お役立ち情報 グループ会社全体で効率的にセキュリティルールを構築するには?
はじめに
グループ会社とともに事業を推進する企業も多く存在します。セキュリティルールの構築方法は、グループ会社で統一ルールを定めている場合もあれば、グループ会社それぞれで異なるルールを定めている場合もあります。グループ会社でルールが異なる場合、例えば次のような課題が発生する可能性があります。
- 情報を共有する際の手段が異なり(メールに添付、クラウドストレージでファイル共有など)、効率が悪くなってしまう
- 情報の削除・廃棄方法が異なり、いつもと異なる対応を依頼するケースが発生してしまう
- 共同で管理している情報資産に関するインシデントへの対応を検討しようとした際に、現状が異なるため、望ましい対応方針に齟齬が生まれる
またグループ会社のうち1社が、自社のセキュリティ体制整備のためにISMS認証を取得した場合、利用者からお預かりする情報資産の管理について、共同利用するグループ会社でもISMS認証を取得することが取引先から要求される場合もあります。
グループ会社内でセキュリティルールを統一することで、対応の効率化を図ることが出来ます。そのために、グループ会社全体でISMS認証を取得するのも有効な手段のひとつです。委託を受ける情報資産の管理についてセキュリティレベルの担保を強調できるなど、他社との差別化ポイントとして訴求することが可能となります。
今回は、グループ会社でISMSを構築するメリットと注意点について見ていきましょう。
グループ会社でISMSを構築するメリット
グループ会社全体でISMS認証を取得すると、例えば次のようなメリットがあります。
- グループ全体で共通のセキュリティルールおよびマネジメントシステムを構築できる
- グループ会社同士で業務を委託したり、情報資産を提供・共同利用する際に、セキュリティレベルを担保できる
- グループ会社同士で事例(改善の機会)を共有でき、セキュリティレベルを向上させられる
グループ全体で共通のセキュリティルールおよびマネジメントシステムを構築できる
グループ会社といえど、「行っている事業・業務が異なる」「グループ会社になった経緯が異なる」等の要因により、セキュリティに関するルールが異なる事例の方が多いかと思います。また、具体的なセキュリティのルール(対策)とあわせて、それをマネジメントする仕組み(マネジメントシステム)も異なることが一般的です。
グループ会社でISMSを構築(認証を取得)するということは、「共通のマネジメントシステムを構築する」ということです。グループ会社全体でISMS認証を取得した場合でも、セキュリティルールについては必要に応じて企業特有のルールがあっても問題ありませんが、基盤となるマネジメントシステムは統一する必要があります。
マネジメントシステムを統一することで、特に親会社の立場からすると「グループ会社全体のセキュリティを一括でマネジメントできる」点が大きなメリットになります。
グループ会社同士で業務を委託したり、情報資産を提供・共同利用する際に、セキュリティレベルを担保できる
利用者からお預かりした情報資産(たとえば利用者の個人情報)をグループ会社で共同利用したり、委託するような事例も多いかと思います。
上記事例において、委託先管理の観点でセキュリティを担保する必要があることは、昨今では認知が高まってきています。たとえ情報資産の預け先がグループ会社や関連会社であったとしても、預け先のセキュリティルールが自社と異なる場合には、これを把握し、必要に応じて「調査」・「定期の見直し」を行う必要があります。
グループ会社でISMSを構築していれば、一度把握・確認したルールを変更する際には共有される仕組みを構築できます。また、共通の様式やツールを利用することにより、情報の共有もスムーズに行うことができます。
他にもリスクを受容するレベルを統一できるなど、「セキュリティレベルを担保できる」体制を構築できるというメリットが得られます。
グループ会社同士で事例(改善の機会)を共有でき、セキュリティレベルを向上させられる
ISMSの基本は、PDCAサイクルを回し、改善を繰り返すことにあります。「完璧なセキュリティ」などは存在しないと考え、常に改善できる機会を発見できる仕組みを構築し、運用していくことが重要です。
グループ会社でISMSを構築した場合には、上記のような「改善できる機会」を共有できることもメリットの1つとなり得ます。たとえば、子会社の従業員が「重大な情報漏えいに繋がるようなヒヤリハット」を起こしてしまった場合にも、共通のマネジメントシステムを構築していれば、このヒヤリハットから学んだ改善策をいち早くグループ会社で共有し、対策することが可能となります。
他にも、定期的に相互に内部監査をすることで、「実は共通のルールだと思って運用していたセキュリティルールが、企業や従業員によって解釈が少し異なっていた」といったような事態を発見することに繋がるかもしれません。いずれの場合にも、基盤となる共通のマネジメントシステムを構築していればこそ、改善の機会を発見できるということが言えます。
グループ会社でISMSを構築する際の注意点
1社のみでISMSを構築する場合と比較して、グループ会社全体でのISMS構築を検討する段階で把握しておきたい事項を3点紹介します。
グループ会社全体でMSを構築する必要がある
先述した通り、グループ会社でISMSを構築・取得する場合には、共通のマネジメントシステムを構築する必要があります。現状のグループ会社間でどのように連携が行われているかにもよりますが、当然一定の連携を行う体制を構築する必要が出てきます。
たとえば、既に独自のマネジメントシステムを構築している企業が1社でもある場合には、これを変更する必要が出てくる可能性が高いです。また、構築後の運用を見据えると、定期的に各企業の担当者でISMSに関する打ち合わせを設定する必要もあるでしょう。
メリットと同時に複数社で共通のマネジメントシステムを構築・運用しようとする場合に発生する工数も想定しておきましょう。
グループ会社の状況を把握する必要がある
マネジメントシステムを構築する段階での、各社の状況を把握することが最初のハードルとなり得ます。特に具体的なセキュリティルールについては、「どのようなルールがあるか」を効率的に把握する方法に頭を悩まされている担当者の方もいるのではないでしょうか。
規格に準拠するようにISMSを構築する過程で、網羅的に現状把握ができることはメリットの1つとも言えるかもしれません。まずはISMSの「管理策」と呼ばれる、リスク対策のフレームワークに沿って、現状を把握・見える化することが重要です。
グループ会社への展開方法を検討する必要がある
現状を把握し、「どのような対策を実施していくのか」を検討した後には、「決定した事項等をどのように展開していくか」といった点が課題になってくることでしょう。ISMS運用を含めたセキュリティ対策においては、各企業で働く従業員の方にいかに「共通認識」や「同水準の意識」を持ってもらえるか、ということも重要です。
新設されたルールを周知することはもちろん、継続的にセキュリティ意識が向上できるような取り組みも必要となります。また、構築段階から共通の様式・ツールで記録を作成する手順・段取り等も検討する必要があります。
まとめ
今回は、グループ会社全体での効率的なセキュリティルール構築をテーマに、グループ会社でISMSを構築するメリットおよび注意点を紹介しました。
グループ会社で構築・取得するかを問わず、企業がISMS・セキュリティルールを構築する際には、「企業にあったISMS・セキュリティルール」を構築することが重要です。組織の状況によって、最適なルールや体制構築の手段は異なります。
LRM株式会社では、ISMS/ISO27001認証取得コンサルティングをはじめとした情報セキュリティ体制構築支援を行っています。高い専門性と豊富な実績をもとに、各組織の実態に合わせたルール・運用を提案し、社内に浸透しやすい「現場で活きるセキュリティ」を提供します。ISMS認証取得をご検討されている方や自社の情報セキュリティ運用にお悩みの方は、お気軽にご相談ください。