ISMSの審査登録機関の認定取り消し
呉井嬢次(Johji Kurei) 2005-07-13 15:06:00
財団法人日本情報処理開発境界(JIPDEC)が運営する情報セキュリティマネジメントシステム(ISMS)適合性評価制度による認証取得事業者数が950事業者を突破した。その一方で、ISMSの登録審査を行う審査登録機関が認定を取り消される事態が発生した。認定を取り消されたのは、株式会社エヌ・ティ・ティ エムイー(NTT-ME)で、2003年9月5日にJIPDECによって9番目に登録機関としては認定された。それから2年経たない間に、登録機関数は19機関に増えた。今年中にも登場する予定の情報セキュリティマネジメントシステムISO27001、ITサービスの国際化など情報システム市場の拡大を目前に、なぜNTT-MEは、認証取り消し(JIPDECのホームページでは「取り消し」と公表されている)となったのだろうか。
審査登録機関の認証取り消しの影響
審査登録機関が認定取り消しとなったところで、既にISMS認証取得している事業者には全く影響ないとは限らない。もし取り消しとなった登録機関によって審査が行われ、ISMS認証登録されていれば、一定期間後にその認証は無効となる。よって、認証取得事業者は、代わりの登録機関を探し、移行審査を受けることになる。なぜなら、認定機関(ISMSの場合はJIPDEC)は、審査登録機関に対して認証を行っており、ISMS認定取得した事業者に直接審査を行っているわけではない。
認定機関(JIPDEC) −> 審査登録機関 −> 認証取得事業者
ISMSの認証取得を目指す企業は、自社のISMSを構築し、認証取得のための審査に備える。だが、審査登録機関の選択は安易に決めている。審査料金、審査機関の規模や知名度から選ぶ企業が多く、審査登録機関がかかえる事情や審査リスクまで考慮していない。自社のリスク評価を行っても、審査機関に対するリスク評価を行わないことは、愚かなことだ。このため、審査を受けた審査登録機関が認証取り消しになってから、慌てることになる。
審査登録機関の抱えるリスクは、ISMSだけではない
審査登録機関の抱えるリスクは、ISMSだけではない。最近個人情報の管理で知られているプライバシーマーク制度や、品質や環境といったISOに対しても同様に審査リスクが存在する。例えば、ISO14000などで知られる環境の審査機関である株式会社日本環境認証機構では、認定機関である財団法人日本適合性認定協会は、今年6月29日付で、認定停止となった期間中に登録をうけた登録証の無効をホームページで公開している。
認定の一時停止期間中の株式会社日本環境認証機構で審査登録された組織の皆様へ
http://www.jab.or.jp/news/qs/topix_2005/qs_20050630_2.html
このような事態にならないよう、審査登録機関を慎重に選ぶ必要がある。
審査登録機関を選ぶポイントは何処か
基本は、トラブルを起こしていない審査登録機関を選ぶこと。そして、信頼を裏切らない独自の倫理ルールを厳密に保っている機関を選ぶことだ。認定機関が定めた基準だけを守っていれば、それは基準の最低ラインを保っているに過ぎない。自ら厳しいルールを定めていれば、顧客にも迷惑をかけることはない。
最近の傾向として、コンサルティングを行っている企業が審査登録機関を兼ねることを禁止する動きがある。自らコンサルティングを行い、一方で審査を行うなんてマッチポンプな商売は許されない、という訳だ。もし、そのような審査登録機関があれば、注意した方がよいだろう。ここで注意したいのは、審査登録機関は表向きコンサルティングをやってはいけないことになっている。しかし、表に出ない形でコンサルティングを行っている可能性があるので、この点に注意しておけば選択を誤ることを防ぐことができる。
ただ、現実には、認証取得という形だけを欲しい企業も少なくない。またある情報セキュリティーのユーザーズグループは、審査の甘い審査機関をマスコミの取材で話している。著者は取材した記者からその事実を確認している。その結果として、審査の甘い審査登録機関には、多くの審査の申し込みが集まる現象が起きている。本当に情報セキュリティーを確保するなら、甘い審査機関ではなく、厳正に審査を行っている審査登録機関を取材で明らかにするのが良いだろう。万が一、審査登録機関が認定取り消しになってから、慌てるのは、一生懸命にISMS活動を行っている事業者になるのだから。経営陣を巻き込む認証取得において、審査登録機関の都合で不必要な出費(移行審査料金)をすることになった場合、ISMSの責任者は当然、その責任を問われるだろう(事実、異動&退職した責任者もいる)。これだって、立派なセキュリティー対策だ。優秀なコンサルタントなら、そこまでアドバイスをしているかもしれないが。
株式会社エヌ・ティ・ティ エムイーの報道資料
「情報セキュリティマネジメントシステム(ISMS)審査登録機関として
JIPDECよりNTT-MEマネジメントシステム審査登録センタが認定を取得」
http://www.ntt-me.co.jp/news/news2003/nws030917.htm
※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。
ピックアップコンテンツPR
-
勝ち残るIT活用--中堅中小企業の現場からタレントの江口ともみさんをレポーターに、
全国さまざまな業種の企業担当者に聞く! -
サイバー攻撃関連ニュースのまとめ特別企画:高度化するサイバー攻撃からビジネスを守る
~対策レポートや企業の製品動向をまとめ読み~
企画特集PR
-
2012年はDBサーバー統合始動の年!
仮想化の暗黒大陸を切り拓く
高次元のサーバー性能とHAクラスタリング -
「出入口」を固め、攻撃を防御する
従来の防御が使えない!?複合的手法による
脅威から企業システムを守るために -
HP 3PARがデータ急増時代を救う
「使いたい時、使いたいだけ」を実現
今年検討すべき理想のストレージを考える -
オープンソースで実現するクラウド
【セミナー】IBM、Red Hat、サイオス
リーディングカンパニー3社が語る最新動向 -
漫画で解説 クラウドのITリソース
管理者は、OS、仮想環境の混在に悩む
クラウド環境に必要な3つの運用サイクル -
クラウドサービスの事業戦略に迫る
「創世期」から「成長期」へ突入
国内ベンダーはどう「進化し続ける」のか? -
セキュアなリモートアクセス環境を
企業システムへの接続を安全、簡単にする
Juniper Networks MAGシリーズ -
非効率を一掃、仕事をスマートに!
コラボレーションを変えるクラウドサービス
-
組織力、現場力を高める情報共有!
ANAや商船三井など5社の事例で読み解く
-
アプリケーションサーバを最適化!
オープンソースの強みを発揮するJBoss
-
世界と戦うコミュニケーション環境
多様なボイスコミュニケーションを実現する
クラウド型プラットフォームとは? -
7万円台のウルトラブックも!
2012年春モデルの情報をいち早く掲載
HPのお得な情報や最新情報が満載 -
もはや神話な、クラウドの思い込み
よくある「5つの勘違い」の真実とは?
IT担当者必見の、目覚めの書を公開 -
満足な転職、不満足な転職
入社後の満足と不満足の分かれ目とは?!
納得いく転職をする為の転職活動での留意点
-
リリース
ヒューマンテクノロジーズの勤怠管理クラウドサービス「KING OF TIME」が国際化対応により海外で利用可能に!!
株式会社ヒューマンテクノロジーズ
-
イベント
『グループウェアーを Google Apps にリプレイス!』『Google Appsを使いたおす』(熊本3/30)
株式会社サテライトオフィス
-
企業ブログ
【EMC Tech Communityサイト】事例紹介 Vol.44 | 社内のファイルサーバを集約する統合ストレージとしてEMC VNXeシリーズを選択
EMCジャパン株式会社
ZDNet Japanは、情報システム部門の読者を対象に、ITを活用したビジネス課題の解決策を提供します。技術や製品の解説、ケーススタディ、ホワイトペーパーなどを通じて、情報システム部門の正しい意志決定を支援します。
ITビジネス全般については、CNET Japanをご覧ください。
