トップページ > コンサル > ISO・プライバシーマーク > 事例紹介

事例紹介

ISO27001事例 東京経済株式会社

~ISMS導入により信用調査会社として「信頼」アップを実現~

はじめに

東京経済は民間信用調査会社として企業情報を取り扱っています。これらの企業情報の中には機微なものが含まれている場合が多く、この情報の取り扱いにおいての「信頼」を どのように得るべきか?これがISO27001認証取得の大きなきっかけでした。

経営資源は「人、物、金、情報」といわれていますが、とりわけ情報はそれ自体が資産であり、 この情報に対する意識はここ数年、社会全体で高まる一方です。従前より情報に対してはしっかりとした管理を行ってきたものの、やはり第三者による客観的な認証を得ることが、 当社ビジネスの必須条件ではなかろうかと考え、ISO27001に沿った情報セキュリティマネジメントシステム(ISMS)を導入し認証取得に取り組むことを決めました。

認証概要

当社では、2007年1月27日、審査期間であるEQA国際認証センターからISO27001の認証を取得しています。ISMSの構築にあたっては、JISQ27002:2006 (ISO/IEC17799:2005)を引用規格としています。適用される業務は「調査、情報、出版、コンサルティング業務」です。
また当社では、北は仙台から南は沖縄まで28の支社、支店、支所を構えていますが、そのすべてが対象となっています。(図表1

ISMSの構築で、リスクアセスメント、各種教育、内部監査などを実施するにあたって、各部門の代表で構成される情報セキュリティ運営委員会と各拠点のシステム担当者が 中心になって進めてきました。
実際に取り組んでみて苦労したのは次の3点です。

  1. 第三者認証という外部評価への初めてのチャレンジ
  2. 全28拠点を対象にしたこと
  3. ISO27001の規格要求事項が発行直後で全容がわかりにくかったこと

ですが依頼したコンサルティング会社(株式会社システムコントラクション)との勉強会を月に2回実施し、キックオフから8ヶ月で認証取得まで漕ぎ着けています。 (図表2

情報セキュリティ基本方針について

当社の情報セキュリティ基本方針では、「あらゆる情報サービスの提供により企業の健全な発展に貢献する」という理念をベースに、以下の内容を社長である越智英雄自らコミットし、2006年6月1日に制定、公表しています。

  1. 調査というプロセスで考えられるさまざまな情報セキュリティに対する脅威に大して当社の情報資産を保護し、安定した業務を推進すること。
  2. 保有する情報資産への不正アクセス、紛失、破壊、改ざん、漏洩等に対する是正並びに予防を行い、安全管理のために必要かつ適切な資源を投じること。
  3. 関連する法令、規制、並びに契約上のセキュリティ業務の重要性を認識し、遵守すること。
  4. 方針達成のために管理目的を設定し管理策の策定や実施を行うこと。
  5. 全従業員参加型の情報セキュリティマネジメントシステムを確立し、方針適合や目的達成の重要性を周知徹底させること。
  6. リスクアセスメントの実施、リスク受容基準の設定、受容可能なリスクレベルへの低減を実施すること。
  7. マネジメントレビューの実施、戦略的リスクマネジメントの状況との調和やマネジメントシステムの継続的改善に努めること。

情報資産とリスクアセスメントについて

情報資産については、(図表3)の区分で識別し、関連部署、関連業務別に仕分け、情報資産台帳にまとめています。

識別された情報資産にはそれぞれ責任者を任命し、機密レベルに応じ、「極秘」「社外秘」「公開」に3分類して、「極秘」「社外秘」資産についてはそれぞれ「赤」「黄」 のラベリングにより識別しています。

情報資産台帳作成後、それらの情報資産がどのような価値を持っているかを評価するため、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)(以下CIA) の観点から資産評価を、CIAポイントの総和(機密性(C)+完全性(I)+可用性(A))で定量化しました。なおそれぞれのポイントについては、 上記CIAが失われた時のダメージの大きさに応じて基準を設定しています。

脅威の評価について

脅威については具体的な内容を以下のように例示し、その発生頻度の観点から脅威値を評価しています。(図表4

  1. 災害(地震、落雷、火災)
  2. 入力ミス、操作ミス
  3. 紛失
  4. 機器の故障
  5. 部外者による盗難
  6. 不正アクセス
  7. 改ざん
  8. 社員による持ち出し
  9. 送信ミス
  10. 協力会社からの漏洩
  11. ウィルス侵入

脆弱性評価について

脆弱性についても具体的な内容を以下のように例示し、脅威にさらされる可能性を勘案して、評価を行っています。(図表5

  1. 施設への侵入
  2. 入り口の施錠
  3. 机の施錠
  4. キャビネットの施錠
  5. ログ監視
  6. アクセス権限
  7. バックアップ状況
  8. パスワード変更、類推
  9. メール暗号化
  10. 教育訓練
  11. 手順書の整備
  12. 協力会社の教育
  13. ウィルス防御

リスク値定量化について

リスク値については、「リスク値=(資産価値+脅威の発生可能性)×脆弱性」のパラメーターによって定量化し、ポイントに応じた以下の管理の方向性を 決めています。

【リスク値10ポイント以上の場合の管理の方向性】
1)リスクの低減
脅威または脆弱性の値を下げる活動を実施する。
(例)不正アクセス帽子のために暗号化技術を採用する、ハード障害によるサービス停止への対策として代替設備を用意する、など。
2)リスクの回避
リスクが発生する環境、業務そのものを変更する。
(例)媒体の運搬中の盗難対策としてネットワークによる情報交換に切り替える、など。
3)リスクの移転
契約や保険への加入、供給業者の管理下にすることによるリスクの回避。
(例)情報セキュリティ保険への加入、被害で発生した場合の費用が補填できるようにする、など。
【リスク値9ポイント以下の場合の管理の方向性】

リスクは小さいと判断しリスク対応の優先順位は下げて受容している。ただし、受容したリスクに関しては、セキュリティ運営委員会に報告後、社長が承認している。

リスク対応計画について

リスク対応に関しては、「情報管理規定」の制定・運営時に、あるいは教育や目的を達成するための計画書を作る際に、責任者、スケジュール、手段などを設定し、 セキュリティ運営委員会がチェックするようにしています。初年度でのリスク対応計画の概要と実施した教育をまとめると以下のようになります。

【リスク対応計画の概要】

初年度のリスク対応計画の概要としては3点が挙げられる。

  1. 企業情報のうち「特別情報」の取り扱い方法の変更
  2. 既存データの取り出しと返却の記録と見える化の実施
  3. クリアデスク、クリアスクリーンの順守率の測定と向上
【教育】

教育については教育の計画の策定及び実施、有効性の評価を実施した。本年度の特徴としては2点が挙げられる。

  1. 理解度テストの実施によって理解度の把握
  2. アドミニストレーターなどの資格取得を推奨

リスク対策としての導入効果

何かコトが起きてからの是正処置にかかるコストとして、予防処置の30倍の費用が発生するのは、リスクマネジメントの基本的な考え方です。弁護士の人数が向こう10年間で 10倍になることや、小額訴訟の限度枠拡大にみられる司法制度改革により、我が国も欧米的な訴訟社会になるのは確実です。

例えば情報漏えいなどの事故を起こした場合、「なにもやっていないからこうなりました」という言い訳では済まされないはずです。 少なくとも「できる限りのことはやっていたがこうなりました」と言えるような仕組み の導入は、万一の際のリスクヘッジのためにも欠かせないはずです。

このリスク対策という面でISMSは大きな効果を生みます。リスク対策の効果を含め今回の導入効果は以下の ような内容です。

  • 訴訟社会を生き抜くための連帯保証機能の確率による企業保険効果
  • 金融機関の評価対策
  • 潜在化した不適合因子の顕在化によってトラブル・クレーム未然防止
  • 管理ミスに起因する損失の圧縮効果
  • 新規顧客獲得/リピート歩留まり向上によって売り上げアップ
  • 業務プロセス再構築によるコストダウン効果
  • 管理職が目を光らせていなくても、いつ誰がその業務をしてもいつも同じ結果という業務標準化の実現
  • いつ、誰が、何をやるのか、職務分掌の策定による責任と権限の明確化によるサービスの質の向上
  • モザイク業務撲滅による業務プロセスの透明化と液状化阻止
  • 新規従業員確保・既存職員の福利厚生効果による従業員定着率アップ
  • 職員の誇り、モラル向上と意識改革
  • やってる振りだけのポーズン社員をあぶり出すための人事考課ツールとしての活用
  • 家業から企業へ事業継承対策
  • ローカルからグローバルへ、信用力・ブランド力・競争力の強化と差別化

また、ISMS構築の取り組みによって、企業風土が醸成され、スタッフの仕事に対するモチベーションアップに寄与したことも導入効果の一つです。 さらに認証自体、対外的に非常に説得力があり、「当社はISMSの認証を取得しているレベルの会社です」との一言が加わることで、営業上有形無形の効果が 生まれました。

今回、最も導入効果が顕著に現れたのは「東京支社」です。セキュリティレベルはもちろんですが、机上、書類の整理状況は斬新的」に変わっています。 また、外部の評価、問い合わせ、賞賛など実感できることも多々あります。

まとめ

認証取得後感じたのは、「セキュリティ慣行の必要性」は実感としてわきにくいということです。すでに都心部のオフィスビルでは「社員証の着用」「入退室管理」 「ログの取得」などはよく見る風景ですが、地方では「顧客の要求」も含めまだまだ実感に乏しいようです。認証取得後、こういったものも含めてさまざまな課題も 出てきていますが、むしろ改善の機会だと捉えています。これが要求事項にある「継続的改善」といえるでしょう。

また、認証自体ゴールなきマラソンのスタートであると捉えています。太ったマラソンランナーがいないように、運用上、システムは小型・計量であることが肝要です。 ともすれば、通常業務との二重帳薄状態に陥る可能性があり、導入に際しては、今ある仕組みでよいところは伸ばし、足りないところを補う姿勢が大切だと考えています。

英国では、事業継続計画がなければビジネスの契約ができず、例えば災害時に隣接するビルの一時的な相互利用の契約を結ぶことが一般的になりつつあると聞きます。 テロや犯罪が多いからでしょうか?
日本の安全神話も壊れつつある昨今、同じような状況になるのもそう遠くないのかもせれません。ISMSとその認証が今後ますます重要視されることになるはずです。

今後も、情報セキュリティ方針の達成のために、管理目的を設定し、管理策の策定や実施を行い、前従業員参加型のISMS自体の「継続的改善」を周知徹底していくつもりです。

コンサルティング・WEB制作のお見積もり、 お問い合わせ、ご相談はこちらからお気軽にお問い合わせください。