国際規格 ISO/IEC 27001
2大信用調査会社のひとつである東京商工リサーチが、2023年1月に「個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分」を発表した。
この発表によれば、2022年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは150社、事故件数は165件、漏えいした個人情報は592万7,057人分(前年比3.0%増)だった。調査を開始した2012年以降の11年間で、社数と事故件数は2年連続で最多を更新したらしい。
2012年から2022年までの11年間の事故件数は累計1,090件に達した。漏えい・紛失した可能性のある個人情報は累計1億2,572万人分で、日本の人口に匹敵するスケールに広がったとのこと。とりわけ、深刻化する不正アクセスやウイルス感染などのサイバー攻撃による事故が増え、2022年はこれまで最多の87社、事故件数は91件にのぼり、全体の件数を押し上げたようだ。
2022年の個人情報漏えい・紛失件数上位は以下の表の通りだという。
上表の通り、2022年の主な事故で、最多は顧客情報の不適切な取り扱いを公表したJ.フロントリテイリングの191万3,854人分。情報漏えい・紛失人数が多かった上位10件のうち、不正アクセスを原因としたものは6件だった。このうち、クレジットカード決済システムを運営するメタップスペイメント(親会社:メタップス)は、システムへの不正アクセスで多数のクレジットカード情報が流出。こうした事態を受け、代表取締役の引責辞任に発展した。
また、2022年に発生したECサイトなどの入力支援ツールを提供していたショーケースの不正アクセス事件は、被害がサービスを利用していた多くの企業に広がり、上場企業だけでも5社のECサイトでクレジットカード情報の漏えいを引き起こした。
2022年事故全件(165件)のうち、クレジットカード情報が漏えいした可能性を公表した事故は13件(構成比7.8%)あった。クレジットカードの不正利用で初めて情報漏えいが明らかになったケースもあり、個人情報の漏えいが組織的な犯罪の端緒になっている。
情報漏えいや紛失といった事故は、ITの発達する以前では、ほぼ起こりえなかった規模で発生。大量の情報が簡単に管理できるということは、ITの利便性の際たるものだが、逆にこのことが、事件・事故の被害を甚大にするという一面も合わせ持っているといえよう。
上の表に挙げてある事件は、不正アクセスと呼ばれる外部攻撃が多いが、現実にはそれ以外にも、従業員による持ち出しやメールの誤配信、委託先の不正持ち出しなど、内部要因や内部犯行といった組織内の事件のほうが多いといわれる。企業の経営資源に位置付けられる「情報」を守ることはもちろんだが、情報を利用するシステムや人まで適切にマネジメントすることが求められているのが現状だ。
今回は、「ISMS(アイ・エス・エム・エス)」と呼ばれる情報セキュリティ管理システムを取り上げる。なお、ISMSは国際規格 ISO/IEC 27001 であり、ISOのさまざまなマネジメントシステム規格のひとつ。以前に紹介したISO9001(品質)やISO14000(環境)と管理システムの基本的な考え方は同じで、その管理対象を情報セキュリティにしたものだと考えてもらえばよい。なお、ISMSは国内規格ではJIS Q 27001 として、国際規格 ISO/IEC 27001 と同等のものとして扱われている。
ISMS適合性評価制度
ISMS(情報セキュリティ管理システム)は、組織における情報資産のセキュリティを管理するための枠組みのことだ。この「情報資産」を個人情報と考えると、Pマークと何が違うのかが分からなくなる。
ざっくりと違いを説明すると、まずISMSの最大の特徴は自主基準であることだ。自分の組織が「これが情報資産だ」と考えるものを対象に、必要な範囲を決めて管理システムを構築・運用する。これに対してPマークは、そもそも大前提に「個人情報保護法」があるため、守るべき対象や手順、作成文書が既に決められていると考えていいだろう。範囲も「全体」だけ。極論すると、法律が決めた個人情報管理システムを構築・運用するというのに近いイメージだ。
例えば、ある特定の設計情報・販売情報の関係者だけを対象にしたいとか、ひとつの工場だけを範囲とするなど、組織の判断で管理システムを構築できるのがISMSだ。Pマークが日本規格JISで、ISMSが国際規格ISOだというのも実は大きな違いだ。
ISMSの認証取得
組織が ISMS(情報セキュリティ管理システム) を構築・運用したとして、それが本当に国際規格 ISO/IEC 27001(日本規格 JIS Q 27001)の要求にあっているかどうかを第三者にみてもらうのが、ISMS適合性評価制度だ。他のISO同様に、第三者審査機関が適合性を審査し認証する。
ISMS認証を取得する組織は年々増加している。2023年2月時点での国内認証取得数は7,179組織。前述のPマークの国内取得者数は、2022年9月末時点で17,222社。個人情報保護法の施行によりイッキに増えたあと、マイナンバーカードが始まったことで、規模がそれほど大きくない社会保険労務士事務所などもPマークを取得する動きがあった。
どちらの認証も、以前であればそれほど取得の動機付けはなかったはずだ。ここ最近のセキュリティ意識の高まりを考えると、取引先からの要求があって取得数が増えているのだろうと推測している。
評価制度の仕組みと認証取得の流れ
ISMS適合性評価制度は、組織が構築したISMSが認証基準に適合しているかを審査して登録する「審査登録機関」、その審査員になるために必要な研修を実施する「審査員研修機関」および審査員の資格を付与する「審査員評価登録機関」、そしてこれら各機関がその業務を行う能力を備えているかをみる「認定機関」からなる。
ISMS認証取得を希望する事業者は、ISMSの適用範囲および基本方針を確立し、審査登録機関を選択し申請を行うことになる。ISMS認証基準に適合しているかどうかの本審査を受け、審査結果に基づき認証・登録がなされる。
認証・登録の流れは、大略以下の5ステップだ。
- 申請
- 受理・契約
- 文書審査(最初のステージ)
- 実地審査(次のステージ)
- 認証・登録
ISMS認証取得のメリット
まず、認証取得を別として、組織としてISMSを構築・運用した際のメリットとしては、以下のものが挙げられる。
■総合的なセキュリティ対策の実現
社員のスキル向上、責任の明確化、緊急事態の対処能力の向上など、技術的な対策だけでなく人的な面の対策構築により、総合的なセキュリティ対策が実現できる。
■効率的なセキュリティ対策の実施
費用対効果を考えた資産管理、リスクマネジメントの定着など総合的なマネジメントを通して効率的なセキュリティ対策の実施が可能となる。
上記の活動を継続することにより、セキュリティ意識の向上などの効果が期待され、情報セキュリティに関するリスクを軽減することが可能になる。
ISMS構築・運用するだけでなく、第三者認証を取得するメリットも挙げてみよう。
■対外的な信頼の向上
対外的には、顧客や取引先からのセキュリティに関する要求事項の満足など情報セキュリティの信頼性を確保できる。第三者認証がない場合、取引先が現地に入って監査することが多いので、双方にとって第三者認証がワークロードの削減になる。
■競争力の強化
入札条件や電子商取引参加への条件整備など、事業競争力の強化につながる。情報セキュリティ管理を重視する国や地方自治体では、ISMS認証取得を入札の条件とするところが多い。そういった場合、第三者認証がないと、そもそも競争の土俵にも乗れないことになる。
ISMS構築のポイント
ISMSの認証基準である JIS Q 27001:2014(ISO/IEC 27001:2013)は、ISMS適合性評価制度において、第三者である認証機関が本制度の認証を希望する組織の適合性を評価するための基準そのものだ。 JIS、つまり日本工業規格になっているので、JISの検索サイトなどから内容を閲覧できる。また、すべての規格は、日本規格協会のWebサイトから購入可能だ。以下の名称で認証に必要な「要求事項」がまとまっている。
JIS Q 27001:2014 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項(ISO/IEC 27001:2013 Information technology -Security techniques-Information security management systems-Requirements)
なお、 JIS Q 27001は、ISO/IEC 27001の制定発行に伴って、日本工業標準調査会(JISC)により日本工業規格(JIS)として制定された国内規格であり、内容は、ISO/IEC 27001を忠実に日本語に翻訳し、国際規格との整合性が厳密に保たれているらしい。この厳密な整合性のためなのか、以下のようにISOから1年遅れてJISが発行されている。
- ISO/IEC27001:2005に対応するのは JIS Q 27001:2006
- ISO/IEC27001:2013に対応するのは JIS Q 27001:2014
要求事項と管理策
JIS Q 27001:2014 規格は、本文と付属書Aで構成されている。本文に書かれているのが「要求事項」だ。ISMS認証を取得するために必ず実現しなければならない項目が「要求事項」としてまとまっている。 付属書A には「管理策」が114個書かれている。管理策は、ISMS構築のために推奨される対応策のヒントだと思えばよい。自社にとって必要な項目を洗い出し、対応すればよいので、ISMS認証取得に当たってすべての項目を満たす必要はない。
なお、ISMSの認証基準では「何をすべきか」の規定はあるが、「どのように実現するか」についての規定はない。
ISMSも他の国際規格ISO(品質や環境)などと同様のマネジメントシステムであり、数字のような絶対的な尺度はなく、企業の事情・解釈に応じて定めていかなければならないということだ。従って、リスク対策を実行するうえで自社に役立つと考えられる管理策などは、企業の態様に応じて、付属書Aにある「管理策」を参考にして、適宜利用していくことになる。もちろん、規格書の「管理策」にある管理策以外の方法で、自社のISMSに必要と考えられる施策がほかにある場合は、それも盛り込んでも構わない。
ISMS導入のポイント
ISMSとは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により必要なセキュリティレベルを決め、プランを持ち、資源配分してシステムを運用するものだ。組織が保護すべき情報資産について、機密性・完全性・可用性をバランスよく維持し改善することがISMSの要求する主要なコンセプト。
他の国際規格ISOと同様に、ISMSにもPDCAモデルがある。
- Plan :情報セキュリティ対策の具体的計画・方針を策定する
- Do :計画に基づいて対策の実施・運用を行う
- Check:実施した結果の監査を行う
- Action :経営陣による見直しを行い、改善する
このサイクルを継続的に繰り返すことで、情報セキュリティレベルの向上を図る。
審査登録機関
2023年1月時点で、以下の審査登録機関が確認できた。
| 認定番号 | 機 関 名 称 |
|---|---|
| ISR001 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| ISR002 | 日本検査キューエイ株式会社 |
| ISR004 | BSIグループジャパン株式会社 |
| ISR005 | 一般財団法人日本科学技術連盟 ISO審査登録センター |
| ISR006 | 日本規格協会ソリューションズ株式会社 審査登録事業部 |
| ISR007 | 株式会社日本環境認証機構 |
| ISR008 | DNV ビジネス・アシュアランス・ ジャパン株式会社 |
| ISR010 | 国際マネジメントシステム認証機構株式会社 |
| ISR011 | 一般社団法人日本能率協会 審査登録センター |
| ISR012 | ペリージョンソン ホールディング株式会社 ペリージョンソン レジストラー |
| ISR013 | 一般財団法人電気通信端末機器審査協会 ISMS審査登録センター |
| ISR015 | テュフ ラインランド ジャパン 株式会社 |
| ISR016 | 株式会社マネジメントシステム評価センター |
| ISR017 | 株式会社ジェイーヴァック |
| ISR018 | ビューローベリタスジャパン株式会社 システム認証事業本部 |
| ISR019 | 公益財団法人 防衛基盤整備協会 システム審査センター |
| ISR020 | ロイド レジスター クオリティ アシュアランス リミテッド |
| ISR021 | SGSジャパン株式会社 認証・ビジネスソリューションサービス |
| ISR022 | 一般財団法人ベターリビング システム審査登録センター |
| ISR023 | 日本海事検定キューエイ株式会社 |
| ISR024 | 国際システム審査株式会社 |
| ISR025 | エイエスアール株式会社 |
| ISR026 | 日本化学キューエイ株式会社 |
| ISR027 | ドイツ品質システム認証株式会社 |
| ISR028 | 一般財団法人電気安全環境研究所 ISO登録センター |
| ISR029 | アイエムジェー審査登録センター株式会社 |
| ISR030 | アームスタンダード株式会社 |
すべての審査登録機関が同じではない。業種によっての得手不得手もあれば、審査チームの陣容によっては、なかなかスケジュールが取れないところもある。
ISMSの認証取得の前に各機関のホームページから機関の特長やISMS認証取得の流れなどをつかんでおくとよいだろう。審査機関のなかには、ホームページ上から料金の見積もりを依頼する仕組みを整備しているところもある。不安な点や疑問点があれば、まず相談。これまでの経験から審査登録機関は懇切丁寧に回答してくれるはずだ。
認証取得企業の動向
審査登録機関に聞いたところによると、以前は大手の企業が中心であったが、情報セキュリティ管理の重要性が浸透してきた現在では、企業の規模や業界を問わず、さまざまな企業がISMS認証取得を行っているとのことだ。自主基準なので、少ないところでは5名しかいない部署からはじめたところもあるとのこと。
また、実は情報セキュリティ対策だけでなく、地震やパンデミックなどインシデント発生時の事業継続性対策に対してもISMSはその有効性を発揮する。経営者のなかには、わざわざ別に事業継続対策を考えるより、ISMSで構築した管理システムを拡張するほうが投資効果が高いと考える者もいるという
ISMSの構築・運用は、企業に総合的で効率的なセキュリティ対策をもたらすだけでなく、企業の説明責任や情報セキュリティに対する信頼を担保する仕組みとして認識されてきた現状から、今後、認証取得事業者はますます増加していくものと予想される。
進める際の留意点
ISMSは自主基準であり、その多様性が保証されている。異なる業種であればもちろん、例え同じ業種・業態であっても、規模や目標などによってその内容が大きく異なるものであっても不思議ではない。つまりこれは、自社に合ったISMSを構築・運用していくことが求められているということにほかならない。他社の事例や書籍など参考にする部分は参考にし、自社の状況・抱える課題・目的・対応していくための仕組みや組織作りなど、実情に合った形で構築していくということが大切。
また、管理すべき項目や文書化すべき事項が多岐にわたるため、その取り組みは易しいものではないが、将来の大きなリスクを予防するために必要な最重要課題であるということを全従業員に認識させていくことも大切だ。こうした意味では、ISMSの構築は、経営者が率先してトップダウンで進めていく取り組みであるといえる。
具体的な構築・運用を進めていくに当たっては、ISMSの導入に実績のあるコンサルティング会社などとともに、自社の状況・目的・方針などに合わせたISMSを構築していくことがよいだろう。金銭的な負担は多少かかるが、自社だけでは難しい計画的な構築・認証・運用の手助けとなるばかりでなく、手探りで進めるより最終的なトータルコストが下がることも期待できる。コンサルタントは審査登録機関の特徴も把握しており、良い相談相手になるだろう。
実は、過去に2度、経営トップとして新規にISMS取得を経験したことがある。お世話になったコンサルタントや審査登録機関からは本当に多くのことを学んだ。国際規格ISOが、知恵と経験とノウハウの塊であり、これを利用しないほうが愚かなのではないかと思った。
チャンスがあれば、ISMS構築・運用と、その第三者認定取得を経験してもらいたい。それを通じて、管理システムとはどういうものかという本質が理解できるはずだ。
