セキュリティ格付けが日本企業を変える

ITpro

2007.09.07

　情報セキュリティや品質に関する認証を取得した企業の不祥事は，今や珍しくない。記憶に新しいところでは，消費期限切れの材料を使って商品を製造していた不二家や，リコール隠しをしていた三菱ふそうトラック・バスが，品質管理に関してISO9001認証を取得していた。情報セキュリティに関しても，業務委託先の元社員が約864万件もの個人情報を漏洩した大日本印刷がプライバシーマーク（Pマーク）を取得していたほか，件数が少ない漏洩事故は多数あった。Pマーク制度を推進する日本情報処理開発協会によると，2006年度に発生したPマーク取得企業による情報漏洩事故件数は，439社による708件もあったという。

　情報セキュリティ対策や品質管理，環境対策への取り組みが厳しく問われる昨今，ISO認証やISMS認証，Pマークなどの第三者機関による認証を取得することが，自社の取り組みの適正さをアピールする上で不可欠だと考える企業が増えている。情報セキュリティに関しては，個人情報を扱う業務を委託する場合にPマークやISMSの認証取得企業を委託先の条件にする企業も多い。Pマーク取得企業は，この8月に8000社を超えた。

　しかし，前述のような不祥事のニュースを目の当たりにすると，このような認証制度を利用することにどのような効果があるのか，という疑問がわいてくる。

後ろ向きの意識が形骸化を招く

　そもそもこれら認証制度は，品質や情報セキュリティに関する管理体制やルール整備状況が一定水準以上であることを示すものである。しかし「認証を取得している」という情報だけでは，実際の取り組み状況がどの程度のレベルにあるかまではわからない。また，体制やルールが継続的に機能しているかどうかについても，「認証を取得している」ことと等価ではない。認証取得時点で，継続的に機能する見込みがあることまでは確認できても，実際に半年後や1年後も見込み通りに機能しているかどうかはわからないからだ。認証機関もそこまでは審査の対象としていない。

　不祥事が起こると，「Pマークを取得していたのにおかしい」，「管理体制が形骸化していたのではないか」という声が上がる。しかし，認証制度そのものは取り組みのレベルが高いことや認証取得後も管理体制が機能することを保証するものではないことを踏まえると，取得企業が不祥事を起こすことは，あってはならないことだが，あり得ないこととは言えない。

　結局，認証取得時に確立した管理システムをどれだけ適正にドライブするかは，その企業次第なのだ。

　そこで懸念されるのは，認証取得企業のマインドである。特に情報セキュリティの認証については，「取引先企業から取得するよう求められた」，「取得しておかないと仕事がとれない」といった，後ろ向きな理由で取得する企業が少なくないのではないか。このような動機では，取得そのものが目的になってしまい，管理体制やルールが形骸化する恐れがある。

　認証を取得することが，今や，対外的なアピール・ポイントにならなくなっていることも，企業の取り組み意識に影を落とす。例えばPマークは今や8000社が取得しており，個人情報を扱うビジネスを手がける上で「最低限必要な認証」になりつつある。取得しているのは当たり前。また，どれだけ安全管理を徹底していても同じ認証しか取得できないため，「今以上に安全管理を徹底しよう」といった発想は生まれにくい。

企業の取り組みを評価する仕組みが必要

　管理体制やルールを形骸化させないためには，企業が情報セキュリティなどに戦略的に取り組むような環境作りが必要だ。つまり，情報セキュリティ管理を強化すれば強化した分だけ企業の評価が高まり，ビジネスにつながる仕組みを確立することである。管理を怠ればその企業の評価は下がり，他社に案件を奪われる。

　実は情報セキュリティに関して，企業を格付けする動きがすでに始まっている。NTTコミュニケーションズ，松下電器産業，富士ゼロックス，格付投資情報センターの4社が，「情報セキュリティ格付け制度研究会」を7月18日に設立した（関連記事）。2008年1月にも第三者機関を立ち上げ，格付け制度の運用を開始する予定だという。

　第三者機関は企業の情報セキュリティに関する取り組みをチェックし，「AAA－」や「B＋」といった記号で表す。受けた格付けが低かった企業は，セキュリティ対策を見直して再度格付けを受ける，といったことも可能だという。

　格付けの更新期間は1年と，PマークやISO認証の2年よりも短い。形骸化を防ぐためである。セキュリティ対策が多少緩るんでも，Pマークであれば，いきなり認証の取り消しはないかもしれない。しかし格付け制度では，少しの緩みで格下げとなってしまうため，手を抜けない。

　松下電器や富士ゼロックスは，単にPマークを取得しているかどうかではなく，この格付けの仕組みを使って取引企業のセキュリティ対策状況のレベルを見極めたいという考えだ。機密情報を扱う業務であれば，多少見積もり金額が高くても，格付けが高い企業に委託する，といったことを想定する。一見，委託先企業にとって厳しい仕組みのように思えるかもしれないが，そうともいえない。金額やサービス内容だけでなく，高いセキュリティを武器に商談に臨むことができるようになる。

　また，ドイツの認証機関の日本法人テュフラインランドジャパンが2006年10月に，企業を「企業統治」，「社会的責任」，「労働安全衛生」，「品質」，「環境」，「情報セキュリティ」，「財務情報開示」，「ブランド/革新性」，「取引および競争の公正性」の9つの分野で評価するサービス「TUV-STAR」を開始している。情報セキュリティに関してだけ格付け評価を受けることも可能だという。1200を超えるチェック項目について，現地に赴いてヒアリング。取り組みが進んでいれば「☆☆☆☆☆（5つ☆）」，遅れていれば「☆（1つ☆）」などと，5段階で評価する仕組みである。

　「格付けを取得している日本企業はまだ少数」と，テュフラインランドジャパンの神田清人コンサルタントは打ち明ける。同社のグループ会社が，TUV-STARをグローバルに展開しているが，取得に熱心なのは，台湾やインドネシアの企業。彼らの狙いは「欧米や日本の企業と比較しても，品質管理の点で優れているとアピールする」ことにある。実績がない企業にとっては，高い格付けは大きな武器となり得る。

　このような格付け制度の認知度が広がれば，情報セキュリティへの取り組みが企業の競争力に直結するようになるのではないだろうか。