ISO総合研究所TOPへ
ISO9001やISO14001の為のテキスト・調査・コンサルティングの提供サイト。
ISO総研に出品する カートを見る カートを見る 問い合わせ 問い合わせ サイトマップ サイトマップ ユーザーサポート ユーザーサポート
ISO 9001・ISO 14001・OHSAS認証取得支援−ISO総合研究所
ISO掲示板・メルマガ
掲示板・メルマガ  
<< 掲示板・メルマガTOPへ
掲示板
メールマガジン
ISMS対応:帰りの5分でセキュリティチェック
『真説!ISO9001』JIS Q9001で未来が見えるISO改善講座
ISO14001 2004年版改訂部分を詳しく解説致します講座
ISO認証準備のためのメールマガジン
OHSASメールマガジン
毎度!ISOニュースです。
ぶっちゃけISOの「困った」事例研究
初心者のためのISO14001構築
ISO9001認証取得準備のためのメルマガ
コンサルいらず!自社で6ヶ月で移行しよう!
<<一覧へ戻る

第4回:個人情報保護が企業に与えるインパクト
                〜ISMSの有効性(1)

こんにちは、ISO総合研究所の藤原と申します。
                   http://www.isosoken.com/
「毎度!ISOニュースです」をご購読頂きまして有難うございます。
今日は、Scan 2003/11/20の記事からです。
どうぞ、ご覧下さい!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…
■■■[ISMS]
■■■第4回:個人情報保護が企業に与えるインパクト
■■■                 〜ISMSの有効性(1)

 本連載も残すところ2回となった。これまでの連載で、情報セキュリ
ティ対策の究極の目的が経営戦略の実現にあること、情報のCIAの確
保はその技術的条件であることを述べてきた。このような観点からみて
、今最も優れている情報セキュリティ対策の枠組はISMSである。そこで
、今回は、ISMSがなぜ優れているのかに焦点をあてて解説を試みる
こととする。


【1 論理的な意味におけるISMSの有効性】

 情報セキュリティ対策は、情報資産に対する脅威の現実化が経営に及
ぼす影響をその経営目的、経営戦略に適合するように統制し、維持改善
する活動である。それは、情報資産の安全を確保することを目的とする
技術対策ではない。いかなる情報セキュリティ対策も、想定されない脅
威に対しては対抗できないからであり、対策は設計に止まり、設計は運
用を保障するものではないからである。

 従って、情報セキュリティ対策の方法論は、経営が決定した範囲につ
いて、経営が割くことができる経営資源の範囲で、情報資産に対する現
実の脅威、リスク、リスクが現実となったときの経営に及ぼす影響、そ
の防止対策を合理的に予測、評価し、必要な対策を講じることによって
、現実に発生するリスクを想定された範囲に止め、残された脅威によっ
てリスクが現実化したときの対処方法を定め、教育と監査を通じて、不
足を補い、予測精度を不断に高め、必要な対策を講じるという組織の統
制を行うマネジメントに他ならないのである。

 セキュリティ対策の基礎は、「合理性」であり、その内容は、経営目
標に照らした合理性すなわち経営合理性に他ならない。この経営合理性
が認められるからこそ、企業の経営陣は、セキュリティ対策に割くべき
経営資源を決定でき、従業員は、対策の理由と必要性を確信してこれを
行うことができ、投資家も、取引先も、情報セキュリティ対策を行う企
業を適切に評価することが可能となり、情報セキュリティ対策が、経営
目標を実現することに役立つのである。
 そこでISMSを検討するに、JIPDECは、ISMSを「個別の
問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクア
セスメントにより必要なリスクレベルを決め、プランを持ち、資源を配
分して、システムを運用することである。組織が保護すべき情報資産に
ついて、機密性、完全性、可用性をバランス良く維持し改善することが
ISMSの基本コンセプトである」としており、ISMSが、上記の条
件を完全に満たすことが明確にされている。

 すなわち、ISMSは、「個別の問題毎の技術対策の他に」行われる
のであって、現実の安全を確保するための技術対策ではなく、「組織の
マネジメントとして」行われることが明らかである。また、ISMSの
方法論が「自らのリスクアセスメントにより」、すなわち、経営が割く
ことのできる経営資源の範囲で、情報資産に対する現実の脅威・リスク
、リスクが現実となったときの経営に及ぼす影響、その防止対策を合理
的に予測、評価することを不可欠の方法論としていること、ISMSが実現
するのは、「必要なリスクレベルを決め、プランを持ち、資源を配分し
て、システムを運用すること」すなわち、リスクアセスメントにもとづ
き、必要な対策を講じることによって、現実に発生するリスクを想定さ
れた範囲に止め、残された脅威によってリスクが現実化したときの対処
方法を定め、教育と監査を通じて、不足を補い、予測精度を不断に高め
、必要な対策を講じるという組織の統制であることを明らかにしている
からである。


著者:稲垣隆一 (株)SSIJ顧問。弁護士、ISMS主任審査員。
日本弁護士連合会コンピュータ委員会副委員長を務める傍ら、公務では
警察庁総合セキュリティ対策会議委員、経済産業省情報セキュリティ監
査研究会委員、総務省地方公共団体における情報セキュリティ監査の在
り方に関する調査研究会委員、JIPDEC平成15年度システム監査基準検
討WG委員として活動。著書は「サイバースペースと法規制」、「情報
ネットワークの法律実務」、「個人情報保護と企業対応」等多数。
     
                 Scan 2003/11/20
          
━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…

こんな情報が来ると思ったとか、こんな情報が欲しいんだという、皆様
の意見を承っております。皆様のISOのお取り組みを、少しでもサポ
ートできれば幸いです。今後とも、ISO総研を宜しくお願い致します。

                   ISO総合研究所 藤原 将博
                    fujiwara@isosoken.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━・・・…

■ISO総合研究所
http://www.isosoken.com/
■有限会社 プリンスキー
http://www.prinsky.com/
■ちっこんなメルマガいらねーや(メルマガ解除)
http://www.mag2.com/m/0000068644.htm

----------------------------------------------------------------
<<一覧へ戻る
TOPへ TOPへ
copyright©2001-2008prinskyAll Rights Reserved.
ISO総合研究所企業情報へ
ISO 9001・14001・O HSAS認証取得支援−ISO総合研究所