殿村さんが勤めている(株)マネジメントシステム評価センターではISO規格に基づく品質や環境のマネジメントシステムの審査登録のほかに、ISMS認証基準に基づく情報セキュリティマネジメントシステム(ISMS)の審査登録業務をなさっているわけですが、昨年個人情報保護法が施行されてから、情報セキュリティに対して企業の意識は変わってきたでしょうか。
品質マネジメントシステムは、品質問題やサービス面でのリスク、環境マネジメントシステムは環境汚染等のリスク、情報セキュリティマネジメントシステムは、情報の破壊、漏洩、盗難、システム停止などの情報リスクなどに対応する仕組みを作る規格です。
情報セキュリティに対する意識は、業種によってバラつきはありますが、かなり意識が高まったと感じます。というのは、2006年2月7日現在、プライバシーマーク認定事業者は3059社、ISMS認証取得事業者は1312社ありますが、1年前のプライバシーマーク認定事業者は1000余り、ISMS認定取得事業者も数百という状態でした。それが、個人情報保護法が施行されてから、急激に増えました。これは、インターネットの発達にともなって、ウィルスやフィッシング、スパイウェアなどのリスクが大きくなり、情報漏洩リスクに対する意識が高まってきたのと同時に、プライバシーマークや情報セキュリティの認証をとらないと仕事が発注されないという現実的な問題という、2つが大きな要因として考えられると思います。
さらにISMS認証取得の増加には、もう一つ考えられることがあります。個人情報は、住所、氏名、年齢、職業等が主な対象ですが、企業の情報は財務情報、技術情報、人事情報など多種にわたります。外国企業を含めた企業間の競争も厳しくなり、多種にわたる情報をセキュリティすることを考えたら、プライバシーマークよりISMSだと考えている企業も多いように思います。
オフィスにおける情報セキュリティは、物理的・環境的セキュリティ、人的資源のセキュリティ、技術的セキュリティなどが大きな柱となります。なかでも物理的セキュリティはオフィス環境のセキュリティを考えるとき、前提条件になるのではないでしょうか
あらゆるところに高価な鍵をつけるということが、物理的セキュリティを高めるということではないですよね。
それはリスクをどう考えるかという問題になると思います。品質不良、環境汚染、情報の破壊や漏洩、金融リスクなど、企業活動や個人の生活にはさまざまな側面にリスクが存在します。
リスクというのは、『発生の確率』と『結果の重大さ』の積のようなものです。『発生の確率』で、毎日起こりそうなものなら5点、年に一度ぐらいなら1点、『結果の重大さ』で、生死に関わるようなことなら5点、たいした被害ではないなら1点などとして、それらを掛け合わせたものが『リスク評価』となるわけです。
ISOのマネジメントシステムは、どの規格も、法令、規格、手順の遵守を基本にしている、コンプライアンス(法令遵守)の仕組みです。規格をじょうずに利用することによって、遵法体制の構築や、意識改革に役立つのではないでしょうか。
日本人はともすれば、発生確率は高いけれど被害規模が小さいリスクに対する対策を重要視する傾向があります。それも大切なことですが1円の損失を防ぐのに10円をかけていたら経営が成り立たなくなってしまいます。少ない費用で発生確率を少なくする工夫が大事です。そして大切なことはリスクは許容してもいいということです。どこまでを許容範囲とするかを決めるのは経営者の仕事だと思います。
ISMSも2005年10月からISO27001として、正式に発行されるようになりましたが。
そうですね。さらに今年4月からはJIS 化される予定です。これにより、ISMS認証基準で審査を受けた企業は、一定の期日までに移行のための差分審査を受けることになります。
ISOの特徴は、企業に対して『○○をこうしなさい』という指示書ではないということです。ISOには、『○○をすること』という要求事項が、環境の場合で60項目、品質で136項目、情報セキュリティでは管理策だけで133あります。これら各要求事項は、それぞれの規格のチェック項目と考えれば、わかりやすいと思います。『○○をすること』という項目一つ一つに対して、どのようなことをするのか決めるのは事業者自身なんです。
というのは、ISOの要求事項というのは、サービス業にも製造業にも、すべての職種にあてはまるようにつくられているからです。同じ項目でも、業界によって重要度が非常に異なります。たとえば、精密機器を作っている会社なら、ミクロン単位で精度が要求されるけれど、建設現場で土を盛る場合はセンチ単位で充分ということがあります。一つの要求項目に対して、1から5までのレベルがあるとしたら、どのレベルで要求事項に対応するかということは、企業が決めるものなのです。
その企業にとって、ある項目の理想的なレベルが4だとしても、最初から4を目指すのはたいへんではありませんか。
ですから、徐々にレベルアップしていけばいい。ISOを取得するためには、各要求事項に対して、企業がどのようなことをするのか求められますから、項目すべてに答えを出すことが必要です。けれど、そのやり方は企業に任されている。ですから、最初に方針を決めて、継続的に改善して、徐々にいいものにしていけばいいのです。このスパイラルアップがISOの精神なんです。
大事なことは、経営者は決めたことをやり続ける強い意志をもつこと、そしてそれぞれの要求事項に対して、どのレベルを目指すのか明確に示すこと。この2つをあいまいにしたままに情報セキュリティを構築しようと思っても、なかなかうまくいかないでしょう。
審査して、認証を出したにもかかわらず、その後それらが守られていなかったということはないんでしょうか。
審査過程で手順どおりに活動していないことやうっかりミスが見つかれば、不適合の指摘をして、原因を検討し再発防止をしてもらいます。意図的で重大な法律違反を犯したり、システムに関わる品質上の重大な欠陥があった場合には調査して、場合によっては認証の一時停止、あるいは取り消すこともありえます。
このようなことが起こらない仕組みが出来ているかどうかどうかを見極めるために、第三者審査というのは、非常に大事なことだと考えています。審査には第一者審査(内部監査、自己宣言など)、第二者審査(購買者と供給先)、そして第三者審査があります。第三者が一定の基準への適合性を評価して証明する第三者審査は、専門性の高い人間が実施することで、客観性や透明性が確保され、設備や評価技術の面でも信頼性が高い方法です。『官から民へ』『規制社会から自由社会へ』という時代の流れのなかで、事業者の提供する製品やサービス、マネジメントシステムなどを第三者機関が審査することは、購買者や利害関係者に対して信頼感を与えます。
今、耐震偽造事件や、ホテルの改築事件など第三者審査制度の信頼性が問われる事件が相次いで起きていますが、それらを他山の石として、社会から一定の評価と信頼が得られる審査を行い、その結果を公表し社会からの信頼を高めていくことが我々の仕事だと思います。
情報セキュリティは、まず物理的セキュリティからというお話でしたが、物理的セキュリティを強化すると、コミュニケーションが妨げられるという問題はありませんか。
そういう問題は確かに存在します。ゾーンに分けて入退出を管理する、室内を区切るなどは、部署間のコミュニケーションを妨げる可能性もあります。仕事に関する情報は関係者が共有してこそ生かされるものなのに、物理的セキュリティを高めた結果、情報が共有しにくくなるという面もあります。セキュリティとコミュニケーションは相反するものであり、このバランスをどうとるかが、いちばんの課題でしょう。オフィス空間をどのようにレイアウトするかなど、オフィスプランナーの役割も大きくなると思います。
ただ、物理的セキュリティだけでは限界があるのではないかというのが、正直なところです。 人的リスクという面で言うと、1999年9月の東海村のウラン加工施設で起きた臨界事故では死者を出し、周辺住民にも多大な被害を及ぼしました。あの事故は、作業者が作業手順を逸脱して、工程を省略し違法作業を繰り返したことが原因でした。最近では、ある証券会社が株価と単価を入力ミスし、数十億の損失をもたらしました。
これらの例を出すまでもなく、人的なリスクで大きな被害をこうむることが多いのです。情報に関しても同じです。もちろん、人間ですから、間違ってしまうこともありますので、操作ミスを仕組みでカバーするなどの対策をとることが大切なのは、言うまでもありません。過去の情報漏洩を見てみると、意図的にデータを持ち出すなど、大半が人的なことによるものです。
こうしたリスクを防ぐには、意識改革のための教育が大切なことはもちろんですが、何より働きやすい、いい会社にすることが重要なのではないかと思います。仕事が楽しく、生きがいをもって働ける会社なら、情報を漏洩して、働く場を失うことはしないでしょう。今、企業には正社員のほか、派遣社員、契約社員、パート、アウトソースなど、さまざまな人が働いています。これらの人たちに同じように危機意識をもたせ、働き甲斐のある職場を作ることが大切です。
モラルハザードの問題や、内部統制の整備や運用の問題もあり、経営トップの役割と責任は大変重くなっていると思います。我々は審査機関ですから、経営に対してコンサルタントをすることはできません。けれど、働き甲斐のある職場作りこそが従業員のやりがいにつながり、ひいては顧客の幸せや情報セキュリティを高めることになると考えると、経営トップのリーダーシップや手腕に期待せずにはいられません。 |