第3回 ISMS適合性評価制度を学ぶ：対策に最適な制度を活用する（2/4 ページ）

[丸山満彦（監査法人トーマツ），ITmedia]

　ISMS認定取得のメリットとその意義について説明する。登録審査機関は、ISMS認証の申請のあった企業に対して、ISMS評価基準を判断基準に審査し、適合していればISMS認証を付与する。つまり、ISMSを取得している企業は、ISMS評価基準に適合した体制およびそれに従った運営が行われていることを第三者に保証されることになる。

　ISMS認証の意義は、第一義的には利害関係者に対し経営者の説明責任を果たせることだ。この説明責任が果たせた結果、顧客は安心して情報をISMS認証取得企業に取り扱ってもらうことができるようになる。多くの書籍やセミナーでは、顧客の安心を得るためにISMS認証制度は有効であると説明されているが、独立した第三者の監査、認定・認証するというものは、まず、自らが説明責任を果たすということが重要であり、顧客の安心や信頼は、説明責任を果たした結果得られるものであるということを理解することが非常に重要である。

　プライバシーマーク制度と比較すると、プライバシーマーク制度が個人情報の適正な取り扱いという意味で、安全管理のみならず、取得段階から開示請求対応、苦情対応までを含むのに対し、ISMS制度では、セキュリティ以外の部分を含むか否かはその組織が決めることになる。情報の範囲についていえば、プライバシーマーク制度が個人情報のみを対象とするのに対し、ISMS制度では、個人情報以外の情報を含むすべての情報資産の安全管理（セキュリティマネジメント）を対象とする。

　本人から個人情報を直接取得している企業では、プライバシーマーク制度の活用がより顧客ニーズに適していると考えられる。またデータセンターなど、取引先から個人情報を含むさまざまな情報を預かっている事業者は、ISMS評価制度の活用が顧客ニーズに適していると考えられる。

　前回解説したプライバシーマーク制度を利用して、マークを取得している事業者の約60％がデータセンターなどの情報サービス業であることを指摘した。情報サービス業の多くが委託により個人情報を取得している事業者、つまり本人から直接個人情報を取得しない事業者であることを考えると、本来であれば情報サービス業はISMS制度を利用する方がふさわしいといえるだろう。

認証取得の手続きおよびその留意点

1.審査の種類および審査料

　ISMSの審査員が確認する作業には、大きく分けて審査とサーベイランスがある。審査は初回または3年ごとに定期的に行われる。サーベイランスとは、1年または半年ごとに実施する簡易な審査だ。通常は、すべての要求事項を確認せずに、変更の有無および変更点の確認と検証を行う。

　ISMSの認証取得を希望する事業者は、直接、登録審査機関に連絡することになる。BS7799-2の認証も合わせて取得したいなど、要望を伝えて登録審査機関から見積もりをもらって比較するとよい。審査工数は、取得する範囲の人数などによりおおむね決まっているので審査機関ごとに大差はない。システムの複雑性などにもよるが、初回審査料は100人規模で約200万円程度だ。3年後の定期審査料金は初回審査のほぼ3分の2である。

　また、サーベイランスは初回審査料金のほぼ3分の1となる。この審査料金以外に、別途登録料がかかるが、7万円程度である。初めて審査を行う場合、事前に登録審査機関に重要な不適合がないことを確認してもらうサービス（審査ではない）を利用することもできる。模擬試験のつもりで利用してみるのも1つの考え方だ。

2.認証取得のポイント

　ISMS認証取得を考えている事業者は、JIPDECから参考資料が公表されているので、それを参考にするとよい。また、財団法人日本規格協会からも関連書籍が販売されている。認証取得についてのマニュアル本も出版されているので、参考にしたい。

　ただし、これらはあくまでも参考資料である。「経典」のように利用するのは好ましくない。自らの組織にとってどのようなマネジメントシステムが最もふさわしいかを考えながら、ISMSを構築することが肝要だ。ここでは、特に大切なポイントを5つ挙げておく。

1. 認証取得の目的を明確にすること
2. 認証取得範囲（適用範囲）を明確にすること
3. マネジメントはシンプルでよいか、具体的な対策・手順は細かく決めること
4. 監査は専門的能力のある者が行うこと
5. マネジメントレビューによる改善を重視すること

　特に、認証取得の目的を明確にすることが重要である。プロジェクトの途中で行き詰った時には、目的に立ち戻って取り組むと解決することが多い。特にリスクアセスメントで行き詰る組織が多いようだ。多くの場合、リスクを正確に評価しようとしすぎるところに問題があるように思われる。リスクアセスメントは、セキュリティ対策を決めるために行うものであり、正確にリスクの大きさを評価することが目的ではない。

　また、どれだけ緻密に行っても正確なリスク評価は不可能である。目的を達成できるところでリスクアセスメントを終了することが肝要だ。つまり、リスクアセスメントは重要な情報資産に重点をおいて行うことが、効果的であり効率的といえる。複雑なマネジメントシステムは、運用と維持にコストがかかる。できるだけシンプルにすることが重要である。

　一方、現場の手順は具体的に定めなければ運用できない。ISMSの「Check」で重要な役割を果たす内部監査は、情報セキュリティ監査制度の活用も検討するとよい。なお、情報セキュリティ監査制度については、次回説明する。始めから100点満点のマネジメントをすることを考えずに、改善によるスパイラルアップに重点をおこう。そのためには、マネジメントレビューを重視し、経営層を巻き込んだ改善を行うことが重要となる。

ISMS評価基準の概要