【ネット時評 : 内田勝也(情報セキュリティ大学院大学)】
情報セキュリティ認証制度、実態調査で見えてきた課題

uchida02.jpg
 
 企業が、自社のマネジメントシステムが国際規格に準じているという認証を取得する動きは広く普及している。ISMS(情報セキュリティマネジメントシステム)適合性評価制度もそのひとつだ。しかし認証取得後の実態を詳しく見てみると、制度自体、そしてその活用にはまだまだ課題も多いようだ。

ISMS適合性評価制度

 2002年4月に本格運用が始まったISMS適合性評価制度では、2007年6月22日現在、2,226事業所が認証を取得している。本格運用からすでに5年以上が経過しており、同様の評価制度があるQMS(品質マネジメントシステム、94年運用開始)の約43,400事業所やEMS(環境マネジメントシステム、96年運用開始)の19,800事業所に比較し、認証取得事業所の数ははるかに少ないが、確実に増加している。
 一方で、プライバシーマークやISMS認証取得事業所において、大規模な個人情報漏えいも発生しており、認証取得制度に関する疑問の声も上がっている。

 このような状況から、認証取得事業所の実態を調べるため、2007年2月にISMS認証取得企業に対して、実態調査を行った。
 調査は、2007年1月現在、ISMS認証を取得した1,907事業所のうち、住所を公開している1,422事業所を対象とした。郵送によるアンケートを実施し、264事業所(回答率18.6%)から回答を得た。認証取得は事業所単位であるため、一法人が複数の認証を取得している場合、原則として全ての事業所に送付した。

 QMSやEMSを含め、こうした認証取得事業所の一部を対象に実施した調査(注1)はあるが、認証取得事業所全体を対象に行った調査は、今回が最初だと思われる。


分析結果が示す問題点

 アンケート全体を分析する限りにおいて、以下のよう事が明らかになった。
(1)経営者の情報セキュリティ、ISMS推進等の意識の高低が実態に大きく影響している
(2)ISMSへの誤解。特に管理策への誤解が多い
(3)コンサルタントの問題。 認証取得や情報セキュリティシステムの構築の支援を求めた一部のコンサルタントのレベルが低く、ISMS認証取得に悪い影響を与えることもある
(4)審査機関、審査員の問題。審査員のレベルが低いため、苦労しているケースも
(5)ISMS独自の問題。 ISMSがISO/IEC27001へ移行した際の移行期間が短かったため、本来業務の停滞が見られた

 これらについて少し詳細に見ていくと、ISMS推進にあたって、考えなくてはいけないいくつかの課題がわかる。

 上記(2)の「ISMSへの誤解」では管理策への誤解が多いが、ISMS等のマネジメントシステムには、監査の考え方が根底に流れている。しかしながら、この点の理解がない事業所や審査機関(審査員)が多いようだ。ISMSの管理策で決められている内容は唯一絶対のものであると考えられがちだが、監査の考え方からすれば、管理策で決められているものが不十分であれば追加すればよく、対象外の管理策があれば、その理由を明確にし、削除できる。このことはISMSの要求事項にも明記してあるが、これを理解していないと、いわゆる「日本版SOX法への対応は、ISMSでは不十分である」とか、「当社が目標とする情報セキュリティマネジメントには、ISMSの管理策のレベルは低すぎる」と言った誤解が発生する。また、外部委託をしていない事業所では、外部委託に関連する管理策は不要であることも理解できる。

 次に上記(3)の「コンサルタントの問題」では、本調査だけでなく、筆者が関係している審査機関の「審査判定委員会」における認証対象事業所の審査状況報告でも、ISMSが理解できていないコンサルタントが一部にいるために審査での指摘事項が非常に多くなるとの報告がある。
 取引先企業や親会社から、ISMS認証取得を迫られて、内部にISMS等の知識を持った社員がいないため、十分な検討もせずにコンサルタントに半ば「丸投げ」せざるを得ないためかも知れない。このようなケースの場合、結局認証取得に長期間を要することも多く、むしろ社員がISMSの知識を習得し、信頼できるコンサルタントに委託(必要な部分のみの委託が望ましい)したほうが良い結果をもたらしているようだ。コンサルタントの格付け制度を創設してはどうかとの意見もあるが、誰が、どのように行うかと言った方法論の問題だけでなく、格付け制度を作ることの是非も議論する必要があろう。

 第3に上記(4)の「審査員、審査機関の問題」に関しては、最近は比較的良くなってきたとの話もあるが、一部の審査員のレベルの低さを指摘する声もある。古い時代のQMS審査しか知らない審査員がISMS審査員になったケースもあると聞く。審査員は「監査の考え方」「情報システム、情報セキュリティの知識」「審査事業所の業務知識、業界知識」を持っていることが望まれる。私見だが、必ずしも十分な知識がない審査員が一部にいると感じられる。最近は、審査員教育の充実が叫ばれているため、レベルの低い審査員は少なくなっているようではあるが、一層の努力が求められる。

 そして(5)の「移行の問題」。ISO/IEC27001が制定され、従来、ISO/IEC17799を基に実施されていた認証制度の内容が更新されることになった。審査は認証取得後、1年ごとに行われるため、18カ月の移行期間では、ISO/IEC27001実施直前に認証取得した事業所は短期間に新制度(ISO/IEC27001)への移行を与儀なくされた。もう少し余裕を持って移行期間を設定して欲しいとの要望が強い。

 最後に上記(1)の「経営者の意識」について。取引先や親会社など、外部からの要請によりISMS認証取得を短期間に求められた事業所では、レベルを問わずコンサルタントに丸投げするなど、認証取得が目的化してしまう。認証取得後、経営者が関心を示さなくなってしまうと、ISMSの維持管理がうまくいかないことが多いようである。さらにISMS認証取得・維持のためには何でもありと言った考えに陥り易く、現場での作業との乖離(かいり)が発生したりするため、推進事務局が苦労している様子が伺われる。
 経営者の意識が高いことが、結局はISMSの成功に結びついている様子がうかがえる。日本ではボトムアップ的な経営が評価されがちだが、認証取得などの取り組みにおいては経営トップの関心の高さが、成功要因の1つであると感じられる。


審査機関にも説明責任を

 昨年来、ISO9001やプライバシーマーク取得事業所における不祥事がたびたび報道されている。本調査をはじめISMSの調査・研究を手がけ、ある審査機関で審査判定委員会委員長を拝命している者として、以下のようなことを感じている。

 ISMSやQMSの評価は、マネジメントシステムの構築が十分に行われているかを審査するものであり、マネジメントシステムが完全であることを保証するものではない。そもそも、企業のマネジメントシステムが100%問題ないことを保証することは、どのような分野でも不可能である。さまざまな製品でリコールや人身事故の発生を完全になくすことができないこととなんら変わりはない。

 また、認証取得事業所において、不祥事が発生すると事業所自体だけ問題になることが多いが、審査が適切に行われたのかについても検証が必要と思われる。ISO9001の認証取得をしていた食品工場の不祥事では、マニュアル等の不備が指摘されたが、文書作成・更新は重要な項目の1つであり、審査員が確認していなければならないはずだ。維持審査・更新審査時点で確認をしていなかったのだろうか?
 認証取得事業所において、関連する事件・事故が発生しないことを保証している訳ではないが、審査機関、審査員が適切な審査をしていたかの検証は必要と思われる。認証取得事業所の大規模な事件・事故については、第三者による、いわゆる「事故調査委員会」による検証が必要ではないかと考えている。
 不適切な審査をした審査機関、審査員に何らおとがめなしで良いと考えるのであれば、不適切な会計処理を認めた経営者や会計事務所がなぜ懲罰を受けるのかを考えてみて欲しい。
 なお、上記食品工場では事故後のISO9001の再認証が認められなかったが、事故前後で大きな変化があったのだろうか?単に、問題点が顕在化しただけである。それを見つけられなかった事故前の審査機関には、説明責任があるのではないか?

 今回初めて実施した調査では、まだ調査側の課題もある。予算を確保できれば今後も実施し、ISMSなどの認証制度をより良いものにして行きたいと考えている。

 本調査は、(財)ニューメディア開発協会から資金援助を受けて実施した。また、多くの認証取得事業所の協力に対し、この場を借りて厚く御礼申し上げたい。

 なお、調査の詳細は、同協会のウェブサイトに掲載されている。

注1: 主なものとしては、以下のようなものがある。
・(財)日本適合性認定協会2006年1月「ISO9001に対する適合組織の取組み状況」
・(社)日本印刷技術協会2001年5月「ISO9000運用アンケート調査」
日本海事検定キューエイ株式会社2006年10月「EMSアンケート調査結果」2006年7月「QMSアンケート調査結果」

<筆者紹介>内田勝也(うちだ・かつや)情報セキュリティ大学院大学教授
電気通信大学経営工学科卒。オフコンディーラーにてシステム開発、ユーザー支援等を担当、在日外国銀行でシステム監査、ファームバンキング技術支援などを担当後、大手損害保険会社にてコンピューター包括保険導入プロジェクト、情報セキュリティー調査研究等に従事。中央大学にて、「ネットワークセキュリティー」(修士課程)講師、情報セキュリティー人材育成プロジェクトの推進、21世紀COEにて事業推進担当等。情報セキュリティ大学院大学では、情報セキュリティマネジメントシステム、セキュアシステム実習を講義。 Computer Security Institute(CSI、本部:米国)会員、情報処理学会会員、ISMS審査登録機関 審査判定委員会委員長。

<関連リンク>
内田氏のホームページ
http://www2.gol.com/users/uchidak/
 

トラックバック

このエントリーのトラックバックURL
http://www.nikkeidigitalcore.jp/cgi-bin/mt/mt-tb.cgi/193

コメント一覧

メニュー