ISMS認証制度についての話題に触れている丸山さんと長谷川さんのBlog記事へトラックバックしました。で、このISMS認証制度について、少しばかり私見を!
丸山さんのBlogに引用された記事によると、ISMS認証を得た日本企業の割合が世界で最も高いとのことです。
ISMSの認証取得は世界で3233サイト、Pマークは6360社
ISMS認証って、何なの?
某インターネットプロバイダー、某自治体、某TV通販会社等等、個人情報の漏洩で少なからずの損害を生じた企業の事例や個人情報保護法の施行などが動機となって、日本企業のISMSやPマークの認証取得に走らせているようです。しかし、ISMSやPマークは当該企業の情報セキュリティや個人情報の管理体制が構築されていることを認証するのであって、水準を保証することではありません、というのが私の認識、理解です。
しかし、我が社は認証を得た、だから情報セキュリティは大丈夫、ご安心下さいというような、理解が一部でされています。管理体制、マネジメントシステムが構築されているからといって、情報セキュリティが一定の水準にあることの保証には繋がらないちうことなので、JASAでは保証型情報セキュリティ監査普及促進プロジェクトを組織し、活動を行っているのです。
(ここ数ヶ月、プロジェクトの会合に参加できず申し訳ありません)
ISMSの認証が、何か免罪符のように扱われているような気がします。ISMSの認証があるからといって情報セキュリティ上の問題課題が皆無とは言えませんよね、と私は思うのです。そもそも、そんなことを目的としていません。審査の結果、情報セキュリティ上の課題問題が適切に管理され改善され得る体制、マネジメントシステムが構築されていると判定されたということです。勿論、このこと自体が有意義であり、認証取得自体が一定の情報セキュリティ水準にあることの証しであるとの意見もあります。何故なら、マネジメントシステムが存在すること、それが情報セキュリティに対する取組みがなされていることの実証だからということです。しかし、企業が求められる情報セキュリティのレベルあるとの保証ではないのです。元々、情報セキュリティの水準を判定することは目的ではないのですから当然のことです。
認証取得後にきっちりとPDCAのサイクルを回して、情報セキュリティの向上を図っていくことにISMS認証取得の意義があるのではないでしょうか?
皆さんのご意見を待っております。
SECRET: 0
返信削除PASS: 74be16979710d4c4e7c6647856088456
本当にご指摘のとおりです。
私もIT業界で否応無く認証にタッチしなければいけませんが、かねてから何とかならないものかと思っていました。
根本的には、当のTOPが記事中ご指摘の誤解をしていることが原因と思います。
つまり、ISMS認証取得=セキュリティのレベルそのもののお墨付きをもらった、という勘違いです。TOPがこうだと現場は一気に活気を失います。セキュリティ対策=ISMS事務局が押し付けてくる定期ミーティングや目標管理シートを埋めること、となり、自発的・機動的な対策を実践しようという意欲が失われます。
最悪なケースは、セキュリティ問題が起きてそのTOPが陣頭指揮する場合です。既存ISMSとは全く別のアプローチをして、新しいルールを作ってしまったりします。そうなるとISMSは単なる形式となり、割とペーパーワークや会議が反復的にあるので、社員の時間を取るだけのしきたりになってしまいます。当然これでやる気が出る社員はいないでしょう。本来であれば、このような負の側面を考慮したうえで、TOPはISMSの導入を決定しなければいけません。
��ここはトラックバック自由にOKですか?)
SECRET: 0
返信削除PASS: 74be16979710d4c4e7c6647856088456
kams様
貴重なご意見ありがとうございます。認証制度の信頼性を維持することは、作ることより難しいと思います。認証を得た組織をも含めた取組みが必要ですね。
本Blogはトラックバックフリーです。ご自由になさって下さい。そして、今後も宜しくお願いします。