ICタグや各種高機能カードの普及、多機能なケータイ電話を利用したビジネス
の拡大、ネットブックへの展開、家電製品に組み込まれたコンピュータシステム
インターネットを活用したビジネスは当たり前の時代になっています。もはや情
報通信技術(ICT)なしの日常生活は成り立たなくなっているのです。
従って企業組織においては、IT経営を推進することが成功への有効な一方法で
あるとして、戦略的なICTの業務への活用を推進してきました。一方、ICTが日常
社会生活に深く浸透している現在においては、何らかの事象によりICTが損傷を
受け又は停止した場合への対策とその予防策が非常に重要になっています。
これに対しては、情報セキュリティ・マネジメントシステム(ISMS)の認証規格
がISO27001として制度化されており、日本は2009年で5,508件という世界第1
位の認証取得組織数を達成しています。しかし、同時期の品質規格ISO9001の認
証取得組織68,484件や環境規格ISO14001の認証取得組織39,556件から見ると一
桁下の水準であり、ISMSに対する認識はまだまだこれからと言った状況にありま
す。
ISMSの基本は、(1)許可された人だけが当該情報資産にアクセスできること、つ
まり認められていない人は当該情報資産にアクセスできない状態にあること(機密
性:Confidentiality)、(2)情報及び処理方法が正確で完全であること、つまり当
該情報が信頼できる状態に維持されていること(完全性:Integrity)、そして(3)
許可された利用者が必要なときに情報資産に必ずアクセスできること(可用性:
Availability)を保持することです。
このISMSのレベルが、取引先の要求する一定水準に達していない場合は取引の
継続及び拡大が望めなくなる可能性があります。取引が深くなるほど当該企業の
重要情報を取扱う機会が増加するため、自社以下のISMSレベルの取引先を遠ざけ
るのは危機管理上の当然の結果なのです。ICTを活用して業務処理を高度化する
一方で、ISMSの構築及び運用は避けて通れない言わば車の両輪の関係です。
さて、ISMS認証規格であるISO27001には事業継続管理も含まれています。し
かし、最近の異常気象や地震、更にはテロの発生等を考えると、より広範な概念
の事業継続管理を検討する必要があります。事業継続は、言うまでもなく社会的
な存在である各種組織に関わるステークホルダー(利害関係者、広く地域住民ま
でも含む)の利益、組織の評判、ブランド、及び価値創造を保護する効果的な能
力を維持する取組です。万一の事態が発生した場合に、自社の何を最優先して復
旧しなければならないかを特定して、迅速にコアの事業を復旧及び継続する仕組
みを構築及び運用します。これは、大変に社会的であると共に戦略的な発想であ
りその意味ではIT経営やISMSとも共通する概念です。
2007年7月16日に発生した新潟県中越沖地震は、甚大な被害をもたらしまし
たが、自動車部品製造企業の生産が停止したことにより自動車業界全体の生産が
一定期間ストップしたことを覚えている人も多いと思います。中小企業は大手企
業の下請けをしている現状からすると、中小企業といえども事業継続管理に取組
むことの重要性が理解できます。非製造業であったとしても、多くは地域社会に
根をおろした存在になっている場合が普通ですから、自社及び地域社会にとって
の重要性は同じです。
既に日本では、財団法人情報処理開発協会(JIPDEC)が今年3月からBCMS適合
性評価制度を正式に運用開始して、2010年8月27日現在で17組織が認証取得し
ています。この事業継続マネジメントシステム(Business Continuity Management
System)は、認証の根拠規格を英国のBS25999としています。これは現在のところ
ISO化に向けた作業が進行しており、2012年にはISO規格として発効する見込み
です。事業継続管理の対象は情報資産だけでなく、自社のコアとなる重要な事業
そのものなので、今後の数年間で社会認識が大きく変わると思われます。
国内の景況は不透明で、中小企業にとっては厳しい局面が続いていますが、こ
のような時には新たに始動しだしたトレンドに注意を払って、その流れを経営の
方向付けの参考にしていただきたいと思います。
■執筆者プロフィール
中村久吉(なかむらひさよし)
ITコーディネータ、中小企業診断士、社会保険労務士
ISO27001主任審査員、プライバシーマーク主任審査員
e-mail: ohnakamura@gmail.com
コメントをお書きください