情報セキュリティの強化がますます求められています。御社では「情報についてのリスクアセスメント」について、どのような対応をされていますか。
今回は、ISO/IEC 27001・ISO 9001・ISO 14001の主任審査員である、テュフ ラインランド ジャパン システム部 シニアスペシャリストの柴田 檀に、情報セキュリティマネジメントシステム ISO/IEC 27001の構築、審査・認証について、インタビューしました。ISO/IEC 27001の構築で多くの方が悩まれる点、構築の利点などを分かりやすく解説しています。
― ― ― まずはISO/IEC 27001について、簡単に説明してください。
柴田 ISO/IEC 27001 情報セキュリテイマネジメントシステム(ISMS:Information Security Management System、以下ISMS)の審査では、情報が適切に保護されているかどうか、情報の機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)が保たれているかどうかを判断します。
ISMSイコール情報の機密性を保つこと、と理解されている方がいらっしゃるかもしれせんが、それだけではありません。完全性は正確性を保つこと、可用性は必要な時に必要な情報がきちんと使えることを意味しますが、これらも重要な要素です。ISMSに必要なこの3要素の頭文字をとって、「情報のCIA」と呼ばれることがあります。
ISMSを構築する企業としては、IT系サービス企業にとどまらず、一般企業の情報システム部門、個人情報を大量に処理する企業などもあげられます。
― ― ― この10年で、ISMSの認証発行件数はどのように推移していますか?また今後10年について、どのように予測されていますか。
柴田 日本で唯一のISMS(Information Security Management System)認定機関である一般社団法人情報マネジメントシステム認定センター(ISMS-AC、2018年JIPDECより分離)によると、2019年12月時点で、日本国内で約6,000件の認証が出ています。2002年より、年間約300件ずつじわじわと増えている状況です。サイバーセキュリテイの重要性も増していますし、ISMSの認証取得が公共入札案件となることもありますので、この先も、しばらくは同じようなペースで増えていくと考えられます。
― ― ―プライバシーマーク(Pマーク)との違いを教えてください。
柴田 Pマークは、JIS Q 15001 (個人情報保護マネジメントシステム-要求事項)に基づいて審査されるもので、JIPDECにより運営されています。JIS Q 15001は、個人情報の授受の手続きを定めたもので、学習塾、医療機関、通販会社などが主にPマークを取得しています。
- ISO/IEC 27001:情報全般が対象、情報の機密性・可用性・完全性を管理するマネジメントシステムを審査
- JIS Q 15001(Pマーク):個人情報が対象 、個人情報授受の手続き(ルール)を審査
柴田 ISMSの要求事項に「情報についてのリスクアセスメント」があり、このリスクアセスメントには、大きく分けて二つの方法論があります。リスクアセスメントに慣れていらっしゃらない方は、この方法論の選択で悩まれることが多いように見受けられます。
- 静的方法論:情報資産ベース
情報そのものと、ハードディスク、サーバー、ネットワーク回線など情報が格納されるまたは伝達に使われる物理的な資産に基づいたリスク評価 - 動的方法論:プロセスベース
情報の取得から情報が加工・伝達・格納・廃棄されていく人間系またはITシステムのプロセスに従った情報の状態変化に基づいたリスク評価
― ― ― ISMSの構築による一番の利点は、どのようなことにあるとお考えですか。
柴田 ISMSの認証取得をされる企業の方々は、大きく分けて下記二つの目的があります。そしてこれらがISMSの利点です。
- ISMSの構築・認証取得を通して、組織の仕組みを改善
- 第三者認証を取得することで、外部の信頼を得る、ISMS確立の証明とする
比較的規模の小さい組織の方々にとっては、ISO 9001の認証取得はハードルが高いかもしれませんが、ISO/IEC 27001とISO 9001、ISO 14001は、規格構造が似ています。ISMSの構築・認証取得により、PDCAの仕組みをうまく確立され、そのフレームワークを情報セキュリテイだけでなく、品質システムなど他の側面にも上手に適用されている組織も多く見られます。
― ― ― テュフ ラインランド ジャパンの審査・認証の特徴、強みを教えてください。
柴田 当社はドイツに本社を置き、海外に多くの拠点を持つグローバル企業です。海外拠点を利用し、日本企業の海外拠点、海外企業の日本拠点なども同時に審査を進めることができます。
ISMS経験の長い審査員が多く在籍しており、ITサービス企業以外にも、健診センター、機密文書を扱う倉庫・運送会社、コールセンターなど、幅広い組織に対して、ISMSの審査・認証を提供してきました。これまでの経験から、常にお客様目線で、お客様が目指す方向、進むべき方向から離れない審査を心がけています。
また、テュフ ラインランド ジャパンは、ISO/IEC 27001認証取得企業に対して、ISO/IEC 27701:2019(※)の審査・認証を行っており、JIS Q 15001の認証発行も行っています(追加審査項目あり。JIS Q 15001単独の認証も可能)。ISMSとISO 9001、ISO 14001などの規格との複合審査についても、20年近い経験がありますので、複合審査も安心してお任せください。
※ISO/IEC 27701:2019 – プライバシー情報マネジメントシステムの詳細は、こちらをご覧ください。
ISO/IEC 27701:2019 審査・認証の流れ
― ― ― 最後に、ISMSとは離れますが、柴田さんは、ISO 9001、ISO 14001の主任審査員の資格、また一級建築士の資格をお持ちですが、現在注目していることはありますか。
柴田 2019年5月に建築物省エネ法が改正され、2021年4月から施行されます。この改正では、耐震、耐火に加えて、省エネ(断熱性能)の要求が強くなっていますので、今後ISO 14001の審査に大きな影響が出てくると考えています。建設会社だけでなく、建物を所有するすべての企業に影響があります。
ISMSにサイバーセキュリテイの側面が強く出てきたように、ISO 14001のフォーカスするポイントも徐々に変化してきています。私どもテュフ ラインランド ジャパンの審査員も、常に社会の流れに広い視野でアンテナを張り、皆さまの変化に即したサービスを提供してまいります。
<参考リンク – テュフ ラインランド ジャパン ウェブサイト>
ISO 27001 情報セキュリティ
サイバーセキュリテイ
柴田 檀(だん)
テュフ ラインランド ジャパン株式会社 システム部
シニアスペシャリスト
ISO 9001・ISO 14001・ISO/IEC 27001主任審査員
建設会社で、設計施工プロジェクトマネジメント、技術開発、ITシステム開発などに従事した後、2001年より、テュフ ラインランド ジャパンでISO の審査・認証に携わる。CASBEE評価員(建築環境総合性能評価システム/IBEC)、一級建築士の資格も持ち、建設関連企業の品質審査も多数担当。ISO/IEC 27001、ISO/IEC 20000-1、 JIS Q 15001、BCMSなどの審査員教育にも従事。
<シリーズ> エキスパートインタビューはこちら
お問い合わせ:カスタマーサービス(TEL: 045-470-1850 E-Mail: info@jpn.tuv.com)
更新日 : 3/30/2021