SECURITY CLINIC
TOP
セミナー開催のご案内 会社概要 コンサルティング業務 お問合わせ

専門家インタビュー
バックナンバー
情報セキュリティの新時代来る
  荒川 幸式
ゲスト
荒川 幸式 (あらかわ ゆきのり)
株式会社アーク 代表取締役社長
情報セキュリティやシステム監査の黎明期より20年間、啓蒙や普及、コンサルティングに従事。ISO27001の前身であるBS7799審査員研修の日本人講師第1号、近時では、ITSMS(ITサービスマネジメント=ISO20000)の審査員研修を世界で初めて開催。東京電気大学工学部講師をはじめ、多岐にわたる要職を兼務。
    結城 寛
対談者
結城 寛(ゆうき ひろし)
株式会社セキュリティクリニック 所長
JCPC認定 プライバシーコンサルタント
 
構成 セキュリティクリニック編集室
1/4
次へ
■第3のマネジメントシステム ISO27001登場!

結城 品質、環境、情報セキュリティの3つが経営管理に欠かせないといわれて久しいのですが、昨年10月情報セキュリティに関するマネジメントシステム、いわゆるISMSがISO27001として国際標準規格化されました。ISO化されたことによって、9000、14000シリーズに続く第三のマネジメントシステムとして日本企業や公共団体の認証取得ラッシュが起こる気配はお感じになられますか?

荒川 幸式

荒川 前身のISMS認証基準の取得が1,600社を超え、取得に動いている事業者は間違いなく増加傾向にあります。まだ大企業が高い比率を占めてはいますが、製造業やサービス業の殆どがバリューチェーンの一つという
今日の事業環境や、情報セキュリティの不備による犯罪・事件・事故の増加、また国内規格から国際標準規格となったことも踏まえると、取得ラッシュは十分に予測できます。

結城 事業規模が小さいから関係ないということではすまされないという点や、今後自治体や行政機関の取得等による影響も9000シリーズ、14000シリーズのとき同様の流れと言ってよいようですね。国内では昨年施行された個人情報保護法に合わせ、プライバシーマークの取得が過剰先行したせいで、未だにISMSは、ITセキュリティだと捕らえている方も多いというのが気がかりなところですが、その点はどのようにお感じになられますか?

荒川 ITSMSではなく、ISMSなのです。ISMSのIは、インフォメーションですから広く情報一般を対象とします。ITつまり情報技術は
情報保護のための手段です。

結城 しかしJIPDECが解釈した要求事項にしても、そのほとんどシステム絡みに照準を合わせた内容になっています。これが原因でますますIT環境への対策が前面に押し出された気はするのですが・・・。

荒川 情報セキュリティというと、入退室管理や暗号技術などのテクニカルな面が話題になりがちですが、セキュリティの本来の目的は
安心・安寧≠ネんです。ただ、その手段として情報システムが大きな役割を担うことは確かではあります。

結城 PマークとISO27001の違いを一言で言うならなんだとお考えでしょう?

荒川 現場レベルで最も多い質問でしょうが、違いは明白でも一言でというのはなかなか難しい(笑)。まず挙げるなら目的の違いでしょうね。
Pマークの目指すところは、個人情報について、一方で有用に活用し、一方で安心して暮らせる社会を作るという、言わば社会公益を目的としています。
これに対してISO27001は経営者が安心して事業を展開できるようにするための手段つまり経営のツールとして活用する、つまり会社の
利益を目的として導入することをご理解いただかねばなりません。

結城 寛

結城 企業への規制を緩和して自由度を高める代わりに、やるべきことがなされなかった際は、経営者に対する
責任がより追求されるという流れの中で、社内の統制は企業経営に求められる大事な要件の一つですね。そう考えると、どこが違うというより目的自体が違う。

荒川 そうですね。新会社法やJ-SOX法など、法律によって内部統制システムの確立が強制され、経営者の責任がより明確にされる時代にあって、情報システムの不具合や長時間ダウン、またコンプライアンス違反を知らなかったではすまされなくなりました。そのような可能性を少しでも減少させて、経営者自身が、安心していられるための経営ツールということです。

結城 ISO27001が他の国際標準規格と比較して異なる点はあるのでしょうか?

荒川 ISOの規格は、仕事の仕方は問わないけれども、結果、たとえば製品の質を規定するタイプと、結果ではなく途中のプロセスを明確にすることを追求するタイプとの2つに分けることが出来ます。しかし、27001では両方を求められます。情報セキュリティについてこうした取り組みをしていますということを明確にするとともに、必要なセキュリティレベルを決めること、その結果を出すことも取り組む側の責任において行います。

[掲載の内容に関して一切の引用、無断転載を禁じます]

1/4
次へ
ページトップへ

copyright(c)2005SECURITYCLINICAllrightreserved.