TOPプロジェクト管理> 顧客、株主、取引先などの利害関係者への対外的なアピール
ISMSからみる情報セキュリティ対策
ISMSからみる情報セキュリティ対策

第3回:ISMSの必要性とその効果
 著者:みずほ情報総研  青木 淳   2005/10/4
前のページ  1  2  3  4
顧客、株主、取引先などの利害関係者への対外的なアピール

   審査登録機関からのお墨つきは、自社のISMSが第三者から見ても基準に適合していることの証明になるので、Webページ/名刺/会社案内/プレゼン資料などへ認証マークを表示することにより、対外的にアピールすることができる。

   これによって、自社の業務や業務システムに対する一定レベル以上のセキュリティ対策を実施していることの証明になるとともに、情報セキュリティ事件・事故の可能性が低い、または発生しても被害を最小限に食い止める力があるということを認めてもらえる。

   したがって、取引先から信頼感を得られ、安心してサービスを利用してもらえるようになる。場合によっては、取引先からISMS認証取得の支援を依頼されるかもしれない。このようにISMSの認証取得は企業イメージの向上につながる。
取引先からの要求 (受託者の立場から)

   情報セキュリティに対する企業の取り組みへの期待が高まってくると、自社だけではなく、取引先から情報セキュリティに対する要求も提示されてくるようになってくる。特に官公庁では、ホスティングサービスを委託するデータセンターなどの入札条件に、情報セキュリティに関する要求事項を盛り込むケースが増えてきている。

   条件としては、プライバシーマークあるいはISMSの認証取得を条件にしている場合があり、この場合は取得していないと入札に参加できない。また認証取得だけではなく、情報セキュリティに詳しい担当者、つまりISMS審査員などの資格保有者の配置も条件に盛り込んでいるケースもある。

   経済産業省では、経済産業省が特定システムオペレーション企業というのを認定しているが、これはシステムオペレーションサービスを的確に遂行できる企業というお墨つきである。経済産業省が安全対策・経理的基礎・技術的能力の実績を備えている企業を有効期間3年で認定する制度で、特定システムオペレーション企業の申請をする場合はISMSの認証取得が必要条件になっている。

   また民間企業でも、個人情報などの機密情報を扱うシステムの開発を外部委託する場合、あるいはそのようなシステムを運用委託する場合の条件として、ISMSの認証取得を条件にしているケースもある。または外部委託契約を締結する際に、ISMSの詳細管理策に相当するような情報セキュリティ対策を実施する条項を盛り込むといったことを求められるようにもなってきている。

   このように情報セキュリティに対する関心の高さから、ISMS認証取得の要求も高まってきており、企業として認証取得に積極的に取り組むことは、入札などの資格条件を満たさないことによる機会損失などを防ぐ、あるいは取引先から、情報セキュリティに対する高い信頼感を得られることができると思われる。
外部委託先へのセキュリティレベルの提示 (委託者の立場)

   これまで情報セキュリティに対する要求事項を、外部委託業者に対して明確にするということはあまりなかった。しかしながら、個人情報保護法の施行前後から情報漏洩事件が新聞の紙面を賑わすようになり、その中にシステム開発を外部委託した企業先から情報が漏れる、というものも散見されるようになってきた。

   外部委託先の業者とは、秘密保持契約などの条項は契約に盛り込まれていると思われるが、具体的に自社内の情報セキュリティに対する要求事項を委託先に約束させることはないだろう。

   ISMSの詳細管理策では、外部委託に関して次の2つ管理策を提示している。

外部委託契約におけるセキュリティ要求事項
情報システム、ネットワーク及び/又はデスクトップ環境についての、マネジメント及び統制の全部又は一部を外部委託する組織のセキュリティ要求事項は、当事者間で合意される契約書に記述されること。
外部委託によるソフトウェア開発
外部委託によるソフトウェア開発をセキュリティの保たれたものとするための管理策を適用すること。

表4:外部委託の管理策

   詳細管理策なので、管理策の実施は企業側で選択できるが、外部委託業者を使って業務を行っていれば、当然この管理策は選択されることになる。これらを明確にすることによって、企業側は外部委託業者に対して情報セキュリティに関する要求事項(例えば、情報セキュリティポリシーやスタンダードの遵守など)を明確し、情報セキュリティレベルの向上を要求するための合理的な水準を示す根拠を提示できる。

   また、外部委託業者側も、業務を行う際に何を守らなければならないのかが明確になり、双方にメリットがある。
まとめ

   これまで説明してきたように情報セキュリティ対策を実施するうえで、ISMSは有効なツールとなることがわかったかと思う。ただし、認証の取得はコストがかかるものであると同時に、認証取得後のISMS運用・維持も労力が必要になる。

   前述したISMSの必要性や効果などを参考にしながら、自社にとってのISMS導入のメリットを明確にし、適切な情報セキュリティ環境の構築にISMSを有効活用して頂けたらと思う。次回以降は、ISMS構築の実際について話を進めていく。
前のページ  1  2  3  4

みずほ情報総研株式会社 青木 淳<
 著者プロフィール
みずほ情報総研株式会社  青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
INDEX
第3回:ISMSの必要性とその効果
  ISMS認証取得の必要性と効果
  ISMS認証取得の効果と影響
  企業内におけるISMSの物理的な対策による効果
顧客、株主、取引先などの利害関係者への対外的なアピール