ISMSの審査登録機関の認定取り消し

呉井嬢次(Johji Kurei) 2005-07-13 15:06:00

 財団法人日本情報処理開発境界(JIPDEC)が運営する情報セキュリティマネジメントシステム(ISMS)適合性評価制度による認証取得事業者数が950事業者を突破した。その一方で、ISMSの登録審査を行う審査登録機関が認定を取り消される事態が発生した。認定を取り消されたのは、株式会社エヌ・ティ・ティ エムイー(NTT-ME)で、2003年9月5日にJIPDECによって9番目に登録機関としては認定された。それから2年経たない間に、登録機関数は19機関に増えた。今年中にも登場する予定の情報セキュリティマネジメントシステムISO27001、ITサービスの国際化など情報システム市場の拡大を目前に、なぜNTT-MEは、認証取り消し(JIPDECのホームページでは「取り消し」と公表されている)となったのだろうか。

審査登録機関の認証取り消しの影響

 審査登録機関が認定取り消しとなったところで、既にISMS認証取得している事業者には全く影響ないとは限らない。もし取り消しとなった登録機関によって審査が行われ、ISMS認証登録されていれば、一定期間後にその認証は無効となる。よって、認証取得事業者は、代わりの登録機関を探し、移行審査を受けることになる。なぜなら、認定機関(ISMSの場合はJIPDEC)は、審査登録機関に対して認証を行っており、ISMS認定取得した事業者に直接審査を行っているわけではない。

  認定機関(JIPDEC) −> 審査登録機関 −> 認証取得事業者

 ISMSの認証取得を目指す企業は、自社のISMSを構築し、認証取得のための審査に備える。だが、審査登録機関の選択は安易に決めている。審査料金、審査機関の規模や知名度から選ぶ企業が多く、審査登録機関がかかえる事情や審査リスクまで考慮していない。自社のリスク評価を行っても、審査機関に対するリスク評価を行わないことは、愚かなことだ。このため、審査を受けた審査登録機関が認証取り消しになってから、慌てることになる。

審査登録機関の抱えるリスクは、ISMSだけではない

 審査登録機関の抱えるリスクは、ISMSだけではない。最近個人情報の管理で知られているプライバシーマーク制度や、品質や環境といったISOに対しても同様に審査リスクが存在する。例えば、ISO14000などで知られる環境の審査機関である株式会社日本環境認証機構では、認定機関である財団法人日本適合性認定協会は、今年6月29日付で、認定停止となった期間中に登録をうけた登録証の無効をホームページで公開している。

 認定の一時停止期間中の株式会社日本環境認証機構で審査登録された組織の皆様へ
 http://www.jab.or.jp/news/qs/topix_2005/qs_20050630_2.html

このような事態にならないよう、審査登録機関を慎重に選ぶ必要がある。

審査登録機関を選ぶポイントは何処か

 基本は、トラブルを起こしていない審査登録機関を選ぶこと。そして、信頼を裏切らない独自の倫理ルールを厳密に保っている機関を選ぶことだ。認定機関が定めた基準だけを守っていれば、それは基準の最低ラインを保っているに過ぎない。自ら厳しいルールを定めていれば、顧客にも迷惑をかけることはない。

 最近の傾向として、コンサルティングを行っている企業が審査登録機関を兼ねることを禁止する動きがある。自らコンサルティングを行い、一方で審査を行うなんてマッチポンプな商売は許されない、という訳だ。もし、そのような審査登録機関があれば、注意した方がよいだろう。ここで注意したいのは、審査登録機関は表向きコンサルティングをやってはいけないことになっている。しかし、表に出ない形でコンサルティングを行っている可能性があるので、この点に注意しておけば選択を誤ることを防ぐことができる。

 ただ、現実には、認証取得という形だけを欲しい企業も少なくない。またある情報セキュリティーのユーザーズグループは、審査の甘い審査機関をマスコミの取材で話している。著者は取材した記者からその事実を確認している。その結果として、審査の甘い審査登録機関には、多くの審査の申し込みが集まる現象が起きている。本当に情報セキュリティーを確保するなら、甘い審査機関ではなく、厳正に審査を行っている審査登録機関を取材で明らかにするのが良いだろう。万が一、審査登録機関が認定取り消しになってから、慌てるのは、一生懸命にISMS活動を行っている事業者になるのだから。経営陣を巻き込む認証取得において、審査登録機関の都合で不必要な出費(移行審査料金)をすることになった場合、ISMSの責任者は当然、その責任を問われるだろう(事実、異動&退職した責任者もいる)。これだって、立派なセキュリティー対策だ。優秀なコンサルタントなら、そこまでアドバイスをしているかもしれないが。

 株式会社エヌ・ティ・ティ エムイーの報道資料
  「情報セキュリティマネジメントシステム(ISMS)審査登録機関として
 JIPDECよりNTT-MEマネジメントシステム審査登録センタが認定を取得」
   http://www.ntt-me.co.jp/news/news2003/nws030917.htm

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • 【3/31まで早期割引受付中!】「IBM Watson Summit 2017」開催

    日本IBMが主催する最大の国内総合イベント。テクノロジー・リーダーの疑問を紐解く「企業IT、セキュリティー、モバイル、データ解析などの進化を探る」詳細はこちらから!