情報セキュリティと事業継続管理/中村 久吉

 ICタグや各種高機能カードの普及、多機能なケータイ電話を利用したビジネスの拡大、ネットブックへの展開、家電製品に組み込まれたコンピュータシステムインターネットを活用したビジネスは当たり前の時代になっています。もはや情報通信技術(ICT)なしの日常生活は成り立たなくなっているのです。
 従って企業組織においては、IT経営を推進することが成功への有効な一方法であるとして、戦略的なICTの業務への活用を推進してきました。一方、ICTが日常社会生活に深く浸透している現在においては、何らかの事象によりICTが損傷を受け又は停止した場合への対策とその予防策が非常に重要になっています。

 これに対しては、情報セキュリティ・マネジメントシステム(ISMS)の認証規格がISO27001として制度化されており、日本は2009年で5,508件という世界第1位の認証取得組織数を達成しています。しかし、同時期の品質規格ISO9001の認証取得組織68,484件や環境規格ISO14001の認証取得組織39,556件から見ると一桁下の水準であり、ISMSに対する認識はまだまだこれからと言った状況にあります。

 ISMSの基本は、(1)許可された人だけが当該情報資産にアクセスできること、つまり認められていない人は当該情報資産にアクセスできない状態にあること(機密性:Confidentiality)、(2)情報及び処理方法が正確で完全であること、つまり当該情報が信頼できる状態に維持されていること(完全性:Integrity)、そして(3)許可された利用者が必要なときに情報資産に必ずアクセスできること(可用性:Availability)を保持することです。

 このISMSのレベルが、取引先の要求する一定水準に達していない場合は取引の継続及び拡大が望めなくなる可能性があります。取引が深くなるほど当該企業の重要情報を取扱う機会が増加するため、自社以下のISMSレベルの取引先を遠ざけるのは危機管理上の当然の結果なのです。ICTを活用して業務処理を高度化する一方で、ISMSの構築及び運用は避けて通れない言わば車の両輪の関係です。

 さて、ISMS認証規格であるISO27001には事業継続管理も含まれています。しかし、最近の異常気象や地震、更にはテロの発生等を考えると、より広範な概念の事業継続管理を検討する必要があります。事業継続は、言うまでもなく社会的な存在である各種組織に関わるステークホルダー(利害関係者、広く地域住民までも含む)の利益、組織の評判、ブランド、及び価値創造を保護する効果的な能力を維持する取組です。万一の事態が発生した場合に、自社の何を最優先して復旧しなければならないかを特定して、迅速にコアの事業を復旧及び継続する仕組みを構築及び運用します。これは、大変に社会的であると共に戦略的な発想でありその意味ではIT経営やISMSとも共通する概念です。

 2007年7月16日に発生した新潟県中越沖地震は、甚大な被害をもたらしましたが、自動車部品製造企業の生産が停止したことにより自動車業界全体の生産が一定期間ストップしたことを覚えている人も多いと思います。中小企業は大手企業の下請けをしている現状からすると、中小企業といえども事業継続管理に取組むことの重要性が理解できます。非製造業であったとしても、多くは地域社会に根をおろした存在になっている場合が普通ですから、自社及び地域社会にとっての重要性は同じです。

 既に日本では、財団法人情報処理開発協会(JIPDEC)が今年3月からBCMS適合性評価制度を正式に運用開始して、2010年8月27日現在で17組織が認証取得しています。この事業継続マネジメントシステム(Business Continuity Management System)は、認証の根拠規格を英国のBS25999としています。これは現在のところISO化に向けた作業が進行しており、2012年にはISO規格として発効する見込みです。事業継続管理の対象は情報資産だけでなく、自社のコアとなる重要な事業そのものなので、今後の数年間で社会認識が大きく変わると思われます。

 国内の景況は不透明で、中小企業にとっては厳しい局面が続いていますが、このような時には新たに始動しだしたトレンドに注意を払って、その流れを経営の方向付けの参考にしていただきたいと思います。


■執筆者プロフィール

中村久吉(なかむらひさよし)
ITコーディネータ、中小企業診断士、社会保険労務士
ISO27001主任審査員、プライバシーマーク主任審査員
e-mail: ohnakamura@gmail.com