【第6回】攻めのISOはビジネスチャンスを広げる
BSIジャパンが促進する情報セキュリティとIT運用のフレームワーク

内部統制整備に向け、情報セキュリティマネジメントシステムの有効性が改めて注目され始めている。国際的な認証市場で最も長い歴史を持つBSI（英国規格協会）グループのBSIジャパンは、この分野における国際規格であるISO/IEC27001(JISQ27001)(以下ISO27001と略す)と、ITサービスマネジメントシステムのISO/IEC20000(以下ISO20000と略す)のセットによる活用が有効な対策だと提案する。「IT部門が日本版SOX法を乗り切るためのポイント」の5回目となる今回は、この2つのマネジメントシステムが、どのように日本版SOX法対応で役立つかについてを見ていくことにする。

情報セキュリティとITサービスのセット認証を推奨

　1901年に英国の貿易産業省の支援を受けて設立されたBSIは、現在110カ国以上でシステム認証、製品認証、製品検査、教育セミナーなどのサービスを行なっている認証機関である。ISO9001（品質マネジメントシステム）のベースとなったBS5750や、ISO14001（環境マネジメントシステム）のベースのBS7750など、BSIが発行した規格の95%が国際規格のISOとして採用されている。またBSIは、国家規格協会の立場で、ISO27001やOHSAS18001（労働安全衛生システム審査規格）、ISO20000、CSR（企業の社会的責任）等の最新情報をタイムリーに提供している。

　そのBSIグループの中で、マネジメントシステム認証審査およびトレーニングサービスを提供するBSIジャパンでは、2009年3月に施行される日本版SOX法に対して、ISO27001と、その実現を支えるISO20000のセットによる認証登録が有効な対策になると推奨している。

　その裏付けとなるのが、実際の問い合わせや認証取得に向けた企業の動きの加速である。2005年の個人情報保護法完全施行を境に、ISMS認証やPマーク取得の動きが爆発的に増加した。その個人情報保護法対策への勢いが一段落した今年、日本版SOX法が大きな話題になることで、IS027001への注目度が高まり、BISジャパンに問い合わせが相次いでいる状況だという。

ビーエスアイジャパン株式会社
営業部　営業マネージャー
鎌苅 隆志氏

同社の営業部で営業マネージャーを務める鎌苅隆志氏は、「内部統制に対応するために、ISO27001を取得する動きが活発になっています。2006年2月末現在での累計取得件数は500件程度だったものが、6月末時点では700件に達するなど、この認証取得へのメリットに企業が注目し始めています。」と分析する。

　例えば、業務システムや部門が扱う営業の入金情報や売上情報を正確に、確実かつ迅速に取り扱うことはCOSOが唱える業務の効率化でありまた、その取り扱う過程で粉飾決算をおこすリスクが生まれる訳で、情報に対する物理的なアクセスと論理的アクセスを、業務効率を落とすことなくコントロールすることがISO27001をベースとしたマネジメントシステムで扱うことが最大のメリットである。
財務情報をより効率的により安全に扱うための各種ツールが用いられるケースも増えてきている。ISO27001では、そのツールの安全性を確保することも意図している。

ISO27001がアウトソース先を選定する基準となる

　「現在、ISO27001を取得するのは大企業から中小企業にまで至りますが、日本版SOX法が対象となる上場企業は、その適用範囲を財務情報の管理まで拡大しようとしています。つまり、これまで特定の部門のみ認証登録していたものを、全社の内部統制確立の目的で他の部門まで広げるケースです。また、新規で審査を希望する企業の場合は、日本版SOX法対象外であっても、取引先から内部統制対応の必要を迫られている事情があります。ビジネスで付き合う以上、内部統制が不完全な企業は、取引上のリスクになるからと除外されてしまいます」と鎌苅氏は現在のトレンドを語る。

　特に、後者のケースなどは増加する傾向にあるという。財務情報の処理をアウトソースしている場合、その管理責任は依頼元の企業にある。アウトソースの管理の重要性が着目されてきたからだ。今後は、ISO27001がアウトソース先を選定する基準の一つになりえるのではないかと鎌苅氏は考えている。また、そのアウトソース先でのマネジメントのツールとしてISO20000が注目されている。

　2004年12月に、日本で初めてISO20000の認証を交付して以来、現在までの登録はまだ4社程度だが、今年の12月までには同社だけで9社が登録し、合計13社が認証企業となる予定だ。

　ここで気になるのは、どこまでやれば認証が取れるのかという問題である。セキュリティに莫大な費用をかけ、ガチガチに固めればいいのかというと、それで完全ということはあり得ない。しかも固めれば固めるほどそれを維持する事が難しくなり、破綻してしまう。鎌苅氏は、「費用をかけ重厚長大な仕組みになりがちな認証のあり方は企業の成長を止めてしまう」と釘を刺す。「情報セキュリティマネジメントとは、企業側が自らリスクを考えなければならないことなのです。例えば、ある部門に関してリスクが少なく追加の対策を施さなくても事業上の影響が殆ど無い場合もあれば、機密情報がある部門では、入退出管理を厳格に施すことが重要な管理である場合もある。このようなメリハリをつけることが重要です」と警告している。

　このように、組織の中にどのようなリスクが存在しているか、正しく認識した上で、重大と考えられるリスクに対応していることが重要である。しかし、最初から完全なマネジメントシステムを構築することは困難です。そのため、1年、2年とPDCAを回し、使いやすい仕組みに仕上げていくことがなくてはなりません。「組織の中にマネジメントシステムのPDCAが存在し、かつ気が付いた問題を自ら対応し継続的に改善する仕組みになっていることがマネジメントシステムの基本です。」（鎌苅氏）