コンサルティングの現場から~7:「経営者視点で取るならPマーク?ISO27001?」
2016.07.17
今回は、同じISO規格の中で、経営者の方からの相談が多い「情報セキュリティ規格」について、ご案内したいと思います。
情報セキュリティ規格の取得検討において、経営者の方から特に質問、ご相談が多いのが、タイトルになるように「プライバシーマーク(以下、Pマーク)とISO27001、我が社には、どちらを取る方が有効なのか?」という質問です。
経営者の誤解の源泉は?
PマークとISO27001の比較表
左記の図表に簡単に2つの規格の比較表を見ていただくと、大まかにその違いを感じ取っていただけると思います。
規格を選ぶ最適尺度があるのか?
我々がまず確認するのは「何のために取得されますか?」という目的と「取得してどんな体制・会社にしたいですか?」というGOAL感の2点です。この2つの質問の回答内容によって、推奨する規格が変わってきます。
2つの規格を検討されている経営者の方に「何のために取得されますか?」と問えば、「情報セキュリティ対策のため」と答えがかえってくるでしょう。情報セキュリティとは何か?と言えば、その多くが「情報漏えい」ということになると思います。
では、どんな情報が漏洩するのを防ぎたいですか?という次の質問に対する回答で、PマークがよいかISO27001がよいかが大きく分かれます。
つまり、自社で取り扱っている情報で漏洩したら困るのは「個人情報のみ」か、それとも「情報資産全般」かで、取るべき規格が大別されます。【図表1の②守備範囲】
次に検討する項目としては、「どこの認証の主体として認証を取得するか」です。 Pマークは、法人単位での取得になるので、事業所や営業所、店舗が数箇所、数十箇所あれば、そのすべての拠点で、Pマークで構築したルールを運用する必要がありますが、ISO27001に関しては、事業所単位、部署単位で認証取得をすることが可能です。
つまり、重要な情報資産が集積する本社だけで取るとか、システム部だけで取るということも可能です。この場合の利点としては、集中した仕組みづくりの実行や、重点的にセキュリティ教育を実施できたりなどの構築・運用面のメリットが挙げられます。
私が所属する帝国データバンク産業調査部でも部署単位でISO27001を取得し、運用しています。部署単位で取得した理由は、コンサルティングでお預かりした情報、知りえた情報を信用調査報告書に反映させないよう厳密な社内ファイヤーウォール(情報障壁)を構築し、厳密な情報管理を徹底するためであり、また中央官庁や地方自治体からの委託業務への入札要件として求められるためでもあります。【図表1の③認証単位】
他に検討されるとすれば、「コスト面」になると思います。導入費用で考えるとISO27001よりPマークの方が構築費用は安いです。維持費用で考えても1年に1度審査のあるISO27001よりも2年に1回のPマークの方が費用を抑えることができます。
しかし、単純に費用面だけで「では、うちはPマークで」と判断されるのはお勧めいたしません。本当に「経営に役立つ仕組み」として情報セキュリティとして導入を検討されているのであれば、審査頻度1つとっても、「年に1回審査を受けるのは煩雑だから、2年に1回のPマークの方が楽でいいや」と捉えるか「外部のチェックが年に1回入る緊張感は、運用を定着させるのに必要だ」と捉えるかは、経営者の方がどこを見て、経営されているかで受け取り方が変わってくると思います。【図表1の④審査頻度、⑥コスト】
守備範囲と構築プロセスから検討してみると
ここでいう「情報資産」とは、個人情報だけではなく、取引先との契約情報や金銭的な口座情報、会社の事業戦略や取引先の顧客情報など、事業を展開するうえで必要な会社を取り巻く情報が該当します。つまり、ISO27001で取り扱う情報セキュリティは経営に直結する情報全般を取り扱うだけに、日々の業務プロセスと密接に関連してきます。
一方Pマークは、誤解を恐れず平たく言えば、そのような全般的な情報資産の流れから個人情報に該当するところのみを選択・抽出して管理する仕組みを構築するものです。この「個人情報に該当するところのみ」が管理対象であるため、ISO27001に比べて、「全社的な視点」や「業務プロセス全体を俯瞰する」という効果は薄いと考えられます。
水(情報)は低いところから流れていく
図表2にある2つの樽の図を見ていただくと分かりやすいと思いますが、情報資産とは、まさに樽の中の水であり、側壁が一番低いところから水が流れるように、企業の情報セキュリティの水準は、企業が対策を講じている部分の一番低いところに引っ張られるという特徴を持っています。
そこで、ISO27001の求める規格水準を枠組みとして、企業が管理すべき情報資産を洗い出し、そのリスクが持つ影響度を分析し、当該資産について取るべき対策を講じる。それの活動を検証し、改善策を検討・実施していく。それをさらに毎年同様のプロセスを毎年反復させながら、年に1回外部のチェック(審査)を受けていくという活動が自社の情報セキュリティ水準を高めることになります。
これによって、「側壁が一番低いところ」が引き上がり、運用を通じて「社員のセキュリティ意識」が高まれば、情報漏えいリスクは低減させることができるはずです。
経営視点で選ぶなら結局どっち?
ただし、金銭的な余裕がないため場合などは、低コストのPマークを選択されることを否定はしません。当然、何も規格がないよりはPマークがあった方がよいと思います。
また、Pマークを通じてセキュリティ教育を社員に実施するということであれば、「会社のセキュリティ水準を一段向上させる」という意味においては、効果があると思います。
なぜならば、どんな高度な仕組みを構築してもそれを運用するのが人である以上、社員の「セキュリティ意識の向上」に勝る対策はないと思います。世のセキュリティ事故の9割は「社内人材」が起こすものであり、外部からのハッキングなどで奪取されるような事例は意外に少ないのです。(当然ですが、外部進入に対する対策は必要です)
仕組み×セキュリティ意識=情報セキュリティ水準
その点を明確にされたうえで、ご相談いただければ、規格選択のサポートは帝国データバンクがさせていただきます。今回、文章にはできなかった検討・判断要素などもありますので、お気軽に最寄りのTDB支店までお問い合わせください。
次回テーマは、「社長の“独壇場”から卒業するための中小企業の会議術」です。
