ここでは、少し視点を変えて、ISMS認証取得をしている組織と取引(委託を含む)を行う場合の留意点を挙げる。個人情報保護法の全面施行をひかえて、委託先の監督を強化する動きがある。確かに、委託先の選定は重要なポイントの1つであり、委託先の選定基準を策定し、リスク管理を行うことは肝要である。
しかし、委託先の選定基準にISMSを取得していることのみを規定するのは問題である。ISMSの認証は、リスクに応じたセキュリティ対策を自らの組織が定めて実施する体制があることを認証する制度だ。委託する場合は、委託元が要求するセキュリティ対策を委託先が行っていることを確認することが必要だ。従って、ISMSを取得していることより、どのようなセキュリティ対策を実施しているかを確認することの方が重要となる。
ISMSを取得していることは、自らにとって最もふさわしいセキュリティ対策が行えるマネジメントシステムが導入され、それを第三者が監査しているために、実施しているだろうという、蓋然性が高いということに過ぎない。「会計監査を受けている会社だから取引をします」というわけではないだろう。
「財務基盤がしっかりしている会社だから取引をする」はずである。従って、委託先の選定基準は、「ISMSを取得しているか」ではなく、「ISMSを取得している場合は、適用宣言書などをレビューし、自社が必要と考えているセキュリティ対策が行なわれていることを確認する」というのが正しい姿勢だ。
これは、プライバシーマークを取得している企業であっても同じである。委託先の選定基準に、単にISMSの取得を条件としている企業や、それをアドバイスするコンサルタントの方は、ISMSの本質を理解していない。みなさんは、そのような過ちを犯さないように十分気をつけてほしい。
最後に、ISMSの今後の動きを説明する。ISMSの認証基準の附属書がJIS X 5080とリンクしていることを説明したが、そのJIS X 5080の国際規格であるISO/IEC 17799の改訂作業が現在進んでいる。この1年以内に改訂が確定すると思われる。JIS X 5080が改訂された際には、ISMS認証基準も改訂されるだろう。現在、ISMSの認証数では、日本が世界の約半数を占めている。このような状況も踏まえて、日本がリーダーシップをとってISMSをよりよい制度にしていくことが重要と思われる。
丸山満彦(監査法人トーマツ)
Copyright © ITmedia, Inc. All Rights Reserved.