ISMS認証取得の必要性
この記事を書いている2009年1月5日のニュースでは、情報漏洩防止の啓発活動を行うべき情報処理推進機構(IPA)の職員のPCからWinny経由で電子データが流失した、との報道がありました。このようなネット経由での個人情報の流出、ホームページの改ざんといったニュースが、連日のように新聞やテレビで報道されています。
企業の情報資産、つまり経営機密情報、企業ノウハウ、製品情報などは、「脅威」にさらされているとともに、「脆弱性」も持っています。脅威とは、外部からの不正アクセスによる改ざん・流出、システムの突然のダウン、意図的な外部漏洩、災害による喪失などを指します。脆弱性とは、情報へのアクセス管理不備、インターネットからのアクセスの容易性、防災対策の不備などのことです。
ISMSは、このようなリスクへの対応はもちろん、組織の情報価値や利用性を高めることを効果的かつ効率的にマネジメントするものです。まさに情報セキュリティ対策を講じることが不可欠となってきた状況の中で、ISMSの認証取得が奨励されています。
日本品質保証機構(JQA)の調査によると、「個人情報取扱事業」「情報ネットワーク運営事業」と「電子取引関係事業」においては、約9割の担当者がISMS認証取得は不可欠又は望ましいと考えています。
また、ISMS認証は企業の自主判断により取得されるものですが、国や自治体において、各種認定制度や入札条件などでISMSの認証取得を条件にしているケースもあります。今後は、プライバシーマークや情報セキュリティ監査などと併せて、入札や取引上の条件として考慮させる方向にあるといえます。