トピックス

最新調査結果はこちら

コンサルティングの現場から
(7)経営者視点で取るならPマーク?ISO27001?

2015年5月8日

 今回のコラムでは、ISO規格の中でも、経営者の方からの相談が多い「情報セキュリティ規格」について、ご案内したいと思います。情報セキュリティ規格の取得検討において、特に質問・相談で多いのが、「プライバシーマーク(以下、Pマーク)とISO27001のどちらを取る方が有効なのか?」という質問です。PマークもISO27001も情報セキュリティに関する規格ですので、経営者の方が悩むのも仕方がないことです。

規格を選ぶ最適尺度があるのか?
 結論から言うと、杓子定規にこちらがよいという判断基準はありません。我々がまず確認するのは、「何のために取得するか?」という目的と、「取得してどんな体制・会社にしたいか?」というGOAL感の2点です。この質問への回答内容によって、推奨する規格が変わってきます。

 2つの規格を検討されている経営者の方に「何のために取得するか?」と問えば、「情報セキュリティ対策のため」と答えがかえってくるでしょう。「情報セキュリティとは何か?」と言えば、その多くが「情報漏えい」ということになると思います。  では「どんな情報が漏洩するのを防ぎたいか?」という次の質問に対する回答で、PマークがよいかISO27001がよいかが大きく分かれます。つまり、自社で取り扱っている情報で漏洩したら困るのは「個人情報のみ」か、それとも「情報資産全般」かで、取るべき規格が大別されます。

 次に検討する項目としては、「どこを認証の主体として認証を取得するか」です。Pマークは、法人単位での取得になるので、事業所や営業所、店舗が数箇所、数十箇所あれば、そのすべての拠点で、Pマークで構築したルールを運用する必要がありますが、ISO27001に関しては、事業所単位、部署単位で認証取得をすることが可能です。つまり、重要な情報資産が集積する本社だけで取るとか、システム部だけで取るということも可能です。この場合の利点としては、集中した仕組みづくりの実行や、重点的にセキュリティ教育を実施できたりなどの構築・運用面のメリットが挙げられます。
 帝国データバンクも部署単位でISO27001を取得し、運用しています。部署単位で取得した理由は、コンサルティングでお預かりした情報、知りえた情報を信用調査報告書に反映させないよう厳密な社内ファイヤーウォール(情報障壁)を構築し、厳密な情報管理を徹底するためであり、また中央官庁や地方自治体からの委託業務への入札要件として求められるためでもあります。

 他に検討されるとすれば、「コスト面」になると思います。導入費用で考えるとISO27001よりPマークの方が構築費用は安いです。維持費用で考えても1年に1度審査のあるISO27001よりも2年に1回のPマークの方が費用を抑えることができます。
 しかし、単純に費用面だけで判断されるのはお勧めできません。本当に「経営に役立つ仕組み」として情報セキュリティの導入を検討されているのであれば、審査頻度1つとっても、「審査は2年に1回のPマークの方が楽だ」と捉えるか「外部のチェックが年に1回入る緊張感は運用を定着させるのに必要だ」と捉えるかは、経営者の方の方針により受け取り方が変わります。

守備範囲と構築プロセスから検討してみると

 先述のとおり、「何のために情報セキュリティ規格を取得するか」によって、取るべき規格は異なってくるのですが、構築プロセスから見た場合、元来ISO27001の対象とする「情報資産」という定義の中にPマークが対象とする「個人情報」は含まれています。
 ここでいう「情報資産」とは、個人情報だけではなく、取引先との契約情報や金銭的な口座情報、会社の事業戦略や取引先の顧客情報など、事業を展開するうえで必要な会社を取り巻く情報が該当します。つまり、ISO27001で取り扱う情報セキュリティは経営に直結する情報全般を取り扱うだけに、日々の業務プロセスと密接に関連してきます。
 一方Pマークは、誤解を恐れず平たく言えば、そのような全般的な情報資産の流れから個人情報に該当するところのみを選択・抽出して管理する仕組みを構築するものです。この「個人情報に該当するところのみ」が管理対象であるため、ISO27001に比べて、「全社的な視点」や「業務プロセス全体を俯瞰する」という効果は薄いと考えられます。

水(情報)は低いところから流れていく
 情報資産とは、まさに樽の中の水であり、側壁が一番低いところから水が流れるように、企業の情報セキュリティの水準は、企業が対策を講じている部分の一番低いところに引っ張られるという特徴を持っています。
 そこで、ISO27001の求める規格水準を枠組みとして、企業が管理すべき情報資産を洗い出し、そのリスクが持つ影響度を分析し、当該資産について取るべき対策を講じる。それらの活動を検証し、改善策を検討・実施していく。それをさらに同様のプロセスを毎年反復させながら、外部のチェックを受けていくという活動が自社の情報セキュリティ水準を高めることになります。
 これによって、「側壁が一番低いところ」が引き上がり、運用を通じて「社員のセキュリティ意識」が高まれば、情報漏えいリスクは低減させることができるはずです。

経営視点で選ぶなら結局どっち?
 「経営視点でより高度に」ということであれば、ISO27001をお勧めします。他の認証規格との整合性や統合性、継続改善活動の持続性という多面的な捉え方をすれば、情報セキュリティ規格としては、ISO27001だと思います。
 ただし、Pマークを通じてセキュリティ教育を社員に実施し、「会社のセキュリティ水準を一段向上させる」という意味においては、効果があると思います。なぜならば、どんな高度な仕組みを構築してもそれを運用するのが人である以上、社員の「セキュリティ意識の向上」に勝る対策はないと思います。セキュリティ事故の9割は「社内人材」が起こすものであり、外部からのハッキングなどで奪取されるような事例は意外に少ないのです。

仕組み×セキュリティ意識=情報セキュリティ水準
 「セキュリティ水準を高める仕組み」×「社員のセキュリティ意識の向上」の掛け算で、企業の情報セキュリティ水準は決まります。経営者視点に立ったときに、どちらの規格がよいかを検討する前に、「我が社は何のために情報セキュリティ規格を取得するのか」を真剣に考えることが肝要です。
 上記を含めて、規格選択のサポートは弊社がさせていただきます。今回、文章にはできなかった検討・判断要素などもありますので、お気軽に最寄りのTDB事業所までお問い合わせください。


今月のトピックス・主観客観に戻る

最新調査結果はこちら

このページのトップへ

このサイトについて  サイト利用規定  プライバシーポリシー  免責事項  サイトマップ
Copyright (c) 2002- TEIKOKU DATABANK, LTD. all rights reserved.