「負担、制約も増えた」――“ISO好き”日本企業の想定外：これがなければ始まらない？ ISO27001取得への道（1/3 ページ）

個人情報保護法には躍起になるものの、組織の情報資産には無防備だった日本は今、世界に先駆けてISMSの普及を加速させている。一方で、その取得ブームは意外な影響を生み出した。

[富永康信（ロビンソン），ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

　2004年の個人情報保護法の完全施行によって、企業や団体ではプライバシーマーク（Pマーク）の取得が大人気となったが（関連記事）、最近では、情報セキュリティマネジメントシステム（ISMS）確立のための「ISO/IEC27001:2005」（以下、ISO27001）の人気が高まっている（図1）。それには、いくつかの理由がある。

　まず、日本版SOX法への対応にかかわる次のIT内部統制の統制項目と深い関連性があることが大きい。

• ログ管理
• アクセス制御
• 職務分掌（SoD：Segregation of Duties）
• アイデンティティ管理
• バックアップ
• 事業継続性管理（BCM：Business Continuity Management）

　これらとISMSは極めてフィットするといえ、管理策が充実しているISO27001が有効だと認識され始めたわけだ。

図1●ISMS規格制定の経緯（出典：日本情報処理開発協会）［クリックで拡大］

　「2009年3月に提出する財務諸表に関する内部統制監査報告書の作成に合わせて情報セキュリティのインフラが構成されると、その後本格的にISMS認証の必要性が高まると考えられる」と語るのは、テュフズードジャパンのマネジメントサービス部でISO27001（ISMS）主任審査員を務める松下勉氏。ドイツの第三者認証機関として、産業革命の時代から製品の安全性／品質試験、審査サービスを行ってきたテュフズードは、昨年から日本でも国際規格となった「ISO/IEC27001:2005」の認証審査や取得に向けたサービスを行っている。

　松下氏は、「個人情報だけをターゲットとした個人情報保護法やPマークでは、組織の重要な機密情報を守れなくなっているという危機感がある」と指摘する。

3割以上の企業が技術流出を経験

　PCの紛失やWinny利用による情報流出の事例はいまだに続いているが、まだ記憶に新しい海上保安庁や警察内部の情報流出事件では、国家防衛上の機密や捜査関係のノウハウなどの情報が漏れてしまったことから、個人情報の流出以上のインパクトを社会に与えることとなった。

　その危機感は企業でも同様で、株主／IR情報や経営／決算情報、製品やサービスのノウハウなど重要な情報資産を抱えているが、特に製造業の技術情報の国外への流出は、日本経済の損失として大きく問題視されている。