1. ISMSはインターネット社会で情報を守る仕組み
ISO27001は、ISMSに関する国際規格です。ISMSは、Information Security Management Systemの略で、日本語では「情報セキュリティマネジメントシステム」と訳されます。情報の安全な管理を実施する仕組みのことです。
IT社会が加速し、インターネット上にはさまざまな情報があふれています。世の中が便利になる一方で、情報漏洩などのリスクも高まってきました。このような現代社会においては、企業側に情報
セキュリティの強化が求められます。そこで、国際的な情報管理システムのスタンダードを作ろうということで生まれたのが、ISMSという考え方です。
機密情報や個人情報など、重要なデータを扱う企業においては、自社内に適切な情報管理システムを構築し、運用していかなくてはなりません。
ISMSでは、情報セキュリティの重要な要素として、機密性・完全性・可用性の3原則と、さらに真正性・責任追跡性・信頼性・否認防止を加えた7要素を重視します。
機密性(confidentiality)とは、情報漏洩がないことをいい、具体的にはIDとパスワードを使用して、不正アクセスから情報を守るような仕組みが必要です。
完全性(integrity)とは、情報を正確な状態でで管理することをいい、たとえば、デジタル署名などを使用して、情報改ざんされないような取り組みが有効となります。
可用性(availability)とは、使いたいときに情報をいつでも使える状態にしておくことをいい、たとえば、パソコンが使用不能になったときに備えて、バックアップシステムを作っておくことが求められます。
これら「情報セキュリティの3条件」と呼ばれるものを充足するようなシステムを作ることがISMS構築の基本です。
もっとも、実際にどんな仕組みを作ればよいのか、どんな手順で運用すればよいのかを自分たちで決めるのは、なかなか難しい問題です。
そこで、ISMS構築に向けて、具体的な方法や手順を定めたものが、ISO27001なのです。
2. ISOが定めるISMSの国際ルールがISO27001
ISO27001は、ISO認証の一種です。ISOとは、国際標準化機構(International Organization for Standardization)のことをいいます。国際標準化機構は、国際取引をスムーズに行うために必要な共通ルール(ISO規格)を決めている国際機関です。
ISO規格には、さまざまなものがあります。身近なところでは、非常口のマークに関する規格(ISO7010)やクレジットカードのサイズに関する規格(ISO/IEC7810)、カメラフィルムの感
度を示す規格(ISO100等)があります。そして、情報管理に関する規格として存在するのが、ISO27001です。
ISO規格を満たしているものに対しては、ISO認証が付与されます。ISO認証は、国際規格に則っていることを第三者機関が証明する、一種のお墨付きのようなものといえるでしょう。
情報管理に関しては、プライバシーマーク(Pマーク)というものもあります。どちらも、大切な情報を守るための仕組みという点では同じです。違いは、国内規格か国際規格かという点と、運用範囲の点です。
プライバシーマークは、日本工業規格である「JIS Q 15001」に基づく制度です。「JIS Q 15001」に定められているPMS(個人情報保護マネジメントシステム)に則った情報管理をしていると認められる企業に対して付与されます。一方、ISO27001は、国際規格「ISO27001」に基づく認証で、日本国内では「JIS Q 27001」 というかたちで日本語での規格化がなされています。
また、プライバシーマークは、もっぱら個人情報を保護するための仕組みです。これに対して、ISO27001は、個人情報を含む情報セキュリティ全般を保護するための仕組みで、プライバシーマークの運用範囲と一部被るものの、より広範囲のセキュリティ対策が求められます。
したがって、取り扱う情報が主に個人情報の場合はPマーク、社外情報の取り扱いも多い場合は、ISO27001認証の取得をするケースが多くなります。もちろん、両方の認証を取ることも差し支えありません。ダブルで認証を受けているわけですから、それだけ情報管理に対する意識が高い企業といえるでしょう。
3. ISO27001は世界レベルの情報管理システムを構築している目印
ISO27001は、2005年10月に発行されたISMSの国際規格です。「ISO27001/ISMS」と記載されたり、「ISO/IEC27001」と記載されることもあります。これは、ISO(国際標準化機構)とIEC
(国際電気標準会議)とが一緒に定めたものだからです。
ISO27001(JIS Q 27001)には、ISMS構築のための方法や手順が「要求事項」という形で定められています。企業はこれらに則って情報管理システムを社内に作り運用することで、最適なISMSを構築できるようになっています。
つまり、ISO27001を取得しているということは、ISOの定める国際規格に則った高度な情報セキュリティマネジメントシステムを構築し、運用しているということの証なのです。
また、ISO27001には定期審査があり、認証取得後、1年に1度維持審査を受けなければなりません。さらに、3年に1度更新審査も受ける必要があります。
ですから、継続してISO27001認証を受けているということは、定期的に第三者機関から情報セキュリティシステムのチェックを受けているということになります。