ISO 27001：情報セキュリティマネジメントシステム（ISMS)／竹内 肇

●はじめに
　情報セキュリティに関する取り組みを、「マネジメントシステム」として取り
組んでいる組織を第三者が認定する制度「ISMS適合性評価制度」における認証基
準が、国際規格ISO/IEC 27001（JIS Q 27001）となりました。
　今後、「ISO 9001：品質マネジメントシステム（QMS)」、「ISO 14001：環境
マネジメントシステム（EMS）」と並んで、「ISO 27001：情報セキュリティマネ
ジメントシステム（ISMS)」の社会的要求が高まってくるものと思われます。

●ISMSとは
　「情報セキュリティマネジメントシステム（ISMS：Information Security
Management System)」とは、組織の有する情報資産の保護について、方針や目標
を定め、組識全体で目標達成のための「Plan（計画）」「Do（実施）」「Check
（監視）」「Action（改善）」の手続き（いわゆるPDCAサイクル）が確立された
状態を言います。
　簡単に言えば、企業としての「情報セキュリティに関する取り組みの仕組み」
です。
　この仕組みが所定の基準に基づいて構築され、適切に運用されていることを第
三者機関が評価し、認証する制度に「ISMS適合性評価制度」があり、この制度の
ことを言う場合もあります。
　これまでの同制度は、英国規格であるBS7799に基づいて作成された「ISMS認証
基準(Ver.2.0)」を認証基準としており、日本国内の制度として、他国との相互
認証ができていませんでした。そのため、大手企業などにおいては、世界的に認
知度の高いBS7799の認証を合わせて取得するなどの対応がなされていました。
　国際規格ISO/IEC 27001の登場で、クロスボーダー的な取り組みが容易となり
ました。

●プライバシーマークとの違い
　「ISMS適合性評価制度」と並んでよく話題となる第三者認証制度に「プライバ
シーマーク制度」があります。
　昨年の個人情報保護法の施行以後、個人情報等の機密情報漏えい事件などが頻
繁に報じられるようになり、企業のみならず国民全体としての情報セキュリティ
ーへの関心も高まり、プライバシーマーク認証取得企業が急増しました。
　プライバシーマーク制度は、「個人情報の持主のプライバシーを保護する。」
という思想から始まっており、個人情報の取得、利用・提供、廃棄、開示等の要
求への対応などの個人情報の取り扱いに関するマネジメントシステムが要求され
個人情報の紛失や漏えいなどに対する安全対策もその一部として要求されていま
す。
　顧客情報などを多く保有し、個人情報保護法に対応した個人情報の取扱いを要
求される企業においては大変有効な制度です。
　しかし、BtoB（企業間取引）を主体とし、顧客情報を多く保有しない企業など
においては、安全対策以外の個人情報の取り扱いの部分が負担となっている例も
少なくありません。

　一方、ＩＳＭＳは、個人情報のみならず、全ての情報資産を対象とし、133項
目の具体的な管理策への対応を検討することで、情報資産の網羅的な安全性が確
保できるというもので、今回のISMS認証基準の国際標準化によって、特に、BtoB
を主体とする企業での注目度が高まるものと思います。

●企業としての情報セキュリティへの取り組み
　インターネットが一般に利用できるようになってわずか10年程度ですが、イン
ターネットの存在を意識せずしてビジネスが展開できないほどに急速に普及しま
した。
　インターネットを代表とするＩＴ（情報技術）に対する依存度の高まりは、一
方で、情報システムが機能しない状況に陥った場合の危険性を高めることになっ
ており、これからの情報化社会の発展を支えるため、「情報セキュリティ」は重
要な課題となっています。
　本年1月に発表された「IT新改革戦略<注>」においても、「『情報セキュリテ
ィ先進国』として、違法・有害情報や不正アクセス等の対策を充分に講じた、イ
ンターネット利用において被害にあいにくい社会を目指す。」として、国をあげ
ての情報セキュリティ対策に取り組もうとしています。
　当然に、企業の社会的責務として、また、自己防衛として、情報セキュリティ
ーへの取り組みは不可欠なものとなってきます。

　ＩＳＭＳは、情報セキュリティに関する取り組みを効果的かつ効率的に実施す
る上で、また、社会へのアピールを行なう上で非常に有効な取り組みと言えるの
ではないかと思います。

<注>「IT新改革戦略」
　2001年からの「5年以内には世界最先端のIT国家になる」との国家戦略
「e-Japan戦略」「e-Japan 戦略Ⅱ」の後継戦略として、「いつでも、どこでも
誰でもITの恩恵を実感できる社会の実現」をテーマとし、2010年を目標にＩＴ革
命の完成をめざす国家戦略