシステム単位というように対象を限定して取得することができます。1つの営業所、付属の研究施設のみでセキュリティ対策を講じる場合は、ISMSでの取得を考えます。

プライバシーマークを取得していると会社全体がプライバシー規定を遵守している組織だといえますが、直接個人情報を取り扱わない支社や他の従業者まですべてを対象とすることになります。場合によっては規模が大きくなり過ぎてしまう可能性があります。

一方ISMSでは、部門や適用範囲を限定して認証を取得できるので、認証マークを掲げることができるのはその部門・部署だけで、会社内のどの部署でも掲げられるわけではありません。

またマネジメントシステムのつくり方においても、ISMSはプライバシーマークとは異なっています。

プライバシーマークでは、個人情報を適切に保護するための規格やそれに基づく運用の仕方が非常に細かく厳密に定められています。このとおりの運用が正しくできなければ、認証を得ることができません。一方ISMSでは、まず情報セキュリティを「情報の機密性、完全性及び可用性の維持」と明確に定義します。

機密性とは文字どおり扱う必要がない人間を情報にアクセスさせないということであり、完全性とは情報の正確さや新しさ、可用性とは少し聞き慣れない言葉ですが、必要とするときにいつでも情報にアクセスできるということです。

単に頑丈な”鍵”を何重にも掛けて機密性をひたすら追いかけるというのがISMSが求める情報セキュリティではありません。機密性、完全性、可用性の3つの視点から総合的に何が情報セキュリティとして求められるのかを明らかにし、そのうえで守るべき情報資産についての脅威とリスクを洗い出し、それをトータルに低減していくための仕組みや管理体制を構築していきます。

そして、それを実際にどういうルールで運用していくかということについては自由度が高く、組織の状況に合わせてフレキシブルにつくることが可能です。運用のフレキシブルさはプライバシーマークにはありません。むしろ逆に、細かく厳格に定めることで、その有効性を担保しています。

2016年からは「ISMSクラウドセキュリティ認証」が新たに加わりました。これはISO／IEC27001を前提として、その認証範囲内に含まれるクラウドサービスの提供もしくは利用について、ISO／IEC27017（クラウドサービスに関する情報セキュリティ対策を実施するためのガイドライン規格で、クラウドサービスを提供する組織と利用する組織の両方を対象とするもの）に規定されるクラウドサービス固有の管理対策が実施されていることを認証するものです。

これを取得すればクラウドサービス特有の情報セキュリティ上のリスクについて、必要な管理対策を実施していることを第三者機関の認証という形で対外的に示すことができます。

仲手川 啓

株式会社ユーピーエフ　代表取締役

【関連記事】

■税務調査官「出身はどちらですか？」の真意…税務調査で“やり手の調査官”が聞いてくる「3つの質問」【税理士が解説】

■親が「総額3,000万円」を子・孫の口座にこっそり貯金…家族も知らないのに「税務署」には“バレる”ワケ【税理士が解説】

■恐ろしい…銀行が「100万円を定期預金しませんか」と言うワケ

■47都道府県「NHK受信料不払いランキング」東京・大阪・沖縄がワーストを爆走