「負担、制約も増えた」――“ISO好き”日本企業の想定外：これがなければ始まらない？ ISO27001取得への道（3/3 ページ）

[富永康信（ロビンソン），ITmedia]

9割近くの企業がセキュリティ意識の浸透を実感

　2007年3月に、財団法人ニューメディア開発協会が実施した「ISMSの維持管理における実態調査」（1422事業所中、264件が有効回答）によると、ISMS認証の効果と影響に関して、社員のセキュリティに対する意識の浸透を評価する一方で、認証取得によって事務作業量や制約も増えたと感じている企業が多いことが分かった。

　以下に、その調査結果の一部を紹介しよう。

Q1：ISMS認証取得によって得られた効果とは？

• 「社員のセキュリティに対する意識の浸透の実践」（87.9％）
• 「情報資産の明確化と整理」（77.7％）
• 「事故発生時の体制・計画の整備」（56.4％）

Q2：ISMS認証取得で発生した想定外の影響とは？

• 「業務量の増加」（39.8％）
• 「業務上の制約の増加」「担当組織や人員の必要性」（同率36.7％）
• 「対策に掛かるコストの増加」（34.5％）

　具体的には、監査目的の資料作成やISMS事務局からの直接業務に関係のない依頼作業の増加、不要な作業履歴の記録などが影響しているとし、また機器の取り扱いに関する制約や上長の承認機会の増加などが大きく影響したという。

Q3：ISMS認証取得後の運用で負担となっている作業は？

• 「リスクアセスメントの見直し」（53.8％）
• 「ポリシーの改定や記録などの更新作業」（52.7％）
• 「情報資産台帳の見直し作業」（50.0％）

Q4：ISMSの効果を上げるために現在重点的に取り組んでいるものは？

• 「一般社員への認識・理解の向上」（69.3％）
• 「有効性評価手法の改善」（40.9％）
• 「教育研修の改善」（36.0％）

　しかし、ISO27001/ISMS認証取得に際しては、対外的なアピールばかりではなく、内情がそれに即していないと形骸化してしまうため、注意が必要だ。

　次回は、ISMS確立のための具体的な取り組みとは何かを紹介する。

【補足】 国内におけるISMS適合性評価制度の本運用までの流れ

　経済産業省では、2000年7月31日に「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革」を公表するとともに、従来の「情報システム安全対策実施事業所認定制度（安対制度）」は2001年3月31日をもって廃止することを決定した。

　これに伴い、技術的なセキュリティのほかに、人間系の運用・管理面をバランス良く取り込み、時代のニーズに合わせた新しい制度として、情報セキュリティマネジメントシステム（ISMS）適合性評価制度を創設することとなった。

　ISMS適合性評価制度のパイロット事業（2001年度事業）では、対象範囲を主として情報技術関連分野（情報処理サービス業を含む）としていたが、2002年4月開始の本格運用ではこの制限を外し、すべての業種／業務分野を対象範囲とした。