昨今、市場の情報漏えい事故の中に、輸送中の情報漏えい、すなわち、顧客情報を含んだ書類や電子媒体の盗難・紛失によるセキュリティ事故のケースが目立つようになってきており、また、個人情報保護法の施行で社会全体が情報管理に神経質になるなか、あらゆる産業界で情報セキュリティの見直しや管理体制の構築が積極的に行われています。そのような中、昨年１０月に情報セキュリティマネジメントの国際規格（ＩＳＯ規格）であるＩＳＯ／ＩＥＣ２７００１が発行され、あらゆる産業界から注目を浴びています。

（１）規格の狙いは効果的な情報セキュリティの維持

この規格は、品質マネジメントのＩＳＯ９００１（規格原案ＢＳ５７５０）や環境マネジメントのＩＳＯ１４００１（規格原案ＢＳ７７５０）と同様に、もともと情報セキュリティマネジメント規格のＢＳ７７９９（英国国家規格）をベースとしており、早くから取り組んでいた企業は、この規格を用いて認証の取得をしていました。また、この規格は、情報漏えい対策のみならず、以下に記した組織の情報セキュリティを確実にするために必要な３つの視点を狙いとしています。

1. 資産（情報）の機密性を確実にすること
2. 資産（情報）の完全性を確実にすること
3. 資産（情報）の可用性を確実にすること

（１）の「機密性を確実にすること」とは、許可されたものだけがその情報にアクセスできることを確実にすることを指し、言い換えれば、許可されないものから情報を保護することで、その欠落が情報の流出や不正な参照など漏えいにつながります。

（２）の「完全性を確実にすること」とは、情報及びその処理を完全にすることを指します。すなわち、情報を正しく作成し、正確に保つということであり、その欠落が意図しない誤入力による誤った情報の作成や外部からの不正な改ざんにつながります。

（３）の「可用性を確実にすること」とは、許可されたものが常にその情報にアクセスできることを確実にすることを指し、その欠落は、必要なときに情報が利用できず、業務や荷主に重大な影響を与えることにつながります。

したがって、情報セキュリティマネジメントシステム（ＩＳＭＳ）の構築及び認証における代表的なメリットは、以下の通りとなります。

【ISMS構築の効果】

1. 顧客情報を含んだ書類や電子媒体の盗難・紛失による荷主への負の影響を防止することが可能になる
2. 不正確な情報の利用（誤配送など）や提供（請求ミスなど）による荷主への負の影響を防止することが可能になる
3. 配送管理システムの停止や配送伝票の紛失などによる配送遅延を防止することが可能になる

1. 上記の仕組みを第三者から評価を受け、荷主への安心の提供及び信頼の獲得が実現できる

（２）自社の特性に合わせた効果的な管理の仕組み

また、この規格は全ての対象に厳密なセキュリティ対策を要求しているのではなく、自社が保有する情報の重要性及びその情報へのセキュリティ上の課題（脅威）や弱点（ぜい弱性）を評価し、リスクへの対応方針を組織が決定することを意図しています。

すなわち、リスクアセスメントを実施することにより、組織にとって本当に必要な対象に対してのみ対策を優先順位に基づき実施することが可能となるため、効率的かつ効果的な管理の仕組みが構築できるということになります。

したがって、ＩＳＭＳを構築し、運用（及び認証取得）することは、自社の特性に応じた情報セキュリティリスクを管理し、業務や荷主への負の影響を抑えるための効果的な管理の仕組みを実現できるということになります。

是非、本稿を参考にしていただき皆様の効果的なＩＳＭＳの構築にお役立ていただければ幸いです。

ビーエスアイジャパン株式会社（英国規格協会）
教育事業部長　打川　和男
〒105-0001 東京都港区虎ノ門1-2-8　虎ノ門琴平タワー21F
ＴＥＬ: 03-5501-7125