結城　品質、環境、情報セキュリティの３つが経営管理に欠かせないといわれて久しいのですが、昨年１０月情報セキュリティに関するマネジメントシステム、いわゆるISMSがISO27001として国際標準規格化されました。ISO化されたことによって、9000、14000シリーズに続く第三のマネジメントシステムとして日本企業や公共団体の認証取得ラッシュが起こる気配はお感じになられますか？

荒川　前身のISMS認証基準の取得が1,600社を超え、取得に動いている事業者は間違いなく増加傾向にあります。まだ大企業が高い比率を占めてはいますが、製造業やサービス業の殆どがバリューチェーンの一つという
今日の事業環境や、情報セキュリティの不備による犯罪・事件・事故の増加、また国内規格から国際標準規格となったことも踏まえると、取得ラッシュは十分に予測できます。

結城　事業規模が小さいから関係ないということではすまされないという点や、今後自治体や行政機関の取得等による影響も9000シリーズ、14000シリーズのとき同様の流れと言ってよいようですね。国内では昨年施行された個人情報保護法に合わせ、プライバシーマークの取得が過剰先行したせいで、未だにＩＳＭＳは、ITセキュリティだと捕らえている方も多いというのが気がかりなところですが、その点はどのようにお感じになられますか？

荒川　ＩＴＳＭＳではなく、ＩＳＭＳなのです。ＩＳＭＳのＩは、インフォメーションですから広く情報一般を対象とします。ＩＴつまり情報技術は
情報保護のための手段です。

結城　しかしJIPＤECが解釈した要求事項にしても、そのほとんどシステム絡みに照準を合わせた内容になっています。これが原因でますますＩＴ環境への対策が前面に押し出された気はするのですが・・・。

荒川　情報セキュリティというと、入退室管理や暗号技術などのテクニカルな面が話題になりがちですが、セキュリティの本来の目的は
��安心・安寧�≠ﾈんです。ただ、その手段として情報システムが大きな役割を担うことは確かではあります。

結城　ＰマークとISO２７００１の違いを一言で言うならなんだとお考えでしょう？

荒川　現場レベルで最も多い質問でしょうが、違いは明白でも一言でというのはなかなか難しい（笑）。まず挙げるなら目的の違いでしょうね。
Ｐマークの目指すところは、個人情報について、一方で有用に活用し、一方で安心して暮らせる社会を作るという、言わば社会公益を目的としています。
これに対してISO27001は経営者が安心して事業を展開できるようにするための手段つまり経営のツールとして活用する、つまり会社の
利益を目的として導入することをご理解いただかねばなりません。

結城　企業への規制を緩和して自由度を高める代わりに、やるべきことがなされなかった際は、経営者に対する
責任がより追求されるという流れの中で、社内の統制は企業経営に求められる大事な要件の一つですね。そう考えると、どこが違うというより目的自体が違う。

荒川　そうですね。新会社法やJ-SOX法など、法律によって内部統制システムの確立が強制され、経営者の責任がより明確にされる時代にあって、情報システムの不具合や長時間ダウン、またコンプライアンス違反を知らなかったではすまされなくなりました。そのような可能性を少しでも減少させて、経営者自身が、安心していられるための経営ツールということです。

結城　ISO27001が他の国際標準規格と比較して異なる点はあるのでしょうか？

荒川　ISOの規格は、仕事の仕方は問わないけれども、結果、たとえば製品の質を規定するタイプと、結果ではなく途中のプロセスを明確にすることを追求するタイプとの２つに分けることが出来ます。しかし、27001では両方を求められます。情報セキュリティについてこうした取り組みをしていますということを明確にするとともに、必要なセキュリティレベルを決めること、その結果を出すことも取り組む側の責任において行います。

［掲載の内容に関して一切の引用、無断転載を禁じます］