「ISMSは意味がない」という意見を耳にすることがあります。しかし、実際は「ISMSは意味がない」のではなく、ISO27001認証維持のためだけにISMSを運用していると、非効率で負担だけが増え、意味の無い活動になってしまっているケースが多いです。
INDEX
ISMSの担当者の方の中には「ISMS運用は意味を持たないのでは?」と考えたことのある方がいらっしゃるかもしれません。
実際に、ISMSを認証したものの認証継続を取り止めている企業も、一定数存在します。
なぜISMS認証を「意味がない」と感じてしまうのでしょうか。
構築したISMSが上手く機能していないと、情報セキュリティが改善されている実感が無く、ただ時間と労力だけが消費されているように感じてしまうでしょう。
具体的なケースを挙げてみます。
単にISO27001認証を維持するためだけに運用されている場合、実際のセキュリティ向上やリスク管理に対する効果が薄れ、形式的なものになりがちです。
実質的なセキュリティ強化が見込めず、「意味がない」と感じる原因になります。
ISMSの運用において、その組織の実態や規模に見合った運用になっていないケースがあります。
ルールを作りすぎて実際の業務がやりにくくなってしまったり、文書が増えすぎてどこに何が書いてあるのか分からない、別の文書とダブルスタンダードになってしまっているなどです。
これが業務の効率を下げ、負担となることで、実用性が低いと感じられることがあります。
ISMSの効果は、組織内の全員が適切な情報セキュリティの知識と意識を持っていることが前提です。
この部分が欠けていると、システムの有効性が低下し、「意味がない」との評価につながることがあります。
逆を言えば、自社に合ったISMSを構築・運用できれば、ISMSは企業活動に大きく寄与するものとなります。
実際に、ISMSを取得する企業は増加しています。企業がISMSを取得する理由は主に3点あります。
ISMS認証を維持するためには、年に一度ISOが定めた情報セキュリティ要求事項に沿って運用ができているか、第三者機関による審査に合格する必要があります。
情報セキュリティ要求事項は、様々な視点からのセキュリティリスクに対する規範が設定されているため、要求事項を網羅すれば一定水準以上のセキュリティが備わっていると判断できます。
そして、審査を受ける必要があることから継続した取り組みが必要となり、また第三者からの視点から評価をしてもらうことで継続的にセキュリティ水準を高めていくことができます。
自治体などの官公庁から業務を受注するためには入札に参加する必要があります。自治体によって様々ですが、入札参加資格としてISMSが必要となったり、ISMS認証が入札の加点となるケースがあります。
自治体に関わらず、大手企業と取引するためにはISMS認証が必須条件となることもあります。
相手からしても取引先を選定する際には、国際規格であるISMSを認証している企業の方が認証していない企業よりも安心出来るのではないでしょうか。
このように取引先の幅を広げるためにISMSを認証する企業もあります。
会社としては情報セキュリティを強化したいけど、従業員の当事者意識が低くてセキュリティ意識が浸透しないと感じられている経営者・担当者様も多いのではないでしょうか。
事実、個人情報漏洩などの漏洩事故の半数以上が人為的なミスによるものです。
ISMS認証の為には従業員へのセキュリティ教育を毎年必ず実施する必要があります。
その他にも内部監査といって各部門でセキュリティルールがしっかりと遵守されているか定期的に社内で監査することで、従業者のセキュリティに対する意識付けを図ることができます。
こうした社員の情報セキュリティに関する意識向上のためISMSを認証する企業もあります。
前章で説明した理由に加え、情報漏洩などの問題が会社に大きな影響を与えるようになった昨今では、情報セキュリティの重要性が高まり、結果としてISO27001を取得する企業は年々増加しています。
ISMSを管轄する「情報マネジメントシステム認証センター」によると、2024年4月1日現在のISO27001取得企業登録数は7,725社とされています。
実際にISO27001の取得を公表している企業は7,320社となっています。
ISO27001の取得企業数はこの20年間ほどで著しく増加しています。
同センターが公表しているISMS認証登録数の推移では、2002年では144社だった取得企業数は、2022年には7,027社となり7,000社を突破しました。
そして2022年から現在(2023年4月)の約1年4カ月で約700社もの企業がISMS認証をしたことが分かります。
これらの推移から情報セキュリティの重要度の高まりを確認できます。
この取得企業数の増加傾向から、新規取得を目指す企業が多いだけではなく、取得後も更新し続けている企業が多いことが伺えます。
更新には費用などがかかることから、ISO27001の取得による効果を実感できていることが予測できます。
では、ISMS認証取得後に意味がないと言われないためにはどうすればよいのでしょうか?
対策には、3つのポイントがあります。
ISMS認証を目指す上で重要な点として、「ISMSのためだけのルールを作らない」ということです。
ISMSを認証するために新たにルールを作っていくと、付け焼刃のようなもので結局工数だけがかかり、自分たちの首を絞めてしまっていることが多いです。
もちろん社内の情報セキュリティを高めるために、新たな取り組みを行うことも必要ですが、最初から背伸びをしすぎてしまうと結局意味のないものになってしまいます。
そうならないために、現状の会社のルールを洗い出し、そのルールをISMSにあてはめていくという方法が効果的です。
例えば、事務所の鍵はどのように管理しているのか?機密書類はどこに保管しているか?などの会社のルールを洗い出すことで、それがそのままISMSのルールとして使うことができます。
このように現状把握をし、ISMS要求事項と照らし合わせることで判明した、ISMSと自社のセキュリティルールのギャップが会社のセキュリティ課題の一つとなります。
このギャップに対して優先順位を決め、計画を立てて一つ一つ改善していくことで、自社のセキュリティレベルは確実に上がっていくでしょう。
「社内でISMS取得のメリットを理解する」ということもISMS認証を継続する上で重要です。
主なメリットは「2.企業がISMSを取得する3つの理由」で紹介しましたが、これらのメリットがISMS認証をするために必要な作業負担やコストよりも大きいかを検討してから取得に踏み切るのが良いでしょう。
最後に、「ISMS取得運用の作業を効率化」することです。
ISMS認証をすることによるメリットは大きいですが、審査のために書類を準備したり、必要な記録を作るなどの作業工数は必ず発生します。
そうした非生産活動の部分を弊社のような外部コンサルに任せたり、専用ツールなどを用いることで従業員にかかる時間や負担を大幅に減らすことが可能です。
ISMS認証を意味のあるものにするためには、はじめのISMS構築方法が大きく影響してきます。
とはいってもISMS認証をするために、独学で勉強をして悩みながらやっとISMSを構築しても、正解が分からないために運用しづらいシステムになってしまいがちです。
大切なことは、ISMSのためのルールを作るのではなく、現状把握をして自社のルールをそのままISMSのルールにあてはめていくことです。
取得後も意味のあるISMS認証とするため、一度専門家に相談してみるのもいいでしょう。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。