ISO27001移行審査パーフェクトガイド

情報セキュリティ管理の重要性が高まる中、その「事実上の国際標準」ともされていた英国規格「BS7799 Part2」が2005年10月に正式に国際規格「ISO/IEC 27001:2005」として標準化された。

あわせて日本版ともいえる「ISMS認証基準 Ver.2.0」も2006年春には「JIS Q 27001」として発行する。標準化にともない、現在、すでに「BS7799 Part2」や「ISMS認証基準 Ver.2.0」を取得している企業でも、新たに「ISO/IEC 27001:2005」や「JIS Q 27001」への移行を迫られる。

そこで、BS7799やISMSの認証取得のコンサルティングで100社以上の実績を誇り、国内企業としていち早く「ISO/IEC 27001:2005」を取得した株式会社ジェイエムシー　コンサルティング＆セキュリティカンパニー　リスクマネジメント本部　本部長の宮崎 亮氏に、新規格の特徴、移行・取得のための具体的な留意点について聞いた。

編集部：なるほど、より企業の信頼性を評価できる認証になったのですね。その具体的な変更ポイントをいくつか教えてください。

宮崎：全体としては、従来の127項目の管理策が133項目へと増加しています。新たに追加された管理策が17項目で、削除されたものが9項目、さらに管理策の内容を示す文言がより具体的な記述に変更されたものなどが23項目もあります。
このうち、わかりやすい事例を2つほど取り上げて、どういった方向性で変更されたかを示しましょう。

まずは、要求事項の「4章 2.3.c」（4.2.3.c）です。ここでは「セキュリティ要求事項が満たされていることを検証するために、管理策の有効性を測定する」とあります。
たとえば、関連会社と機密保持契約を締結したとします。従来は「契約を締結しています」でよかったのですが、今回からは「その機密保持契約がしっかりと機能しているかどうか」を検証しなければなりません。「形骸化」があってはならないのです。

このように、全体を通じて、実際の業務の中で実行していく際に見落とされがちなセキュリティの問題点が改善され、より実効性の高いものになったといえるのではないでしょうか。

編集部：機密保持契約は一度締結してしまうと、細かい内容を徐々に忘れていってしまう。締結した内容を忘れず運用できるようにチェック機能を設けることで情報管理とセキュリティの徹底を図るのですね。より明確により具体的に実行すべきポイントが示されているようですね。もう一つの事例を聞かせてください。

宮崎：二つ目の例は、新たに追加された管理策17項目について「附属書A 7.1.2」で示されている「資産の保有者」項目です。
多くの企業では個人情報を収集し管理していますが、従来では、その情報の「管理者」を明確にすることが求められていました。ところが今回は、新たに「資産の保有者」も明確にしなければなりません。保有者とは、情報のコピーを認めるかどうかの判断をしたり、新たに収集した個人情報を追加するかどうかの判断をするなど、情報資産の利用およびセキュリティに関する、いわば全責任を持つことになります。
この保有者を明確にすることの意味合いは「情報のオーナー」を明確にするということです。たとえば、個人情報が会社内でさまざまにコピーされ、部署や支社、支店などで活用されているケースも多いでしょう。そんな場合でも、個人情報開示の請求があると、その可否の判断は「資産の保有者」が行います。コピーした情報を所有している部署のトップが「これはうちで所有しているものだから」といって判断することはできません。情報のいわば「所有権」が保有者にあり、その利用やセキュリティについての管理責任がより明確になったのです。

編集部：ジェイエムシーでは、今回ISO27001を取得した経験を踏まえて、新規格への移行を目指す企業に対してセミナーを開催するそうですが。

宮崎：国際標準化にともない従来の認証を取得している企業は、その「認証」のマークを継続して利用するためには「18カ月以内」に移行しなければなりません。具体的には「BS7799」を取得している企業であれば、2005年11月に日本語版が発行されましたので、それから18カ月以内、「ISMS認証 Ver.2.0」を取得している企業であれば2006年春にJIS Q 27001が発行予定ですので、それから18カ月以内での移行が必要です。18カ月後にはISMS認証 Ver.2.0は「廃止」されます。

現在、取得している認証の維持・更新審査が実施されるタイミングを考慮し、そのタイミングで移行を終了させるとしたら、最低でもその3カ月前からは準備に入る必要があります。たとえば「2006年6月に維持・更新審査がある」企業であれば、逆算すれば2006年3月からは準備に入りたい。準備に入るための予備知識を得るには、もう年明けから情報収集が必要となるでしょう。

以上の市場のニーズを考えて、ジェイエムシーでは2006年1月19日、25日に、新たな認証へのスムースな移行を実現するためセミナーを実施します。「自社の情報セキュリティは安心です」とアピールできるはずの認証マークが利用できなくなり、ライバル企業は、いち早く新規格に移行する・・・。国際標準に対応していないとなれば、企業にとって大きなマイナスになります。そんな企業のスムースな移行を支援するセミナーです。

宮崎：どんな管理策が追加されたのか、どんな変更点があるのかは公表されています。読めば「文面としては」理解できます。ただし、いかに実行レベルに落とし込むか「How＆Do」がわからない。そこをお教えするセミナーです。

セミナー参加者には、移行に必要な文書フォーマット、ツールなどをセットにしたオリジナルの「移行手順様式集」をお渡しします。とにかく、移行手続きで時間がかかるのは、文面の解釈と実行に落とし込むためのHow＆Doなのです。このセミナーに参加することで、最も時間かかるところを効率的に進めるための手順を理解できる。移行手続きに費やす時間を約3分の1に短縮できるのではないかと自負しています。そのくらい「中身は濃い」ですよ。