- 2007-7-1
- eこってニュース
いつも困るのが当社の業務内容は情報管理のコンサルというなかなか理解していただけない会社だということです。
以前は書類で事務所が溢れている会社から「何とかしてくれ」と相談を受けて、その会社用に文書管理のルールを作成して、大事な書類をきちんと管理する方法を提案したり、不要書類の廃棄や倉庫に送り込んだりして事務所の執務環境に貢献する感じでした。
ところが、今は企業の業務手順を分析し、紙であろうと電子であろうと情報の流れを見直し、情報共有によるレスポンス向上とコストダウンで業務効率をあげ、企業競争力向上を目的とするニーズが増えてきました。
最近は日本版SOX法が成立したことにより内部統制ルールの作成などで益々うちのニーズが増えるのではないかと皮算用をしていますがどうなることやら・・・
しかし、ちまたで新聞を賑わしているのはSOX法なんたらではなくファイル交換ソフトを始めとした情報漏洩のニュースばかり。
当社も情報を取り扱う専門会社なので対策に本腰を入れています。
Pマークは2年前に取得していましたが、昨年からISO27001も取得するために頑張りました。でもPマークの知名度は高いですが、ISO27001ってまだまだマイナ-ですよね。
ISO27001は「情報セキュリティ・マネジメント・システム」または「ISMS(Information Security Management System)」とも呼ばれ、2005年に情報セキュリティ管理の世界標準として規格化されたばかりのISOです。
Pマークとの違いは、Pマークが個人情報に特化しているのに対し、ISO27001は情報全ての管理という広範囲な対象となっています。
当社みたいに他社の情報を取り扱う会社ではISO27001がそのものズバリなのですがあまりにも新しい規格なので認知度がイマイチ低いというのが残念なところです。
このISO27001を取得するまでが大変でした(体感的にはPマークの10倍くらいでしょうか)。
まず管理する情報を定義するために会社のすべての情報を「情報資産」として洗い出しました。
会社で作成したり他社とやりとりした書類はすべて対象ですので宅配の伝票までリストアップします。
もちろん電子データも同様で、メールから空のフロッピーディスクなどの未使用メディアまですべて管理対象です。
しかし1件ずつあげていたらきりがないのである程度の種類別にまとめるのですが、この切り口が情報の重要度、公開範囲、保管場所、など様々な要因で判断してリスクの違いによって分類するため、事業所が数百キロも離れている全員の認識を統一するのが大変でした。
次にすべての情報資産に管理者を決めて種類別にリスク分析とリスク対策計画を作成します。
当然ISOなのでエビデンス(客観的な実施記録)が必要となります。中には業務の性格上実施が難しいものやセキュリティ対策で数百万円もかかるものがいくつもでてくる始末。
その場合は解決するまで経営者がそのリスクを負うことになります。経営者は大変ですが、要するに、セキュリティ対策で会社がつぶれてしまっては本末転倒なので、限りある経営資源を的確に配分して業務の実施とセキュリティ対策をバランスよく行い、残ったリスクは危険性を認識しつつ業務を実施するということですね。
規格の用語は専門的でわかりにくいですが、よく理解すると実際は法外な要求はしていませんし、結局はリスクへの対処ができていて、その記録がきちんと残っていれば管理ができているということになります。
私は柏崎にある支社のISMS推進担当として、調整や情報交換で多いときには週に2回も本社に出張して対応しました。
情報資産の洗い出しからリスク分析とその対策まで全工程をやって思ったのが・・・これってうちの仕事と同じジャン(^^;
業務効率目的で分析するか、セキュリティ目的で分析するかの違いだけで、見方を変えると非常に興味深い作業でした。
でも、ルールを作った後、それを維持するのが大変というところまで同じなのは正直勘弁して欲しかったです。
最後に手前味噌になりますが、今回ISO27001を取得するにあたりうちの某TOPが訓示として「ISOをとることが目的ではない。お客様から預かった大切な情報を安全確実に管理するための手法のひとつとしてISMSを採用した。」と明言したときは素直に納得しました。
東京レコードマネジメント(株) 神林 良人
