ISMS

ISMSとは

Information Security Management System

つまり情報セキュリティマネジメントシステムのことです。近年IT化の進化に伴って、企業や個人への不正アクセスやコンピュータウイルスによる被害が多く発生しており、内部から不正者が発生したり、外注業者が情報を漏えいしたりと情報資産を脅かすような要因が増えています。

これらの対策として適切なリスクアセスメントを実施し、企業内での情報セキュリティを確保するためにISMSを構築することが目的です。ISMSは個別の問題における対策はもちろん、組織マネジメントとしてのリスクアセスメントによるセキュリティレベルを定めたり、人的な資源などを配分しシステムを運用します。

ISMSはリスクマネジメントプロセスによって、情報の機密性や完全性・可用性などを維持したり改善することで、適切なリスク管理が行われているという信頼を関係者に与えることが可能です。

ISMSは主に3つの要素を定義しており、「機密性」は認可されていない個人やエンティティ・プロセスに対し、情報を使わせたり開示しない特性を意味し、「完全性」は正確さや完全さの特性を意味しています。

「可用性」は認可されたエンティティが要求する際のアクセスや使用が可能な状態である特性を意味し、これらのISMS要求事項を定めた国内規格がJIS Q 27001で、ISOマネジメントシステムの共通要素を適用しており、情報セキュリティに不可欠な固有の要求事項が含まれています。

ISMSのお役立ち情報

ISMSと並んでよく比較されるのがPマークで、これはプライバシーマーク制度のことです。日本工業規格であるJIS Q 15001「個人情報保護マネジメントシステム」に適合していて、個人情報に関する適切な保護措置を行う体制を整備したり運用している企業を認定しており、事業活動においてマークの使用を認める制度です。

Pマークの付与はJIS Q 15001に基づいて第三者が評価する制度で、企業にとっては自主的により高いレベルの個人情報保護マネジメントシステムを確立していることを体外的にアピールすることができる有効なツールとして活用されています。

ISMSとPマークの違いはいくつかあり、例えば自社で直接取得するような顧客などの個人情報が多いケースはプライバシーマークが適しています。自社で直接取得する個人情報は従業員の情報ぐらいで、顧客などの外部からの情報処理などから預かる個人情報が多いケースはISMSが適していると言われています。

プライバシーマークは主に組織が個人情報を収集したり、利用し破棄するというサイクルを定義し、情報を主体としながら運用していく特徴があります。ISMSは主に組織が保有する情報資産をどのような脅威が存在したり、ぜい弱性によってどのような脅威を誘引するのかを分析し、その脅威が発生する状態などを考慮しながらリスクを算出したり、軽減するような対策を行うことが目的です。

ISMSは自社を保護するためのマネジメントであり、自社の保護の延長に顧客の保護があるという発想です。