財団法人日本情報処理開発協会(JIPDEC：http://www.isms.jipdec.jp)について簡単に説明する。当協会は，情報セキュリティマネジメントに関する国際標準のISO/IEC 17799および英国規格のBS7799をベースとしたISMS適合性評価制度の制定，および個人情報保護ガイドラインに準拠したプライバシーマーク制度を創設するなど，日本における情報セキュリティの総本山的な団体である。

ISMS(Information Security Management System )

では，ISMS(Information Security Management System )情報セキュリティマネジメントシステム適合性評価制度の概要について，ISMSのもつ意味，評価の基準，それを制度としてどのように運用しているのか，そして今後の展望について紹介する。

情報セキュリティの3要素とは

最近，情報セキュリティに対する関心が高くなり，注目が集まっているのは，情報に価値があるということ，つまり情報はビジネス上重要な事業資産と同様であるとの認識をもたれるようになってきたからである。
情報の保護は，単に情報そのものだけではなく，利用するための手段，システムや人なども保護対象となる。従って，情報を守るだけではなくて適切な利用環境と，それを維持することも含まれている。

情報セキュリティの3要素は，機密性（Confidentiality)，完全性(Integrity），可用性(Availability）であり，3要素はそれぞれの頭文字をとってCIAと呼ばれている。各要素を見ると，機密性とはアクセスを認可された者だけが，情報にアクセスすることを確実にすることである。内部の情報が漏えいすれば当然機密性の問題になるだろう。

完全性とは情報および処理方法が，正確であることおよび完全であることを保護することである。情報そのものが改ざんされたり，誤操作などで適正な処理が行われなかったというような場合は完全性の問題にある。

可用性とは認可された利用者が，必要な時に，情報および関連する資産にアクセスできることを確実にすることである。システム自体が障害などで停止すれば，情報そのものが適切に提供できず可用性の問題として出てくる。
従って，このように考えれば情報はCIAという観点からバランス良く維持しなければならないことが分かる。

ISMSの基本的なコンセプト

もう1点重要なこととしては，セキュリティ対策の特徴である。情報セキュリティの基本的な考えとして，「いくらコストを掛けても100％完璧な情報セキュリティレベルには達しない」ということがある。情報セキュリティを強化すれば利便性が下がると同時にコストが上がる。従って，セキュリティ対策は，コスト，利便性のすべてにバランスを取ることが必要になる。

この情報セキュリティに対していかにバランスを取ればよいのかを決定するのが，ISMSという情報セキュリティのマネジメントシステムである。言い換えれば情報セキュリティの3要素を踏まえ，いかにマネジメントするかがISMSの基本的なコンセプトになる。

これを定義すると，具体的には個別のセキュリティ技術であるファイアウォール(Firewall)を設定したり，IDS(Intrusion Detection System 侵入検知システム)を入れるなど，さまざまな個別のセキュリティ対策を行うだけでは限界があり，組織のマネジメントとして機能させることが重要である。自らのリスクアセスメントも重要になる。それは情報セキュリティマネジメントが，裏を返せばリスクマネジメントそのものだからである。

リスクに応じてどのようにセキュリティレベルを決め，どのような対策を取るのかが重要になる。これらの方針や目標，計画に基づき適切な資源配分を行い，システムを運用していくマネジメントシステムとして要求されるのがISMSである。

組織のマネジメントシステムの構築は，PDCAサイクル(Plan Do Check Act 計画，実施，点検，処置)によりスパイラルアップすることにある。具体的には基本方針であるセキュリティポリシー（基本方針）に基づいて情報セキュリティ対策の具体的な計画，目標を策定する。その計画に基づいて対策の導入・運用を行い，実施した結果の点検・見直し，そして経営陣による維持・改善措置の実施である。特に経営陣によるマネジメントレビューに基づいた継続的な改善措置が重要になる。その経営陣の関与あるいは責任を明確にしないとISMS効果が高まらない。

ISMSのもつメリットとは何か

ISMSのもつメリットについては，一つにISMSそのものを構築し，それを運用するメリットがある。そのためには組織として技術的，人的な運用・管理面とそれぞれの対策を講じることになる。これよって情報セキュリティの体制の整備，あるいはそれによる責任・権限の明確化，リスクマネジメントなどの定着が社内組織の体質強化につながる。

もう一つはISMS認証を取得するメリットである。まずISMS認証を取得するには，ISMSを構築・運用しなければ絶対に認証取得はできない。自ら，評価基準となるものに対するマネジメントシステムを構築すれば，それだけで十分な効果が期待できるが，さらに認証を取得することで，きちんとISMSを構築・運用をすることが求められるので，その効果が高まる。その結果ISMS認証取得によって，まさに対外的に情報セキュリティに対する信頼性，取引先顧客からの要求事項の満足，さらには自由競争力の強化などにつながる。

次にISMSの認証基準であるが，英国規格(British Standard)のBS7799という規格がベースとなっている。それは二部構成になっておりPart1と言われているほうがISO化されている。Part2が要求仕様となっており，ISMS認証基準Ver.0.8，Ver.1.0はPart2を参照しながら作成されたものである。現在はVer.2.0が最新版である。

BS7799-1からISO/IEC17799という国際規格が2000年の12月に制定された。一方，BS7799-2は英国規格のままで，改訂版が2002年の9月に公表された。ISMS認証基準Ver.2.0はBS7799-2と同等と位置付けているので，将来的にBS7799-2が国際規格として制定されれば，国際的な規格としての整合性が取れることを目指している。

Ver.2.0の特徴としては，マネジメントプロセスを導入したことがある。これによって品質マネジメントシステムのISO規格であるISO 9001との整合性を取ることができる。もう一方では経営陣による責任の関与，責任の所在が明確になってISMSの運用効果が高まる。また，リスクマネジメントにおけるPDCAサイクルを明確化したことでISMSの有効性が高まる。

ISMS認証基準Ver.2.0は2003年4月に公表したばかりなので，Ver.1.0を包含する形で基準が構成されている。そしてISO 9001との親和性，あるいはリスクマネジメントの体系化，PDCAモデルに基づいたプロセスアプローチの採用など，すべてVer.2.0に基準として入っている。
ここで注意したいのは，「付属書：詳細管理策」がVer.1.0では本体の第4章だったが。Ver.2.0では付属書という形で本体からは切り離されている。本体から切り離されているが，これも基準の一部である。

ISMS制度の運用スキームとしては，下図のようになっている。認証取得を希望する事業者は，まず自らがISMSを構築・運用し，その後，ISMSを認証するための審査登録機関を選択する。現在，認定された審査登録機関は7機関ある。日本情報処理開発協会情報セキュリティ部ISMS制度推進室はこの審査登録機関を認定する認定機関としての位置付けである。

認証取得の状況・今後の展望

2002年の4月にスタートして，2003年6月で認証取得事業者は158となっている。認証取得の適用範囲は，同じ会社の中でも部門が違う，あるいはサービス，認証を取得する適用範囲によって認証の登録番号が違ってくる。つまり，1社で1つの認証ということではない。
現状の課題としては，ISMS制度の認知度を高めていくことがある。

さらには構築・運用面からみると，日本の組織ではCIO（情報統括役員）が不在である。情報セキュリティポリシーがまだない，あるいは情報戦略責任をもつ経営トップがいない。ISMSの構築によりそうした組織が今後必要になるし，さらには従業員に対する情報セキュリティの周知の徹底を図り，意識を高めるということが必要である。
また，リスク分析のプロセスがまだ定着していない。このリスク分析ができていないので，情報セキュリティに対する継続的な管理策が実施できていない。
次にグローバルビジネスの有効手段として機能させるということである。ISMS認証は国際規格との整合性を図ることが視野にあるので，当然情報セキュリティレベルをグローバルにアピールすることができる。さらには情報サービスなどのIT関連業種だけではなく，情報に価値のある業界，印刷業界も含めて全産業分野の広がりが期待できるだろう。

プライバシーマーク制度

最後にプライバシーマーク制度について若干言及する。ISMSは情報セキュリティマネジメントシステムとしての制度である。一方，プライバシーマークの場合はマーク付与制度である。「個人情報保護のJISであるJIS Q 15001:1999年版。ここに適合したコンプライアンス・プログラム(compliance program)を整備し，個人情報の取り扱いを適切に行っている事業者を，第三者機関であるJIPDEC(Japan Information Processing Development Corporation ：財団法人　日本情報処理開発協会)が評価・認定し，その証としてプライバシーマークと称するロゴの使用を許諾する制度」である。

つまり，プライバシーマークの使用を許諾する制度が，まず基本にあるということだ。そのためには，JIS Q 15001に適合したコンプライアンス・プログラムがまず整備されていることが基本にある。もちろんJIS Q 15001のコンプライアンス・プログラムは，マネジメントシステムを要求している。そこの部分については共通部分もあるだろう。そのプライバシーマーク制度の目的は事業者に対しては，信頼獲得のインセンティブ，消費者に対しては安心して個人情報の取り扱いを適切に容易に判断できるマークを提供する。この2点が目的となる。

財団法人日本情報処理開発協会
情報セキュリティ部　ISMS制度推進室　室長　高取　敏夫
http://www.isms.jipdec.jp/

関連記事：
印刷経営を揺るがすセキュリティの重要性
情報セキュリティの国際動向と認証の実際について
ISMS構築事例と構築ポイント

（2003.6.23講演より収録　文責JAGAT　／　禁無断転載）

2003/09/03 00:00:00