[HOME] - [研究レポート] - [顧客情報(個人情報≒人格)を守るために 【ISMSの必要性を検証する】 小澤啓洋]

顧客情報(個人情報≒人格)を守るために
【ISMSの必要性を検証する】

社会就労センター(障害者支援施設) 明朗塾
システム管理部長  小澤 啓洋

目        次

はじめに
1 個人情報保護法(個人情報情報の保護に関する法律案)とは
1−1 個人情報の保護に関する法律案
1−2 個人情報保護法の民間に対する個別法部分(第十五条〜二十九条)
1−3 個人情報保護法の施行前から取得している個人情報等の取扱い
1−4 漏洩事故を防止するための安全管理措置(しかし事故は起きる)
2 情報セキュリティマネジメントシステムとは
2−1 情報セキュリティマネジメントシステム=ISMSとは
2−2 ISMS認証評価制度の要求事項
2−3 ISMS認証取得への流れ(構築事例紹介)
附則 「ISMSの形骸化はすでに始まっている」
3 明朗塾におけるISMSの必要性の検証
参考引用文献(資料)

[TOP]

はじめに

 今われわれを取りまく環境は、インターネットの急激な普及や業務効率化などに伴い、さまざまなデータがデジタル化され、ITは、生活の上で欠くことのできないものである。このような社会全体の利便性の高いIT化に伴い、その代償として近年爆発(続発)している情報漏洩や不正プログラム感染の流行などの情報リスクを慢性的に背負ってしまったと言える。
 われわれにとって、慢性的な情報リスクから、守らなければならないもの(情報)は、「顧客情報」である。この顧客情報が漏洩したらどのようなことが起きてしまうか。まず考えられることを信用失墜それによる顧客の施設利用、福祉サービス利用の低下、クレーム対応の膨大な費用増により、経営の悪化である。しかし、経営の悪化はあくまでも加害者側の結果であり、被害者は顧客ご本人なのである。顧客情報の漏洩により被害者の顧客には架空請求等の悪質な被害が及ぶ可能性がある。過去にも三洋信販の情報漏洩事件で多数の架空請求の被害を生んだ事例もある。
 われわれはこのような慢性的なリスクをかかえながらも、顧客を守るすべ、われわれの身を守るすべをしらない。そこで、着目したものがISMS(情報セキュリティマネジメントシステム)である。
 ISMSとは、組織の「情報資産」明朗塾でいう「顧客情報」の安全性をできる限り高め、災害やシステムクラッシュ、不正アクセス、意図的な社外漏洩、改竄などの脅威、慢性的なリスクから守り、情報の機密性、安全性、可能性を継続的に確保・維持するためのシステム確立を目指すものである。  特徴的なことは、民間主体で普及が進んだISO9000・14000シリーズとは違い、経済産業省が情報セキュリティ政策の一環として位置づけているシステム規格である。
 詳しくは、この研究レポートの中で記述していくが、このISMSは、来年度4月から施行される顧客情報保護法の対応のとしても多いに役立つものだといえる。
 個人情報保護法は、顧客情報を取り扱う明朗塾にとって無視できない法律であることは間違いないなく、明朗塾では*個人情報の取扱量により適用は受けないものの、この法律に従う必要はあるものと考えられる。
 国策ともいえる情報セキュリティ対策は、このような新たな法律まで作ってしまうことからもわかるように、個人情報を守るための動きは、今後より一層加速化し、重要視されていくであろう。
 個人情報保護法のセミナーで講師をされていた弁護士の稲垣隆一先生の言葉に「個人情報保護に関する取り組みをやらない理由がないのであれば、やるべきである。情報漏洩の事故は起きるものと考え、その時に責任を軽減する方法を取り組むみなさい。できる限りのことをしていれば(客観的に認められる方法で)法は不能を強いません。」と法律の専門家としての意見もあった。
 顧客情報(顧客の人格)を守るために、個人情報保護法を遵守するのためにISMSを構築させることが、最善の策であると考える。われわれ明朗塾としても、顧客情報を守るために、個人情報保護法とISMSの両方の側面から調査を行い、明朗塾での必要性を検証していく必要がある。

*個人情報の取扱量=法の適用を受ける取扱量

6カ月間継続して保有する個人データ(保有個人データ)を月に5000件(人)以上。


[TOP]

1 個人情報保護法(個人情報情報の保護に関する法律案)とは

1−1 個人情報の保護に関する法律案

 まず初に、個人情報の保護に関する法律案を理解するために必要な基本原理を記述する。

個人情報保護法の基本原理
情報管理

セキュ
リティの基本方針 情報資産 個人情報 その他の情報資産
情報資産 個人情報 その他の情報資産
情報の真のオーナー 本人・組織は預かり主 組織
セキュリティ事故の被害内容 差別・犯罪被害
架空請求
プライバシー侵害
機密事項の阻害
正確な情報の阻害
使用不可

情報管理の原理
取り扱いには目的制限

情報セキュリティに義務を課せられる。かつ、第24条以下の定めに対応、保有個人データに関する事項を公表して、開示、訂正等、利用停止等に応じる。

システムと情報資産の安全性・信頼性・効率性の確保
事故後の対応の最優先原理 情報主体(本人)を保護
組織は加害者とならない対応
組織を保護
集める情報を厳選し、不要な情報を収集しない。収集したら保護し、廃棄する。

 この基本原理は、法の基本理念は個人の保護にあることと、それを取り扱う組織がどのようにしたらよいのかを簡単にまとめたものである。これを基にこの法律を理解してくのが、現段階ではベストな方法ではないかと考える。
 詳しい内容に入る前に、予め申し添えて於きたいのだが、これ以降に記述する個人情報保護法(個人情報情報の保護に関する法律案)の情報源は「弁護士稲垣隆一先生が個人情報保護法/Pマーク最新情報講演会のために作成された資料(主催グローバルテクノ株式会社)」を基にしている。

基本理念:個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。

法の基本理念は個人の保護にある。

公布 平成15年5月30日   全面施行 平成17年4月1日

目次

第一章 総則(第一条_第三条)
第二章 国及び地方公共団体の責務等(第四条_第六条)
第三章 個人情報の保護に関する施策等
     第一節 個人情報の保護に関する基本方針(第七条)
     第二節 国の施策(第八条_第十条)
     第三節 地方公共団体の施策(第十一条_第十三条)
     第四節 国及び地方公共団体の協力(第十四条)
第四章 個人情報取扱事業者の責務等
     第一節 個人情報取扱事業者の義務(第十五条_三十六条)
     第二節 民間団体による個人情報の保護の推進(第三十七条_第四十九条)
民間に対する
個別法
第五章 雑則(第五十条_第五十五条)
第六章 罰則(第五十六条_第五十九条)

附則

 適用を受ける事業者は、保有個人データの取扱量によって決められている。適用事業者は6カ月間継続して保有する個人データ(保有個人データ)を月に5000件(人)以上所有する事業者である。
 われわれが遵守しなければならないには、第四章の第十五条〜二十九条である。これについては、次の1−2で詳しく記述する。

1−2 個人情報保護法の民間に対する個別法部分(第十五条〜二十九条)

入手取扱規制(15〜18)
15 利用目的の特定
16 ★利用目的による取扱制限
17 適正取得
18 取得・変更時に利用目的等を通知
23 第三者提供の禁止
セキュリティ確保(19〜23)
19 正確性の保持(努力義務)
20 安全管理措置(具体的義務)
21 従業員の監督(具体的義務)
22 委託先の監督(具体的義務)

情報主体への対応(24〜31)
24 保有個人データの公表
25 データ開示義務
26 訂正・追加・削除請求
27 利用停止義務
28 理由説明義務
29 開示義務
30・31 手数料・苦情処理(努力義務)

個人情報保護法を違反したらどうなるか。

1 個人情報保護法に基づく効果

  • 保護法違反を理由とする主務大臣の職権発動要請
  • 不正取得等を理由とする利用停止請求

2 人格権・民法・商法等に基づく効果

  • 差し止め
  • 損害賠償請求

民間に対する個別法部分のポイントは、十六条の「利用目的による取扱制限」に8割はあると断言できると、個人情報保護法のセミナーで講師をされていた弁護士の稲垣隆一先生はおっしゃられていた。
しかし、ポイントは十六条に8割あるということだが、企業を取りまく個人情報保護法はこれだけではない。したがって、対応すべき法律は一つではないのである。

対応すべき法律(個人情報保護法の他に)

個人情報保護法

  • 行政機関個人情報保護法
  • 独立行政法人個人情報保護法

地方公共団体の条例への準拠

上記以外の法律

  • 国立大学法人施工令
  • アジア太平洋経済協力の枠組みにおいて運用される貿易等に関する事業に従事する者の商用渡航のための証明カードの交付及びその運用に関する省令
  • ヒトに関するクローン技術等の規制に関する法律施行規則
  • ヒトに関するクローン技術等の規制に関する法律
  • 指定住居サービス等の事業人員、設備及び運営に関する基準
  • 有料道路自動料金収受システムを使用する料金徴収事務の取扱いに関する省令
  • 感染症の予防及び感染症の患者に対する医療に関する法律
  • 港湾労働法
  • 港湾労働法施行規則
  • 労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律
  • 労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律施行規則
  • 職業安定法
  • 職業安定法施行規則
  • 船員法施行規則

国際法的視点(なぜなら外国人の顧客がいる場合は、その国の法律が適用されることがあるため)

  • カルフォルニア州法(Security Breach Information Act)
 個人情報の定義=データファーストネームまたはその頭文字を伴ったラストネームおよび以下のいずれかの情報(社会保障番号、運転免許証またはカルフォルニア州のIDカードの番号、あるいは銀行口座番号、クレジットカード番号、デビットカードの番号のいずれかとその口座にアクセスするためのパスワードもしくはセキュリティーコード)
 暗号化していないデータを収集している企業と個人は、カルフォルニア州の顧客の「個人情報が許可を受けていない人物により取得された」可能性のある場合、本人に通知しなければならない。同州で事業を展開している企業は、こうした不正アクセスをすべての顧客に通知しなくてはならない。顧客に通知しなかった場合には、民事訴訟を起こされる可能性がある。
  • 医療保険の相互運用性と説明責任に関する法律
  • 金融サービス近代化法
金融機関に自らが保管しているデータの整合性を維持し、説明責任を負うことを義務づけ

 個人情報保護法には、このように多くの関連する法律がある。企業は、これらの法律も遵守しなければならい。

個人情報保護法に関する見解

 『この法律は、政府、企業、マスメディア等のためにあるのではなく、「個人」が自らの情報をコントロールする権利を持ち、それを行使することで、不当な圧力などから自身や家族を守り、最低限の平和な生活を送ることができるようにしようというものだ。別の言い方をすれば、デジタル化された個人情報が一人歩きする社会において、個人に最低限の武器を提供するということである。文中にあった、不当な圧力は、何も犯罪組織などから来るということではなく、政府や企業やマスメディアによるものもある。どちらかと言えば、犯罪組織から来た不当な圧力の方が対処はしやすい。なぜならその場合には、警察に訴えればよい。不法な場合が圧倒的に多いからである。しかし、政府や企業やマスメディアから来た不当な圧力に対しては、ライフラインが絶たれる可能性や事後救済等が困難な場合があるので、どちらと言えば後者の方が怖いと言える。
 そもそも、どんな立派な法律が作られたところで、個人情報の流用を止めることはできない、ましてやアンダーグラウンドな個人情報ビジネスを規制することなどまず無理である。また、法律は無力ではないが、個人情報保護に関しては、あくまでも1つの要素に過ぎない。それを実現するための技術やシステムが必要になるし紛争時の処理や補償問題もある。各個人が、個人情報保護やプライバシー保護というものを真面目に考えてみることが大切である。』
http://www.manaboo.com/kimagure/130611_privacyhtmこの見解からも、どんなに完璧な法律であっても法だけでは、社会を取りまくIT化による代償を回避することは難しいことが読みとれる。

1−3 個人情報保護法の施行前から取得している個人情報等の取扱い

 まず、ここで確認しなければならないことは、個人情報とは何かということである。
 個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)と定義される。例をあげれば、企業の人事評価情報やカルテの医療情報、PHSや携帯電話の位置情報、メールアドレス等である。カルフォルニア州では、この他に上記で前述した保障番号、運転免許証またはカルフォルニア州のIDカードの番号等が含まれる。
 ここでは、これらの情報を現在取得している場合にはどのようにしたらよいのか、弁護士の稲垣隆一先生の解釈を入れたものを記述する。

15 利用目的の特定

 施行後に取り扱う個人情報に適用する。施行前から取り扱っている個人情報には施行日に利用目的を特定する義務がある。

16 利用目的による取扱制限

 施行後に行う個人情報の取り扱いに適用する。施行前に行った取り扱いには適用しない。施行前から取り扱っているものは施行日の利用目的で制限する。

17 適正な取得

 施行後に取得する個人情報に適用する。施行前に不正取得したものには適用しない。

18 取得・変更時に利用目的等を通知・公表・直接取得の明示

 施行前に取得した個人情報には適用しない。但し施行後に保有個人データとして取り扱われるときは24条による公表の義務がある。施行前に同意があれば施行後の同意とみなされる。

19 正確性の保持  20 安全管理措置  21 従業者の監督

 施行後に取り扱う個人データに適用する。施行前の個人データについては取り扱いがなければ適用しない。施行前に取得した個人データでも施行後に取り扱うときは適用する。

22 委託先の監督

 施行後に取り扱う個人データの取り扱い(入力等)を帰宅するときに適用する。施行前に取り扱いを外部委託した個人データに対しては適用しない。

23 第三者提供の禁止

 施行後に取り扱う個人データの第三者提供に適用する。施行前に既になされた第三者提供には同意を得る必要はない。

24 保有個人データの公表

 施行後に取り扱う保有個人データに適用する。施行前からの個人データは施行日から数えて政令で定める期間保有して初めて保有個人データとなる。

25・26開示・訂正等

 施行後に取り扱う保有個人データに適用する。施行前から有する個人データは施行後にも保有個人データとなるときに本人の請求の対象となる。

27 利用停止等

 施行後に取り扱う保有個人データに適用する。施行前に不正取得された個人データは、施行後に17条違反とならないので本人の請求の対象外となる。

 個人情報保護法の適用を受ける場合(受けなくても遵守する場合)には、今後施行までに仕事の洗いだしを行い、個人データを保有個人データ(継続して6カ月間以上所有する個人データ)するか否か検討する必要がある。明朗塾においては、ケース記録等の顧客情報、家庭状況調査表に記載されているご家族の情報は保有個人データとなる。

1−4 漏洩事故を防止するための安全管理措置(しかし事故は起きる)

 上記にも前述したが、20条安全管理措置・21従業者の監督・22委託先の監督は具体的義務であり、これらを怠り漏洩事故等が起きてしまった場合には、監督不行き届きで民事上の責任が発生する。しかし、この法では安全管理措置の内容・方法は示されてはいない。法で具体的に要求事項を示されればやりやすのだが、組織の自主性にまかされるとなると、その内容・方法の選択には細心の注意が必要である。現段階で信頼が置け、各企業で取り組んでいるシステムにISMSやPマーク制度があり、その要求事項で安全管理措置を行うのがよいのではと考える。
 この20条安全管理措置を考える上で参考になるであろうと思われる、細田国務大臣の答弁を紹介する。細田国務大臣答弁「個人データがネットワーク上に流出した責任は、個人情報取り扱い事業者が安全管理措置を講じていたかどうかなどによって判断されるわけであります。また、個人データを第三者に提供する際に、ネットワーク上で暗号通信により送信された個人データがハッカーによって解読され流通した場合についても、第20条の範囲内であり、個人データの提供者に適切な技術的な対応を行う義務が課せられております。」この答弁からもわかるように適用の受ける事業者には強い義務が課せられていることが伺える。
 しかし、漏洩事故は現在も起き続けている。うちの会社にかぎって、そんな事故はないとはいいきれない。なぜなら、情報漏洩などの7〜8割が内部の人的要因によって起こされているものだからである。

 ここでいくつかの事例をご紹介する。

顧客情報漏洩事件(2003年3月)うちの会社だけが例外でありうる根拠はどこに?

  • 個人情報流出問題、サントリー、モニター応募7万5千人分の情報流出(03/31 11:50)
  • 捜査資料のネット流出、道警でも私有PCから8人分(03/31 00:55)
  • 京都府警の捜査書類、ネット上で流出(03/29 13:25)
  • 通知表35人分が盗難、前橋の中学校教諭、車上荒らし被害(03/28 03:01)・
  • 13万人の顧客情報流出か、架空請求届く、東武鉄道(03/26 20:11)・
  • 顧客情報流出問題で企業、社内管理が強化(03/26 15:02)
  • 個人情報、民間事業者に管理者設置など要請、政府方針案(03/25 19:53)
  • アッカの名簿流出、「内部からの疑い強い」社長が確認(03/25 12:38)
  • ADSL大手アッカ・ネット、顧客名簿30万人分?流出(03/25 03:08)
  • 「正規アクセスの可能性」ヤフーBB個人情報流出で答申(03/18 23:25)
  • 採点済み期末試験答案40人分紛失、神奈川県立高校(03/17 12:32)
  • 療養所患者3千人分のデータ、PCごと紛失、岩手釜石(03/16 23:56)
  • 恐喝未遂で元右翼団体会長起訴、ヤフーBB個人情報流出(03/16 20:07)
  • 簡保の顧客情報202世帯分を紛失、東京の板橋の郵便局(03/10 22:20)
  • 名簿流出でシステム開発会社がジャパネット側に社員情報(03/09 22:26)
  • 顧客情報流出問題でソフトバンクのADSL加入増鈍る(03/09 19:36)
  • ジャパネットたかたの顧客名簿流出、30万人の可能性(03/09 11:29)
  • 三洋信販、顧客情報流出で告訴状提出、被害者不詳のまま(03/08 13:26)
  • JALビジネスサーバーに不正侵入、情報漏れの可能性(03/04 23:55)
  • ソフトバンク恐喝未遂事件で2人起訴、東京地検(03/03 21:20)
    http://asahi.com/speciai/vahoobb/TKY200403310196.html

 このように、連日、顧客情報流出事件は続発している。もう他人事ではない漏洩事件もし本当に起きてしまった場合にはどうなるか、具体的な例をあげてみることにする。


宇治市情報漏洩事件

漏洩内容

  • 世帯主名、世帯主と続柄等の個人情報の記録個人連番の住民番号流出

損害内容(大阪高裁平成13年12月25日判決)

  • 弁護士費用 1人当たり5千円
  • 流出数21万7617件×1万5千円=32億6425万5千円
  • 慰謝料 1人当たり1万円
  • 事件の公表、被害者への事実周知と謝罪、漏洩情報の回収
  • 防止策、議会対策、市民対策、外部システム監査、マスコミ対応
  • 刑事告訴、クレーム対応等

ローソン事件

漏洩内容

  • 「ローソンパス」カード会員の氏名と住所、生年月日、自宅と携帯番号56万人分が故意に流出

損害内容(いまだ訴訟には至っていない)

  • 流出数56万件×(商品券500円+郵送料80円)=3億2千480万円
  • 事実調査(管理、委託先を含め社内外の状況、システムの状況、アクセスの可能性ある者、アクセス履歴等)
  • 事件の公表、被害者への事実周知と謝罪
  • 調査委員会設置、不正アクセス防止、セキュリティ対策

 この代表される二つの漏洩事件では、組織にとって莫大なる損害を与え、社会的な信頼さえも失ってしまう可能性がある。現に情報セキュリティの面では1度漏洩事故が起きてしまったら信頼を取り戻すことはできないであろう。
 では、われわれは何をすべきなのか、個人情報を保護するために何が必要なのか、自問自答を繰り返しているようだが、個人情報を保護するため、言い換えれば組織を保護するために必要なのは、情報セキュリティ対策なのである。しかも、その対策は、客観的に信頼のできる普遍性のあるシステムに基づいていなければならないのである。
 ここからが、このレポートの本題である「情報セキュリティマネジメントシステム=ISMS」の明朗塾での必要性の検証である。まず、「情報セキュリティマネジメントシステム=ISMS」は何なのか、そしてどのような要求事項を含んでいるのかを記述する。なお、この情報セキュリティマネジメントシステムを構築すれば、前述してきた個人情報保護法の対応にもなるだ。
 情報セキュリティマネジメントシステムの検証を進めていく上で重要なことは、すべては顧客の個人情報を守ることを目的としている。その結果、組織の信頼性の向上につながり、顧客との共鳴的な関係づくりの一端を担えるのだ。


[TOP]

2 情報セキュリティマネジメントシステムとは

2−1 情報セキュリティマネジメントシステム=ISMSとは

 ISMSとは、冒頭に前述したが、組織の「情報資産」明朗塾でいう「顧客情報」の安全性をできる限り高め、災害やシステムクラッシュ、不正アクセス、意図的な社外漏洩、改竄などの脅威、慢性的なリスクから守り、情報の機密性、安全性、可能性を継続的に確保・維持するためのシステム確立を目指すものである。特徴的なことは、民間主体で普及が進んだISO9000・14000シリーズとは違い、経済産業省が情報セキュリティ政策の一環として位置づけていることにある。
 ISMSとは、広い範囲でいう場合と狭い範囲でいう場合とがある。広い範囲でいうISMSは企業の仕組みを指している場合であり、「あなたの会社ではISMSの仕組みをもう構築していますか」というような使い方をし、この広い範囲の場合には英国規格協会(BSI)による規格BS7799(JISX5080)や(財)日本情報処理開発協会のISMS適合性認証制度、プライバシーマーク(JISQ15001)そして、ISO/IEC15408(JISX5070)などを指す。
 これに対し、狭い範囲のISMSは(財)日本情報処理開発協会のISMS適合性認証制度を指す。広い範囲、狭い範囲での例えではわかりにくいかもしれないので、表1にてISMSの規格の種類を示す。
 このISMS適合性認証制度は英国規格協会のBS7799とほとんど同じである。グローバルに展開している企業などでは、ISMS適合性認証制度とBS7799のダブル取得を考えることが多い。その理由に登録手数料等を追加するだけでダブル取得ができることが多いためだといわれている。
 そして、明朗塾において、取り入れるのであれば(財)日本情報処理開発協会のISMS適合性認証制度が適当ではないかと考える。プライバシーマークも捨てたものではないのであるが、そもそもプライバシーマークは個人情報保護のみを目的としていることと、明朗塾で取得しているISO9001やもうすぐシステムが構築されるISO14001のようなグローバルスタンダードではないことが理由としてあげられる。

表1 ISMSの規格の種類

  BS7799 ISMS 適合性認証制度 プライバシーマーク ISO/IEC15408
概  要 顧客に対し情報セキュリティをきちんと管理している企業であることを知らせるための審査規格 顧客に対し情報セキュリティをきちんと管理している企業であることを知らせるため審査規格 個人情報保護を適切に行っている企業が評価・認定されマークを付与される制度 情報処理関連製品及び情報処理システムのセキュリティレベルを評価するための国際規格
対  象 マネジメントシステム
(情報セキュリティ)
マネジメントシステム
(情報セキュリティ)
マネジメントシステム
(個人情報)
IT製品
(ハード/ソフト)
発行時期 1995年発行
1999年/2002年改訂
2002年 1998年 1999年
ISO規格化 Part1がISO制定
(ISO/IEC17799/2000)
予定なし 予定なし 発行済み
JIS化 Part1がJIS化済み
(JIS X 5080)
予定なし 発行済み 発行済み
審査適用規格 BS7799−2 ISMS認証基準
(?殖S7799-2)
JIS Q 15001 ISO/IEC15408
認定団体 UKAS、RvA等 JIPDEC
日本情報処理開発協会
JIPDEC
日本情報処理開発協会
NITE
独立行政法人
製品評価技術基盤機構
審査機関数 UKAS認定7機関
国内2機関
7機関 3機関 公式0
国内取得件数 約50件 約170件 約660件
世界取得件数 約260件
主な取得業種 金融・IT関連等 IT関連・印刷会社等 IT関連・人材派遣
学習塾等

http://www.teri.tohmatsu.co.jp/service/security/infosecu.htmlより転記)

2−2 ISMS認証評価制度の要求事項

 ISMSには、18項目の要求事項と36項目(小分類では127項目)の詳細管理策がある。要求事項は、ISO9001等と同様に認証取得をするためには、必ず実現しなければならない。しかし、36項目(小分類では127項目)と多い詳細管理策はリスクの管理策が詳細に述べられている項目であるので、すべて実現する必要はない。

?Y 規格項目(大分類) ?Y 規格項目(中分類) 小分類
情報セキュリティマネジメントシステム 一般要求事項
ISMSの確立及び運営管理

文書化に関する要求事項

経営陣の責任 経営陣のコミットメント

経営陣の運用管理

マネジメントレビュー

一般

マネジメントレビューへのインプット

マネジメントレビューからのアウトプット

内部監査

改善

継続的改善

是正処置

予防処置

小 計 12  

18

付属書 詳細管理策 はじめに

実践規範への手引き

情報セキュリティ方針

組織のセキュリティ
情報資産の分類及び管理
人的セキュリティ
物理的及び環境的セキュリティ
通信及び運用管理
アクセス制御
10 システムの開発及び保守
11 事業継続管理
12 適合性
小 計 12
36(124)
合 計 24   54

大分類毎(?Y4〜?Y7)に簡単な説明を加えるが、すでに明朗塾で構築、運用しているISO9001との関連性は多く、すでにシステムは根付き、ノウハウを得ているものと思われる。

?Y4 情報セキュリティマネジメントシステム

PDCAの情報セキュリティマネジメントシステムの構築、運用を要求している項目である。あわせて、文書管理、記録の管理(ISO9001共通)の要求もある。

?Y5 経営陣の責任

最高経営層(トップマネジメント)が、誓約すべき7つの要求事項を定めている。経営資源の投入、教育訓練、力量アップも最高経営層(トップマネジメント)の責任において行うことになっている。

?Y6 マネジメントレビュー

C(チェック)の部分での要求事項である。情報セキュリティマネジメントシステムの中で、最も重要なチェックとして、最高経営層(トップマネジメント)が定期的にシステムの見直し(再評価)をすることを要求している。他にも内部監査の要求事項も含まれる。

?Y7 改善

A(対策の実行)の部分での要求事項である。定めた目標の未達や事故等に対する再発防止・予防を要求している。

上記で、認証取得するためには必要な要求事項を実現しなければならないことを前述したが、その要求事項の実現とあわせて詳細管理策の選択をしなければならない。規格では、「WHATなにをすべきか」の規定はあるが、「HOWどのようにするか」についての規定はされていない。「HOW」に関しては企業の自主性に委ねられている。

【ISO9001・ISO140001との関連(表2)】

ISMSとISO9001、ISO14001はともにマネジメントシステムのグローバルスタンダードである。最高経営層(トップマネジメント)が設定した目標を全職員で達成するためのシステムの構築や実施及び運用は同じである。だだし、目標の内容(目指すべき目的)が異なる。ISO9001は「顧客満足を実現するための目標」、ISO14001は「企業の社会的責任(CSR)を果たすための目標」、そしてISMSは「情報セキュリティリスクの低減を図るための目標」といえる。ISOのマネジメントシステムを導入済み、取得済みの企業は、既存のマネジメントシステムをそのまま活用することが、ISMS認証取得作業の重要なポイントであるといわれている。いわゆる統合マネジメントシステムとしての運用をねらいとしている。
ISMSの利害関係者は、顧客、供給者、株主、投資家等、ISO14001と同様にかなり多いが、ISO9001は株主、投資家等を含まない分ある程度限定される。

表2 ISO9001・ISO140001との関連
  ISMS ISO14001 ISO9001
企業理念に
おける位置づけ
情報資産の保護を通じて、利害関係者への信頼性の向上、情報セキュリティリスクの低減 社会的責任(CSR) 顧客満足度(CS)の実現
目的

情報資産の保護

環境保全・汚染の予防
透明性の確保

顧客満足度の向上

利害関係者

顧客・供給者
協力会社+株主
債権者・投資家

顧客(同様)・供給者・行政・地域住民・業界団体

顧客(ご本人、ご家族、行政)・供給者等

業務改善する
上での判断基準

情報資産が守られているかどうか

地球への負荷の低減がはかれたかどうか

顧客が満足するかどうか

法令遵守

詳細管理策12(1)において「法適要求事項への準拠」を要求

環境法規制への遵守

要求事項なし

要求事項

18項目(54“Shall”)

18項目(52“Shall”)

51項目(136“Shall”)

手順文書化

5項目(+1項目(詳細管理策)

3項目

6項目

記録要求

5項目(+6項目(詳細管理策)

8項目

20項目

 明朗塾においては、すでにISO9001を認証取得し、ISO14001についてもすでに8割がたは構築されているといえるだろう。そこに目的こそ違うが、共通項の多いISMSを加えても当然の事ながら、大きな混乱は来さないであろう。やはり明朗塾での導入も前向きに検討する必要があることは、前述した個人情報保護法の対応や情報セキュリティ面での充実を図るためには必要なのは明白ではないでしょうか。

2−3 ISMS認証取得への流れ(構築事例紹介)

 ここでは、財団法人日本情報処理開発協会(通称JIPDEC)の資料(ISMS構築事例集)を基に、明朗塾と同じようにISO9001とISO14001を先に取得しその後ISMSを取得に取り組んだ企業の事例を紹介する。その企業は業種こそ違え、従業員数やISO取得状況が類似するため、とても参考になるものと思われる。事例を紹介する前に簡単な構築への流れを記述する。

【ISMS認証取得の流れ】

ISMS認証取得の流れは、推進担当者の立場で見ると大きく6つの段階(フェーズ)に分けられる。

1) 調査・企画の段階(第1フェーズ)
ISMSを導入する意思決定のための情報収集と経営陣への企画提案が主な課題である。
2) 準備・計画の段階(第2フェーズ)
構築に着手するためのISMS要件の洗い出し、関係部門の協力の確立、実行計画の策定等が主な作業である。
3)枠組み構築の段階(第3フェーズ)
ISMSを構築するための経営陣が関与するISMS構築体制の確立、セキュリティリスクの取扱いに関する分析や対策決定、枠組みの文書化等が主な作業である。
4)運用の段階(第4フェーズ)
構築されたISMSを組織に導入し、PDCAプロセスで運用する。定められた規則に従って運用するための、教育・訓練、ISMS活動記録、事件・事故の対処、内部監査、リスクアセスメントやリスク取扱いに関する見直し、マネジメントレビュー、経営陣からの改善指示、改善のための是正・予防処置の実施等が主な作業である。
5)認証審査の段階(第5フェーズ)
認証審査を受審するための申請及び受審の準備、文書審査(Stage1)、実施審査(Stage2)、指摘事項に対する是正処置への対応等が主な作業である。
6)認証取得の段階(第6フェーズ)
認証取得後の広報は、認証範囲の拡大への取り組み等が主な作業である。

次のISMS取得事例は、この上記の流れに沿って紹介するが、取得された企業が特定できない程度に用語等は変えている。

【ISMS取得事例】

1.会社概要

  株式会社 〇〇〇〇研究所
  従業員数 約30名
  事業内容 各種サービス事業
  ISO等の認証状況
  ISO9001
  ISO14001

2.計画

 ISMS導入経緯
 ビジネスを行う観点で4つの効果を狙った。

1)他社との差別化で受注拡大
 お客様に対し、「お客様よりお預かりした大切な情報のセキュリティは万全です」とアピールできることで、営業活動を有利にすすめる事ができる。
2)ノウハウの流出阻止
 当社でのサービスの品質を保つため、創立当初からサービスに関するノウハウをドキュメント化と情報共有を推進しており、情報資産となっている。ノウハウ情報は重要な経営資源であり、ノウハウ流出を阻止する仕組みを必要とした。
3)体系的なセキュリティシステムの構築
 顧客情報の保護については以前から対処していたが、網羅性や実効性の視点で見直したところセキュリティ面の課題が見つかった。さらにセキュリティ対策の費用対効果も勘案した、セキュリティツールの導入やルールの制定等体系的なセキュリティ対策に対する取り組みを必要した。
4)ISMS構築の自己体験
 当社の新サービスとして情報セキュリティ分野でのビジネス開拓を計画していたため、自らが ISMS構築と認証取得の実体験をすることにした。

経営戦略上の情報セキュリティの位置づけ

新規のお客様を獲得する重要なツールと考えた。当社では、ISMSの規格の狙いを「情報セキュリティ管理の共通基盤を提供し、企業間の取引を信頼できるものにすること」と説明しているが、当社がISMS認証を取得することで、さらにお客様に信頼してもらえると確信している。

経営陣の構築・運営への参画

 ISMSについては、担当取締役と社長が重要な役割を果たしている。まず、ポリシーの策定では、社長とISMS担当役員とISMS推進責任者が一緒に検討した。これにより全社的なISMS推進をするための具体的な意識合わせができ、その後の進展でも社長の意図が反映したマネジメントレビューが実施できた。

構築及び認証取得に要した期間

?@ 意思決定・企画期間 約3ヶ月間
?A 導入期間 約2.5ヶ月間
?B 審査開始までの運用 約1.5ヶ月間
?C ISMS認証審査期間 約0.2ヶ月間

認証取得までにかかった概算費用

審査関連費用(予備審査込み)とセキュリティ対策費用(約30万円)である。

情報セキュリティ強化投資内容

  • 「媒体での情報漏洩防止」策として、個人のパソコンでフロッピィディスクやCDへの書き出しを禁止した。このために、PC用セキュリティキー(数台分)とフロッピィディスク用の物理キー(個人パソコン台数分)を購入した。
  • PC用セキュリティキーとは、セキュリティキーをUSB端子に差し込まないと、CD−R/W装置を搭載したパソコンが使えないようにするもので、まさにパソコンのカギの役割を果たすものである。
  • もう1つのフロッピィディスクの鍵は、パソコンのフロッピィ装置の入り口に鍵をかけて、フロッピィディスクを差し込めなくする装置である。

ISMS構築準備

推進体制の整備

社長から任命された担当役員の下に、業務グループからのISMS推進体制を編成した。

社内コンセンサスの醸成

 全社定例会の場で準備状況と合わせて説明することで社内の理解の浸透を図った。特定のセキュリティ対策で反対意見がでることもあったが、理由を納得いくまで念入りに説明することを心がけた。
 しかし、当社の職員(あくがつよかったらしい)を教育することは非常に困難だった。

3.枠組みの構築

情報セキュリティポリシー

 「当社が守るべきものは何か」、「攻めるために守る」という情報セキュリティの観点が社長の意思であることを、全社員に明確に伝えることを特に配慮した。

適用範囲

比較的な小規模な組織のため、適用範囲の絞り込みはしていない。

リスクアセスメント

JIPDECの「ISMSガイド」の解説ベースラインアプローチに類似している。ISMSの各項目に対して、情報資産を対応させていく上でリスクを数値化し分析した。

不採用とした管理策

暗号化・電子取引、システム監査等を不採用にした。

ISMS文書の作成

ISO9001や14001の文書体系を参考に極力簡単にした。ポリシーと適用宣言書、ユーザ向けマニュアル、システム運用マニュアル、ISMSマニュアルを作成した。

4.ISMSの運用

運用組織体制

ISMS運用の専用組織が設けていない。ISMS管理責任者とISMS会議、内部監査の3つの機能で運用している。

ポリシーの周知方法

全体会の中で実施した。

社内教育

全社定例会において、セキュリティ上の重要事項を説明し啓蒙を行っている。
キックオフはある程度枠組みができた上で、上級経営者が実施した。

構築後のセキュリティ事故

発生していない。

内部監査の組織体制

ISO9001/14001の内部監査組織をISMSに拡張して運用している。

マネジメントレビュー

管理責任者が経営者にセキュリティ上の課題や懸念事項を報告し、指示を仰ぐ形で実施している。重大な危機や懸念事項についてはその都度、報告、実施している。

PDCAサイクル

管理責任者への大幅な権限委譲をした。

5.事例のまとめ

認証取得のメリット

1) 同業他社との差別化による受注の拡大
2) 社員の情報セキュリティに関する意識の改革
3) 重要事項の漏洩リスクの低減
4) 生産性の向上

ISMS構築による変化

社員の意識が変わり、当社のビジネスについてセキュリティ面からの理解が高まったことで、人的側面のリスクが減少した。

ISMS構築の成功要因

1) 標準化

 手順書、調査票、ワークシートで標準化を図った。

2) シンプル・イズ・ベスト
 最低限必要な文書、記録を明確にし、余計なものは作らない、やらせない。
3) 社員のセキュリティ意識を変える工夫
 Eメールの添付のファイル厳禁、4ページのISMSマニュアル、目に付くルール
4) 納得するまで議論をする
ルールを押しつけず、個々の反論に対しきめ細かに対応する。
 この事例からもわかるように、推進担当者の熱意と経営者の理解と適切な支援が必要不可欠である。その上で、自組織にあったISMSを構築していくことが重要である。

[TOP]

附則 「ISMSの形骸化はすでに始まっている」

 前述した事例のように、自組織にあったすばらしいシステムを構築し、ビジネスで成功している企業がある一方で、ISMSを取得しても有効にセキュリティが管理できない企業が数多くあるという、これをISMSの取得支援コンサルティングサービスを実施しているトーマツ環境品質研究所の三浦喜泰マネジャーは、「ISMSの形骸化」として警鐘を鳴らしている。
 その形骸化の原因の1つになるのが、「分厚いマニュアル」であるという。ここでいうマニュアルとは管理体制を維持するために、社内のシステム利用者やシステム管理者等がやるべきことが細かに規定したものである。『飾っておくだけで読まないマニュアルいらない。本当にISMSの効果を得たいのなら、社内のシステム利用者が最低限やるべきことを簡単にパンフレットにしたり、絶対にしてはならないことを簡単にまとめたラベルをパソコンに貼り付けておく、といった地道な取り組みこそ重要で効果がある。』と、三浦マネジャーは説明する。
 三浦マネジャーは更に、『ISMSの取得担当者が、経営者や社内のシステム利用者の協力を得ることが重要だ。』と指摘する。『ISMS取得を担当する情報システム担当者は、経営者が守るべき情報資産が何かはっきりさせる必要があるし、社内に取り組みを浸透させるには、社内ユーザを巻き込む事が欠かせない。』と語る。
(西村崇:日経コンピュータ掲載記事より一部抜粋)

[TOP]

3 明朗塾におけるISMSの必要性の検証 

 明朗塾おいて、顧客の情報を守るために、来年度4月より施行される個人情報保護法に対応していくためにも、「情報」セキュリティのシステムが必要なことはもうすでに明白ではないか。
サービスを一流にする最短コースを知っている、われわれが、新たな脅威が目の前に迫っているのにも関わらず、国策ともいえる情報セキュリティの対策に取り組まないことは、過失であり問題ではないか。個人的には、今まで不可能を可能にしてきた明朗塾において、また新たな勲章が増えるのかと楽しみにしている。しかし、その一方でどのようにコンセンサスの醸成を図り、全職員の参画の基に構築していく体制を整えて行くことが、当面の大きな課題であろう。
 しかし、われわれは、セキュリティ対策の安全(安全は想定された脅威に対する抵抗力であり、想定されない脅威に対しては無力である)というものの認識を統一し、より専門性を高めなければ、明朗塾でのISMSの構築は不可能であろう。

[TOP]

参考引用文献(資料)

図解 ISO17799/ISMS早わかり (著者白潟敏郎 発行所(株)中経出版 2003.7.23)
個人情報保護法/Pマーク最新情報講演会 資料 (株式会社グローバルテクノ主催 2004.4.23)
ISO NET WORK (財団法人日本品質保証機構 マネジメントシステム部門 2004.2)
ISMS関連資料 (株式会社トーマツ環境品質研究所)
ISMS構築事例集 (財団法人日本情報処理開発協会 2004.2.13)
インターネットより

http://www.manaboo.com/kimagure/130611_privacyhtm
http://asahi.com/speciai/vahoobb/TKY200403310196.html
http://www.teri.tohmatsu.co.jp/service/security/infosecu.html
http://www.teri.tohmatsu.co.jp


[TOP]