セキュリティマネジメント規格の認証 ISMS:ISO27001とプライバシーマークの取得 企業経営におけるIT化の進展とともに、セキュリティ対策の重要性がますます高まってきている。しか し、具体的に何を、どこまで行えばよいかわからないという悩みを持つ企業は多い。JBTレポートVol.5 では「中小・中堅企業における情報セキュリティ」と題して、主に技術面の対策について報告した。 本レポートは、技術面の安全対策に加え、経営システムとしてのセキュリティ対策全般を視野に入 れ、セキュリティ関連規格の認証制度とその取得に焦点を当てる。認証取得により、営業機密、個人情 報等の不正流出や、改ざんといった事故が予防できる。加えて、情報資産を整理することに伴い業務の 効率化が図られると共に、自社のセキュリティレベルを取引先や社会に認知してもらうことにより、商機 JIS規格 「工業化標準法」に基づ き鉱工業の技術的事項を 定めた規格。工業標準調 査会(JISC)の答申によ り主務大臣が「標準」を制 定。規格番号は、JIS・部 門番号・分類番号・個別番 号で表記される。 国内規格としては、 JIS の他日本農林規格(JA S)、日本薬局方(JP)、日 本電機工業会規格(JE M),自動車規格(JAS O)などがある。 認証 マネジメントシステムの場 合、「認証」の代わりに「審 査登録」 と言うことがあ る。 ISO 国際標準化機構 (International Organization for Standardization) の 略 称。1835 年のメートル条 約を起源とし、1947 年に 設立されたスイスに本部 を 置く 民間の 非営利組 織。電機分野を除く鉱工 業分野の国際規格を策定 する。同組織が策定した 標準化規格の総称として も用いられる。 JISは、WTO(世界貿易 機関)の国際協定によりI SOと規格内容を整合さ せる必要がある。 IEC 国際電気標準会議 (International Electrotechnical Commission)または同団 体が策定した標準化規格 の略称。 IECは 1906 年 に設立された電機分野の 国際規格を策定する団 体。 JBT Report Vol.9 1 を広げることも期待される。 標準化と認証 標準化とは、効率的な研究や生産のため、多 一方、「デファクト標準」は、標準化は早いが 情報公開が不十分で不透明との指摘がある。 くの仕様の中から「標準」あるいは「規格」を定め ることを指している。 ISO JIS規格は工業標準化法で定められた鉱工 JIS規格は、日本国内における鉱工業分野の 業製品に関する代表的な規格である。農業分 標準だが、同様に欧米の英国ではBS、ドイツで 野ではJAS規格になる。 はDIN、米国ANSI、アジアでは中国GB、韓 こうした法律など公的なお墨付きによる標準 化を、あまり聞きなれないが「デジュール(de jure)標準」という。 国KSなどの規格がある。 こうした各国の規格を国際的に標準化したも のがISOである。ただし、ISOでは電気通信分 この標準・規格に適合しているかどうか確認 野は除かれており、電気通信分野はIECという することを「適合性評価」といい、適合しているこ 組織により標準化が行われている。情報通信分 とについて保証することを「認証」という。 野は、共通する内容が多いことから共同管理さ 一方、こうした法律などに基づかない標準化 れ「ISO╱IEC」と表記される。 の流れがある。「デファクト(de facto)標準」であ ISOの規格には、ねじなどの工業製品が多 り、標準化をめぐって激しい市場競争がある。か い。身近な例では、紙のA版規格は「ISO216」 つてのビデオの VHS 対βや、最近のブルーレ である。近年、こうした製品規格から、マネジメン イディスクと HD DVD の競合である。パソコン ト規格へと対象が拡がってきている。標準化さ ソフトの Windows と MAC OS などもその代表 れた規格にマネジメントが適合しているか否か 例だ。もちろん、公的なお墨付きなどは無い。 が評価の対象になる。 激しい市場競争の中から事実上の「標準」を確 立してきている。 「デジュール標準」は透明性があるものの地 現在では、次の「品質」「環境」「情報セキュリ ティ」が三大マネジメント規格とよばれている。 ・品質(QMS) ISO9000 シリーズ 域間、国家間の利害もあり標準化に時間がかか ・環境(EMS) ISO14000 シリーズ る。 ・情報セキュリティ(ISMS) ISO27000 シリーズ ISO番号、シリーズ ISO 番号は、もともと規格化 した順に付与される。 類似す る 事項が 増加し た、あるいは増加が見込ま れる場合、連番(シリーズ)と なるよう再整理されることが ある。これをファミリー規格 とも言う。 品質(QMS) ISO9000 シリーズ 品質マネジメントシステム (Quality Management System) ISO9001 は 1987 年制定。顧 客満足度、信頼性・安心感 の向上を目的に品質を保証 する仕組みや手順を規定。 環境(EMS) ISO14000 シリーズ 環境マネジメントシステム (Environmental Management System) ISO14001 はブラジルでの環 境サミットを契機に 1996 年 制定。環境にやさしいやり 方で仕事をするための仕組 や手順を規定。 情報セキュリティ(ISMS) ISO27000 シリーズ 情報セキュリティマネジメン トシステム (Information Management System) ISO27001 は 2005 年英国の 規格をベースに制定。国内 規格は JISQ27001 として設 定。これらの規格に基づき、 ISMS 適合性評価お よ び ISMS 認証が行われる。 2009 年 7 月現在、 3,237 組織が認証取得。 ISO27002 は、実践規範(ガ イドライン)を規定している。 情報セキュリティマネジメントシス MSは個人情報の提供者の保護権利を擁護す テム(ISMS) ることが主目的である。また、ISMSが企業の一 ISMSは、技術的なセキュリティ対策と組織マ 部門でも認証できるのに対し、PMSはコンプラ ネジメントの両面から情報セキュリティのレベル イアンスを主眼とした個人情報の保護のため全 向上を図る仕組みや手順であり、ISO╱IEC27 社がその審査対象になる。 001でその内容を規定している。 図 1 ISMS と PMS の関係 特に、技術依存ではなくプロセス管理を中心 としたセキュリティマネジメントシステムのため総 合的な効果が期待できる。 ISMSの適合性評価では、情報の機密性(権 限のある人のみが情報にアクセスできる)、完全 ISMS PMS 【主目的】 事業継続 ・組織の情報 資産の保護 ・個人情報の 安全性確保 【主目的】 個人情報の 提供者の 権利擁護 ・利用目的 の告知 ・開示等請求 対応 性(情報が改ざんされない)に加え、可用性(権 限を有する人が必要な時に情報を得られる)を 重視している。 認証取得のメリット プライバシーマーク(PMS)制度 ISMSやプライバシーマーク制度における適 情報セキュリティ関係の認証ではISO27001 合性評価は、「第三者による認証」として、より客 のほか、プライバシーマーク制度もよく知られて 観的な評価になり、評価内容の信頼性が高い。 いる。プライバシーマーク制度は、個人情報に 具体的には次のようなメリットがある。 適切な保護を行う体制(PMS)を整備している ①設備や社員のセキュリティレベルが確認で 企業などをJIS Q15001に基づいて認定する 制度である。 本人の了解を得て提供を受けた個人情報に き、リスクへの対処能力も改善される。 ②費用対効果を考慮した効果的な情報資産 の管理ができる。 ついて、その「安全対策」に加え「利用目的につ ③消費者、取引先等からの信頼が得られる。 いての合意」「目的以外の利用の禁止」「第三者 ④法規制などへのコンプライアンスが確保さ PMS 個人情報保護マネジメント システム(Personal information protection Management Systems)の略 称。 への提供の制限」「提供者からの開示請求など れ、入札条件などの制約に対し競争優位 への対応」など個人情報の提供者の権利保護 性を維持できる。 プライバシーマーク(PMS) 制度 2005 年 5 月施行の「個人情 報の保護に関する法律(個 人情報保護法)」を基礎に、 「JIS Q15001 個人情報マネ ジメントシステム要求事項」 に規定に基づいた認証制 度。「JIS」とあるように日本 国内での認証制度。 2009 年 7 月現在、 10,543 社が認定取得。 ISMSとPMS JBT Report Vol.9 2 がその主たる内容となっている。 ISMS導入のポイント いずれも情報セキュリティに関する認証制度 であり、重複する部分もあるが、その目的とする ところは異なる。 ISMSは、組織の情報資産を保護することに より事業の継続を図ることを目的としている。P ISO規格の多くが製品規格であり、品質、性 能、安全性、寸法、試験方法など規格への適合 性を比較的判断しやすい。 マネジメントシステムの評価の場合、必要な 対策を立案、実施し、その上でシステムを安定 的、継続的に維持していくことがポイントになる。 PDCAサイクル 生産や品質を管理する手法 の一つ。Plan(計画)、Do(実 行)、Check(点検)、Act(改 善・処置)からなるフィードバ ック手法であり、各ステージ の頭文字をとってPDCAサ イクルまたは提唱者の名前 からシューハートサイクル、 デミングサイクルともいわれ る。 このため、PDCAサイクルに基づくマネジメント を求められる。 具体的には、Plan(計画)、Do(実行)の段階 で主に次のような手順をとる。 まず、評価を希望する企業は、「認証機関」 (審査登録機関)に申請をする。認証機関は、 ・セキュリティ保護の対象とする情報資産の 規格に適合しているか審査を行い、審査結果に 範囲を明らかにする より認証登録する。3 年毎に更新審査が必要。 ・どの程度のセキュリティレベルとするかを 会社が自主的に決める 織を設置する 産価値とリスクを確認する。そしてリスクへ 「影響・損害」を明らかにする。このリスクア ECに直接認定申請する方法と、申請者が「指 セスメントの作業がISMSの基礎になる。 定機関」に所属している場合、同指定機関によ ③各々の情報資産のリスクに対する安全管 り認定を受ける方法とがある。更新期間は2年。 理策を定め、実施する。ここで、システムの 監視、情報へのアクセス制限、暗号化、バ ックアップ等を行うことになる。 認証取得手続きのポイント JBTでは、過去 2001 年に品質に関するISO 9001の認証を得ているが、今般、情報セキュリ ティISO27001の認証と、プライバシーマークJI PMSにおいても、個人情報の保護・管理を 目的にISMSと同様にPDCAサイクルに基づ S Q15001の認定を得た。 この経験を踏まえ、ISMSとPMSの認証取得 に際してのポイントをあげる。 図2 認証の仕組み ISO マネジメントシステム 品質、環境など ISO9001 ISO14001 (情報セキュリティ以外) 情報セキュリティ ISO27001 プライバシーマーク JIS Q15001 認定 審査登録機関 51機関 申請 審査・認証 経営責任者・社長の役割は、情報セキュリテ 自ら発信すること。また、運用をできるだけ簡潔 海外認定機関 (財)日本適合性認定協会 JAB 1.経営責任者の積極的な関与 ィに関する認証取得の重要性を社内に向けて 国際相互承認 認証・登録機関 ジメント推進センター(JIPDEC)」になる。 なお、プライバシーマーク制度の場合、JIPD 続的に行っていくことになる。 日本の認定機関 ムは、「(財)日本情報処理開発協会・情報マネ の「脆弱性」とリスクが顕在化した場合の この後、Check(点検)、Act(改善・処置)を継 品質、環境等の場合は「(財)日本適合性認 定協会(JAB)」であり、情報セキュリティシステ ②次に、社内の情報資産を洗い出し、その資 指定機関 Pマーク付与指定機関の略。 (社)情報サービス産業協 会、(財)日本データ通信協 会などJIPDECが指定した 団体。Pマークの申請受付、 認定などを行っている。 認証機関が、評価業務を行う能力を備えてい るか否かを審査する機関が「認定機関」になる。 ・目標を達成するための具体的な推進組 (財)日本情報処理開発協会 (JIPDEC) 情報セキュリティマネジメント システム(ISMS)適合性評 価制度の運用と維持を行う 日本における認定機関。IS MSの認証を行う審査登録 機関を認定している。 認証制度の仕組み ①基本方針を策定し、推進体制を設置する。 (財)日本適合性認定協会 (JAB) 1993 年品質マネジメントシス テム審査登録制度の認定機 関として発足し、その後環境 マネジメントシステムなど事 業範囲を拡大。 分野 いた管理システムを求められる。 (財)日本情報処理開発協会 JIPDEC 指定 認定 審査登録機関 24機関 申請 審査・認証 認証希望する事業者 指定機関 16機関 申請 審査・認定 指定機関に加入し ている事業者 なものにし、日常的にセキュリティ管理が行われ るよう具体的に指示することが重要である。 2.推進体制の整備 経営幹部をリーダーに、各部門から推進メン バーを選定して全社的に推進される重要プロジ ェクトであることを社内に明らかにする。 JBT Report Vol.9 3 JBTにおける認証マーク 品質(QMS) 3.コンサルタントの活用 選定の基準は、①自社の状況を正確に把握 できる能力があること ②経験が豊富で最近の 事例にも通じ、規程類の雛型も適切に選定して くれること ③必要なときに随時対応してくれる 右:ISO9001 の認定機関で ある(財)日本適合性認 定協会(JAB) のマーク 中:認証機関(BSI マネジ メントシステムジャパン) のマーク 左:国際認定機関の米国 適合性認定機関(ANAB) のマーク 情報セキュリティ(ISMS) 右:ISO27001 の認定機関 である(財)日本情報処理 開発協会(JIPDEC)の マーク 取得までの期間は、申請までの準備期間と、 申請から審査・認証までに分けることができる。 申請までの準備期間は通常6~8ヶ月かかる。 社内の取組み体制の充実、コンサルタントの活 があること などである。 用、文書作成の合理化等々でかなり短縮できる 4.認証機関の選定 が、それでも最低3~4ヶ月程度は必要になる。 認証機関は複数の中から選択できる。手続き 申請から認証までの期間は、認証機関の閑 等が迅速・丁寧かどうかが選択の基準になる。 繁状況、能力に左右されることが大きい。2~3 この判断のための情報入手はなかなか難しい ヶ月審査待ちとなることもあるため、機関選定の が、直接認証機関に審査期間等を問い合わせ、 際に確認しておく。 その回答や応対時の印象で判断する。コンサ 7.作業のポイント ルタントからの情報も有益である。 ISMS、PMSとも、資産(情報資産、個人情 報資産)を洗い出し、洗い出した資産のすべて 5.費用 費用は、登録の審査費用の他、多くの場合コ 登録審査費用は企業規模によるが、ISMSで についてリスク分析を行う必要がある。この作業 が一番重要であり、手間がかかる。 ポイントは、まず、資産を分類する適切な体 100万円程度、審査機関ごとに若干金額が違う。 系を構築する。そしてその体系に従がって情報 PMSの場合は小規模企業で30万円程度、大 資産を洗い出すことが効率的である。 企業では120万円程度になる。 ISMSあるいはPMSの認証の重要性を理解 コンサルタント費用は、どの程度の作業を依 していても、それがすぐに売上の増加にはつな 頼するかにより100万円から300万円程度まで がらない。手数がかかりコスト増になる。しかし、 大きな幅がある。その後は、登録維持費用と、 情報流出、改ざん、滅失などのセキュリティリス 更新のための費用がかかる。 クはますます増加してきている。こうした前向き このほか、社内費用として担当者の人件費が 表 1 ISMS 及びPMS 新規取得 及び更 新にかか る費用 (単位:千円) ISM S PMS ■取得時 ■取得時 登録審査料 1,000 前後 申請料 50 登録維持料 100 前後 審査料 小200 中450 大950 マーク使用料 小 50 中100 大200 コンサルティング料 1,500 ~ 2,500 コンサルティング料 800 ~ 3,000 ■1年目、2年目継続時 継続審査料 300 前後 登録維持料 100 前後 ■2年目更新時 申請料 50 審査料 小120 中300 大650 マーク使用料 小 50 中100 大200 ■3年目更新時 更新審査料 650 前後 登録維持料 100 前後 ( 注)IS MS 40 名規模の 会社 PM S 小 :小規模 企業、中: 中規模企 業、大: 大規模企 業 JBT Report Vol.9 4 6.認証取得までの期間 こと ④社内教育や内部監査へ支援する能力 ンサルタント費用が必要だ。 プライバシーマーク かかる。専任で9~12ヶ月必要なことが多い。 のリスクヘッジは、長期的には組織の付加価値 向上に結びつく。それぞれの企業の実情に合 わせてISMS、あるいはPMSへの取組みを行 うことが重要になっている。 【お問合せ先】 (株)日本ブレインウエアトラスト(略称:JBT) 〒101-0047 東京都千代田区内神田 2-15-9 内神田 282 ビル Tel : 03-5295-0571 Fax : 03-5295-0860 E-mail: [email protected] [ホームページ] http://www.jbt.co.jp/ [ISMS・PMS担当責任者] 大根田、本間 2009.8
© Copyright 2024 Paperzz