ISMS認証の審査が日本で行われるようになった2002年から16年が経ち、ISMS認証を取得している企業は2018年5月18日時点で5,575社となりました。
この数字自体は、国税庁の平成27年度調査によって発表されている「日本法人数:264万社」と比較すると、まだまだ小さいものだと感じるかと思います。*[1]
[1] 平成27年度分「会社標本調査」調査結果について,国税庁
しかし、少ない一方で、ISMS認証を取得している企業が年々増え続けているという結果もあります。*[2]
[2] 認証取得組織数推移、認証機関別・県別認証取得組織数, JIPDEC
ISMS認証を取得するための取り組みを始める「きっかけ」は様々ですが、多くの取り組みに係る社員の方は、上からの指示で取り組みを始めるに至ったという場合が多いのではないでしょうか。
本記事では、ISMSのことは全くわかっていない状態で取り組みを始める方に対して、認証を取得するメリットをご紹介したいと思います。
今まで見過ごしてきた問題点を解決するきっかけになる
ISMSを運用していく上で必要な取り組みの中に、「組織において情報資産や業務に対するリスクの洗い出しを実施する」というものがあります。
ここでは、今まで気づいていたけど対応に取り掛かれていなかった点や、無視してきた点、今まで気づかなかった点を問題点として明確に列挙することが可能です。
また、問題点を洗い出すだけではなく、解決策を考えたり、いつ実施するかなどの計画を立てることも求められています。
そのため、ISMS取得のための取り組みが問題を解決するきっかけとなります。
従業員の情報セキュリティに対する意識が上がる
組織の情報セキュリティを向上させるために作成したルールが存在するだけで社内周知されていなかったり、ISMSの運用に関わっている社員のみが情報セキュリティの重要性を理解していたりする状況では、組織の情報セキュリティが向上したとは言えません。
組織全体の情報セキュリティに対する意識を向上させるためには、組織に所属している全ての従業員の意識向上やルールの認識が必要となります。
なお、ISMSでは運用の取り組みとして、教育や内部監査の実施を求められています。
従業員は教育によって情報セキュリティに関する知識を蓄え、内部監査によってルール違反していないかチェックされることで、情報セキュリティに対する意識が高くなります。
また、従業員の意識が向上することで、お客様から信頼や安心を得やすくなります。
取引先などに情報セキュリティに対する意識の高さをアピールできる
ISMS認証を取得するためには認証機関によって認証される必要があります。
第三者の立場にある認証機関にISO/IEC27001に適合した運用を実施しているという認証(言うなればお墨付き)を頂けるということから、他企業に対して、「自社ではしっかりと情報セキュリティに対する取り組みを実施しています」というアピールが出来ます。
その結果、取引条件の対応において、アンケートや監査を受けるといった手間を省くことができます。
さいごに
ISMS認証を取得して運用するとなると、一番情報セキュリティに対する意識が高くなるのは運用を担っている担当者や責任者です。また、彼らは情報セキュリティについて詳しくなるだけではなく、社内にどんな部署があり、それぞれがどんな業務をおこなっているのかということにも詳しくなります。
組織において、責任者や管理者という立場にある役職の方が、社内のことを理解していなかったり、情報セキュリティに対する意識が低かったりと言った状況は、いささか問題となるのではと思います。
そのため、LRMのお客様のなかには、ISMS運用の取り組みに参加することを昇進のための通過点としている企業様もいらっしゃいます。
せっかくISMS認証を取得するのであれば、社内の人間がまんべんなく情報セキュリティに対する意識を高められるようにしたいですね。