今回はITコーディネータの紹介をさせていただきます。
◆◆◆◆◆◆　ITコーディネータとは？　◆◆◆◆◆◆

「ITコーディネータはITと経営に強いコンサルタントです」

ITコーディネータ像を一言で言うと
　 ■日本全国で資格保有者は7,000人弱、平均年齢45歳。
　　 1/4がITコーディネータをビジネスに。
　 ■顧客の業種は、製造業が2割強、流通、サービスが各々2割弱、
　　 官公庁も5％。
　 ■顧客規模は、売上2億円未満が3割、2億から10億円が3割、
　　 10億円以上が4割。
　 ■ITコーディネータによる年収は、5百万円以上が140人、
　　 そのうち1千万円以上が60人。

ITコーディネータは国が支援する資格です。
企業の戦略的IT投資を推進する国家プロジェクトの一環として誕生した日本で唯一の資格認定制度として、 NPO法人ITコーディネータ協会（http://www.itc.or.jp/ ）がその育成・認定・普及・啓蒙活動を行っています。

山口県では、「ITCやまぐち協同組合」が経営支援を行っています。
(http://www.siy.co.jp/itc/)　

平成20年度も政府の中小企業支援予算を活用し、精力的に経営支援を行います。

企業の課題解決策を提供して行きます。

ISMSの目的

私はISMS（情報セキュリティマネジメントシステム）やISOの認証コンサルを行っている。また、第三者として、審査員活動も行っている。本稿ではコンサル及び審査の経験を踏まえて、ISMS導入の留意点について私見を述べさせていただく。

　組織にとって事業継続・発展は大命題であり、そのためにお客様に最適な製品・サービスを提供して、顧客満足を勝ち得、共存共栄していくことが大切である。世はまさにIT（情報技術）時代である。お客様に最適な製品・サービスを提供するのにITは不可欠となっている。　

昨今、個人情報保護法の全面施行も受けて、情報保護に対する国民の関心は急速に高まり、情報漏えいの話題には事欠かない。企業はこれに対応して、個人情報の取扱に注意を払っているが、過剰反応の面もある。とにかくトラブルが発生しないように、より安全サイドで情報保護のためのルールを設け、その反面、仕事がやりにくくなっているのでは？と懸念される。

業務の中で、情報がどのように取り扱われるかは、一様ではないのに、一律のルールを適用することは、かえって違反や問題の隠蔽を助長することになる。

情報漏えいなどの（機密性）にばかり関心がいっているが、利用すべき人が確実に利用できる（可用性）や、改ざん・破壊・故障なく正しい情報が使える（完全性）、この３つがバランスよく機能しないと情報の保護は実現しないことに留意すべきである。例えば、部屋や書庫そして電子ファイルに「かぎ」をかけると機密性は高まるが可用性は低くなる。

ISMSは、機密性・可用性・完全性の観点で情報をバランスよく保護するための体系的方法論を提供している。一律に機密性を重視し、可用性・完全性が阻害されては、業務遂行に支障をきたし、お客様に最適な製品・サービスを提供することにはならない。

ISMSは、個人情報の保護にとどまらない。ISMSは、事業に関わる情報全般の保護を考慮し、自然災害を含む事件・事故の未然防止と発生時の適切な対処、再発防止を確実にする仕組みである。ISMSは、事業の継続・発展を促す土台であることを理解したい。

ISO９００１との関係

個人情報の取扱に対する社会的関心の高まり、そしてISMSへの取り組みが取引上要求されることが直接の動機となって、ISMSを導入あるいは検討している組織が増えてきている。そのような組織はISO9001を既に導入あるいは検討しているところが多い。

ISO9001には規格条項６．資源の運用管理（人的資源、インフラ、作業環境）があるが、ISMSは情報保護の面から、経営資源を運用管理する具体的な方法論を提供していると考えられる。そして情報は製品・サービスを実現する事業活動の血流であり、その情報の保護（機密性・可用性・完全性の実現）は、事業活動の中で実行される。いわば、ISO9001が組織のマネジメントシステムを、お客様に対する約束・保証の面で捉えているのに対し、ISMSは情報保護の面で捉えていると考えられる。

ISMS導入のポイント

ISMS主任審査員の活動から、皆さんが苦労されている点がいくつか見えてきた。

�@規格の詳細管理策を実施するルール作りが先行し、リスクアセスメントが形だけになっている。

�A組織の構成員は、情報漏えい防止、個人情報の保護を目的にISMSに取り組んでいると思っている。

�@について、なぜ、その保護策を適用したのか説明できない場合が多い。規格の詳細管理策の選択がリスクアセスメントを通じて行われることの理解が不十分と思われるのである。これは、推進者が理解していればよいというものではない。情報の取扱は全ての構成員に関わっているからである。なぜ、その保護策を運用する必要があるのかの理解がなければ、安易に違反を犯す、またその事実を隠すことになろう。

�Aについて、ISMS導入の直接のきっかけは、法規制や顧客からの要求という外圧かもしれないが、情報漏えい防止、個人情報の保護はISMSの取り組みの一部であることを理解する必要がある。究極は、事業の継続と発展という、品質・環境・労働安全衛生などの他のマネジメントシステムと共通した目的をISMSは持っていると理解することが大切である。例えば生産設備の保全は、ISMSの目的を達成するためには必要であり、ISO９００１を適用している組織は、既にあるレベルの保護策を実行しているはずである。

このようにならないために、5つの点に留意するとよい。

第1に守るべき情報が何か、その価値により明確に識別することである。これは、法規制や契約上ならびに事業上の要求事項に基づくものとなる。価値の異なる情報に同じルールが適用されるほどムダなことはない。

第2に識別された情報の機密性・可用性・完全性を損なう脅威と現在の管理状態を識別することである。これには規格の詳細管理策を参照することが有効である。例えば、いきなりパソコンにある顧客データに対してどんな事件・事故が考えられるのか？そのような脅威と脆弱性は何か？といわれても思い浮かぶものではない。漏れなく確実にするためには、ノウハウの集大成である規格の詳細管理策を参照するとよい。詳細管理策は脆弱性の裏返しなのである。

第3に識別された脅威と現在の管理状態、ならびに守るべき情報の価値から、追加の保護策の必要性を検討する。これにも規格の詳細管理策が参考になる。価値を知り、守るべき情報は何で、現在の管理状態と追加の保護策が必要かどうかは、その情報の取扱責任者でなければ判断できない。

第4に規格の詳細管理策は、事件事故の未然防止のための保護策と発生した場合への対処・回復策を提供していると理解したい。また情報の保護が、ISMSの目的である事業活動の中断防止と発生時への適切な対処、見直しによる事業継続・発展、に帰結することを理解したい。例えば「かぎ」の使用は防止策であり、詳細管理策１１．事業継続管理は事業活動の中断防止と発生時の対処・回復の管理策を提供している。

第5に事業環境は絶えず変化している。守るべき情報はその価値も含めて変化するのである。リスクアセスメントでは、情報保護のために、変化したリスクの識別及び大きく変化したリスクに対して確実に注意が払われることが大切である。つまり継続した取り組みが必要であり、情報取扱責任者が参画し、タイムリーに取り組めるリスクアセスメントの手順を確立することが大切である。

審査への期待

�@審査員への期待

　例えば次のような審査員になっていないか自問自答をお願いしたい。

−“本来こうあるべきだ“と、リスクアセスメントに基づいて組織が決定した管理レベルなどお構いなしに、自分の信じる管理レベルを要求する審査員。

−なぜ、指摘への合意をためらうのか、あるいは安易に受け入れているのか、当該組織の事情・成熟度を考慮しない審査員。

組織の事情・成熟度に合わず、業務の効率を阻害する過剰な機密保護策は、かえって違反や問題の隠蔽につながる危険があることを審査員は知るべきである。

組織の判断が具体的な不具合となっている証拠を発見して、説明しなければ、理解・納得はされない。成熟していない組織にとって、審査員の独り言は神の声なのである。

�A被審査者への期待

　何のためのISMSなのか経営トップが明確に示すべきである。そして組織の構成員によく理解させることである。守るべき情報は何か、なぜ、そしてどのようにして守るかを知らなければ、必ず違反や問題の隠蔽につながる。

審査員とて人間である。いつも適切な判断をしているとは限らない。組織にとって、バランスの良い保護策なのか、常に疑ってかかるべきである。審査員の指摘を受けるか否かの決定権及び決定の結果責任は自らにある。

信頼関係のもと、審査が問題を発見する共同作業であることを切に願う。

　今回は、情報セキュリティの実現の必要性について簡単にご説明したいと思います。

　さて先日、医療・介護関係事業者様に「個人情報の適切な取扱いについて」と題してお話をさせていただく機会がありました。みなさんもよくご存知と思いますが、4月より「個人情報保護法」が全面施行されます。これは、個人情報が事業活動で有効に利活用されることと、個人の権利利益を保護することをバランスよく行うことを目的に、最低限の遵守事項を定めたものです。

　例えば個人情報が漏えいし、「架空債権取立てメール・はがき」「振り込め詐欺」などに利用されています。私自身も２００４年度は、６件の架空債権取立てはがきが来ましたし、クレジットカード会社からカード番号が漏えいしたとして、違うカード番号のカードへ変更するなど、実損はありませんが、身近で経験しております。みなさんはいかがでしょうか？

　この問題の特徴は、それぞれの人が加害者にもなれば被害者にもなりうるということです。自分が取り扱っている個人情報には何があり、どのように取り扱うべきか、これまであまり意識してこなかったというのが大方ではないでしょうか？事実、これまで起こった事件・事故の原因を分析すると、その多くは、認識の欠如、個人情報の運営に関する社内ルールの不備、または運営の不徹底となっています。

　この問題の難しいところは、特定の人だけがしっかりしていてもだめで、関係者全員が一定レベル以上の取り組みをしないと、事故が起こる可能性が高いということ、そして内部の人が悪意をもってすれば防ぎようがないということです。今回の医療・介護関係事業者様へのお話は、関係者全員に対する導入・自覚教育ということで依頼されたものでした。

　依頼された経営者は、「事故が起こったときのことを考えるとドキドキします。この気持ちが熱いうちに早速、具体的な取り組みをはじめます。」とおっしゃっていました。みなさんもお気づきのように、事故防止の取り組みをいくらやっても、絶対に事故が起こらないとはいえません。しかし、損害賠償など司法で争う段階では、組織が事故に対してどのように対応したのか、事故防止のための取り組みをどこまでしていたのかが、賠償額決定のポイントになるようです。ちなみに2003年度の平均賠償額は推定5億5,000万円（日本ネットワークセキュリティ協会）というデータがあります。

　この問題の取扱いを誤れば、組織の存続に係わる事態になる可能性があります。まずは組織の関係者全員に、自分が扱っている個人情報には何があり、それが悪意ある人に渡るとどのような影響がでるかをリストアップしてもらうことをお勧めします。まずは自覚することが大切と思います。また、この法律とは別に、プライバシー侵害による損害賠償等は民法など既存の法律を根拠に請求される可能性があることも忘れないで下さい。