経済産業省が2006年12月に発表した「我が国製造業における技術流出問題に関する実態調査報告書」(回答企業数357件)によると、国内または海外で技術流出が発生したことはあるかとの問いに、35%以上の製造関係企業で技術流出があったと回答(図2)。そのうち、重要先端技術が流出したと回答した企業は37%、流出については想定外だったと回答した企業は70%以上という憂慮すべき実態が明らかになった。
また、8割の企業が「不正競争防止法」(*1)に応じたルール決めをしているにもかかわらず、その改正情報を把握していない企業も多く、組織内での法令順守の不備が指摘されている。国も情報管理の重要性を認識し、2005年10月12日に改訂した「営業秘密管理指針」(*2)では、情報にアクセスできる者を規定し、情報にアクセスした者がそれを秘密だと認識できることなどを明示しているが、組織の法務関連部門では、契約や知的財産権にかかわる情報程度にしか認識がないケースも多いという。
このように、個人情報を守るための仕組みは作ったものの、自社に蓄積した技術やノウハウなどに対しては無防備というのが実情だ。情報の保管や保全のためには明確な指針やルールが必要で、情報の取り扱いが組織内でまちまちの状態では不測の事態も憂慮される。ISMSへの期待には、そのような組織内の情報を守るためのニーズの高まりが背景としてあるのだろう。
「ISMSの133項目ある管理策を取りまとめている39項目の管理目的の1つ、A15.1には『法的要求事項の順守』があり、法令が改正されたら関連部署に通達し、きちんと対応する仕組みがあることを求めている。ただ、ルールにせよ人の意識にせよ、コンプライアンスが十分に機能していないのではないかという印象を受ける」(松下氏)
この「ISMSブーム」の裏には、取引先の要求も拍車を掛けている線がある。自社の情報を扱ってもらう上では、外注にもそれなりの情報セキュリティレベルを求めるからだ。ISMSを取得した企業は外部委託先管理基準を作る際に、ISMSを取得しているか、それと同等のレベルを求める。外注は、それならば認証取得してしまおうというわけだ。そこで必要に駆られて認証を取得する企業が増えている。
ISO27001の取得件数が2253件(2007年7月17日現在)となっている日本は、ワールドワイドでの認証取得数のおよそ6割のシェアを占めている。ISO認証好きの国民性がISMSでも顕著に表れた格好だ。
Copyright © ITmedia, Inc. All Rights Reserved.