(財)日本情報処理開発協会(JIPDEC)、および経済産業省は18日、都内に情報処理サービス業の関係者を集め、情報システムのセキュリティー管理に対する第三者認証制度“ISMS適合性評価制度”(※1)の説明会を開催した。
2000年7月に、経済産業省が情報セキュリティー(※2)管理に関する国際基準の導入を公表したことによって、これまでの“情報処理サービス業情報処理システム安全対策実施事業所認定制度”(以下、安対制度)は2001年3月をもって廃止され、これにともなって“ISMS適合評価制度”が、民間主導の第三者認証制度として位置づけられた。
※1 ISMSとは、“Infomation Security Management System”の略。インターネット上のウェブサイトの改ざんや、ハードウェア、ソフトウェアのトラブルおよび、関係者による情報の漏洩などといった、個別に対応可能な情報セキュリティーに関する問題とは別に、各企業や組織が、所有する情報の価値と情報が漏洩した場合の危険性を基に自らリスク評価を行ない、情報の重要度に見合った、必要なセキュリティーレベルを自ら定めて、情報漏洩を防止する具体的なプランを持ってセキュリティーシステムを運用すること。※2 情報セキュリティー(Infomation Security)とは、アクセスを許可された者だけが、情報にアクセスできることを確実にする“機密性(Confidentiality)”、情報および処理方法が正確で完全であることを保護する“完全性(Integrity)”、許可された利用者が、必要なときに情報及び関連する資産にアクセスできることを確実にする“可用性(Availability)”のこと。
 |
|---|
| ISMS認証マーク |
“ISMS適合性評価制度”は、組織全体の情報セキュリティーマネジメントの有効性について、客観的な評価基準を提示して、組織と利害を持たない第三者・審査登録機関による審査を行なった上で、ISMS認証を交付する制度。これにより、日本の情報セキュリティー全体の意識とレベルの向上を図り、諸外国からも信頼を得られるようなセキュリティーレベルを達成することが目的であるという。
ISMS認定の基準となる“ISMSガイド”は、国際標準“ISO/IEC 17799:2000”を基にし、英国の情報セキュリティー規格の管理ガイドである“BS 7799-2:1999”を参考にして作成したもので、現在“ISMSガイド Ver.0.8”が完成している。
日本情報処理開発協会は4月より、これまで安対制度の対象となっていた、情報処理サービス業者39社を対象として、“ISMSガイド Ver.0.8”に基づいた“ISMS適合性評価制度”のパイロット事業を行なっているという。審査を行なう第三者機関は、(財)日本品質保証機構、日本検査キューエイ(株)、(株)ケーピーエムジー審査登録機構の3社となっている。
2001年度は実験段階として“パイロット事業”を実施し、ガイドの適宜見直しと改訂を行なって“ISMS Ver.1.0”を完成させるとともに、日本の標準規格であるJIS(Japan Industrial Standard:日本工業規格 )を取得し、2002年4月から本格的な運用を実施するという。現在は情報処理サービス業者のみが対象となっているが、本格運用とともに情報処理サービス業以外の分野の事業者への適用も検討しているという。
評価を希望する事業者は、審査登録機関に申請を行ない、まず自組織の“保護すべき情報資産”、“リスクマネジメントに対する組織の取り組み方法”、“管理目的および管理策の内容”、“要求される保証の度合い”について文書化する。その上で、ISMSの適用範囲を決定し、自ら策定した情報セキュリティーポリシーに基づいてリスク評価を行なう。その結果得られた、最適なリスク評価に基づいて、実施すべき目標と管理策を選択、これを適用宣言書で明確にして公表する。この適用宣言書を審査登録機関に提出した後、事業者は、自ら定めたセキュリティーポリシーに従って、自組織内で情報セキュリティーマネジメントを行なう。そして、審査登録機関による監視・監査を経た上で問題がなければ、ISMSの認証と、ISMSマークが交付される。
 |
|---|
| 日本情報処理開発協会情報セキュリティー対策室・ISMS事務局長の高取敏夫氏 |
本制度の実施にあたり、日本情報処理開発協会情報セキュリティー対策室・ISMS事務局長の高取敏夫氏は「ISMS適合性評価制度は認証を交付する制度だが、企業や組織には認証を取得することだけを目的にしてもらいたくない。情報セキュリティーの確立のために全社的な取り組みを行なってほしい」と述べた。
