第3回 ISMS適合性評価制度を学ぶ：対策に最適な制度を活用する（4/4 ページ）

[丸山満彦（監査法人トーマツ），ITmedia]

　ここでは、少し視点を変えて、ISMS認証取得をしている組織と取引（委託を含む）を行う場合の留意点を挙げる。個人情報保護法の全面施行をひかえて、委託先の監督を強化する動きがある。確かに、委託先の選定は重要なポイントの1つであり、委託先の選定基準を策定し、リスク管理を行うことは肝要である。

　しかし、委託先の選定基準にISMSを取得していることのみを規定するのは問題である。ISMSの認証は、リスクに応じたセキュリティ対策を自らの組織が定めて実施する体制があることを認証する制度だ。委託する場合は、委託元が要求するセキュリティ対策を委託先が行っていることを確認することが必要だ。従って、ISMSを取得していることより、どのようなセキュリティ対策を実施しているかを確認することの方が重要となる。

　ISMSを取得していることは、自らにとって最もふさわしいセキュリティ対策が行えるマネジメントシステムが導入され、それを第三者が監査しているために、実施しているだろうという、蓋然性が高いということに過ぎない。「会計監査を受けている会社だから取引をします」というわけではないだろう。

　「財務基盤がしっかりしている会社だから取引をする」はずである。従って、委託先の選定基準は、「ISMSを取得しているか」ではなく、「ISMSを取得している場合は、適用宣言書などをレビューし、自社が必要と考えているセキュリティ対策が行なわれていることを確認する」というのが正しい姿勢だ。

　これは、プライバシーマークを取得している企業であっても同じである。委託先の選定基準に、単にISMSの取得を条件としている企業や、それをアドバイスするコンサルタントの方は、ISMSの本質を理解していない。みなさんは、そのような過ちを犯さないように十分気をつけてほしい。

今後の動き

　最後に、ISMSの今後の動きを説明する。ISMSの認証基準の附属書がJIS X 5080とリンクしていることを説明したが、そのJIS X 5080の国際規格であるISO/IEC 17799の改訂作業が現在進んでいる。この1年以内に改訂が確定すると思われる。JIS X 5080が改訂された際には、ISMS認証基準も改訂されるだろう。現在、ISMSの認証数では、日本が世界の約半数を占めている。このような状況も踏まえて、日本がリーダーシップをとってISMSをよりよい制度にしていくことが重要と思われる。

参考文献

財団法人日本情報処理開発研究会

・ISMS適合性評価制度の概要

・ISMS認・証基準（Ver.2.0）

・ISMSユーザーズガイド

ISMSユーザーズガイド-リスクマネジメント編

・本文

・付録

・ISMS構築事例集

丸山満彦（監査法人トーマツ）

公認会計士　シニアマネジャー。1992年監査法人トーマツ入社。1998年より2000年にアメリカ合衆国のDeloitte & Touche LLPデトロイト事務所に勤務。帰国後、リスクマネジメント、コンプライアンス、社会的責任、情報セキュリティ、個人情報保護関連のコンサルティングを実施。情報セキュリティ関連の政府委員を歴任。内閣官房情報セキュリティ対策推進室兼務する。