セキュリティ対策にISOが関連深いことはあまり知られていない。
一方で、品質マネジメントシステムのISO9001、
環境マネジメントシステムの14001という認証システムがあることは、
広く認知されている。
上場企業においてはガバナンスが求められるため、
これらのマネジメントシステムを導入しているところも少なくない。
このISOの認証システムに情報セキュリティマネジメントシステム
(ISMS / ISO27001)が存在するが、
認知度が低くあまり浸透していない。
ISO27001は、組織内においてISMSを確立、実施、
維持されていることの適合性が認められて、認証が取得できることとなる。
つまり、その組織が情報セキュリティにおいて国際規格の基準に
適合していると認められるのだ。
最近の情報セキュリティ対策の機運の高まりから、
もっとISO27001に取り組む企業が増えてもいいはずだが、
なかなか増えない。
取り組んでいる企業においても、省庁、自治体や大手企業との取引に
ISO27001の取得に迫られて……というのが実態だ。
そのためか、委託業者の管理不徹底のために起きているセキュリティ事件や
事故が発生している。省庁、自治体や大手企業などは発注者側として
適正な委託業者に発注したという口実づくりに「お墨つき」を利用している。
取引にはISO27001認証が必要だと迫るのだ。
これらのISO認証取得のために共通して取り組むのが
PDCAサイクルである。ISO27001であれば、
策定した情報セキュリティ基本方針をもとにPDCAサイクルを
繰り返す。そこで考えていただきたいことがある。
こういった認証取得はともすれば公的機関から「お墨つき」を
もらうことが目的になってしまいがちだが、
目的を見失わないでいてほしい。
ISO27001であれば、目的は情報セキュリティの維持と管理である。
きっかけはなんであれ、ISO27001の認証取得に取り組むのであれば、
PDCAサイクルを組織内に定着させるべきである。
PDCAサイクルについては、企業の品質管理や生産管理などの
あらゆる業務を円滑に進めるための優れたマネジメントサイクルである。
Plan(計画)、D o(実行)、Check(チェック)、Action(改善)
という工程を繰り返し行う。
しかし、多くの組織では継続的なPDCAサイクルの実行を継続できない。
継続力のない企業は、ICT活用に関しても継続できるとは思えない。
ISO27001の認証取得はPDCAサイクルを組織的に
定着させるよいきっかけになるのではないか。
ところで、士業やM&A仲介企業は企業機密を取りあつかうことが多い。
そういったことからセキュリティ意識の高い職業と思われている。
確かに、顧客とは機密保持契約(NDA)を必ず締結し、
職業上知り得た顧客の機密情報を口外するようなことはほぼないであろう。
しかし、そんな士業やM&A仲介企業の方が、顧客との訴訟に関わる資料や
財務諸表に関する機密書類を電子メールで授受している。
電子メールの操作ミスによる第三者への誤送付が起こりうる。
PCがウイルス感染すれば、電子メールの内容がハッキングされることも
ありえる。添付ファイルにパスワードをかけていても、そのパスワードが
ハッキングされるリスクもある。現代ビジネスの現場での
情報セキュリティについて、今一度考える必要がある事象のひとつである。
――――――――――――――――――――――
(近藤 昇 著 2015年9月30日発刊
『ICTとアナログ力を駆使して中小企業を変革する』
第6章 アナログとICTの境界にリスクあり-ISO27001への取り組みと意義 より転載)