JASAの設立総会には、NEC、NTTデータ、富士通などの大手ベンダー、NTTコミュニケーションズやKDDIなどの通信会社、中央青山監査法人やトーマツなどの監査法人、シマンテックやセコムトラストネット、ラックなどのセキュリティ関連企業を含む、大手IT関連企業約80社が会員として参加した。会長には、情報セキュリティに詳しい中央大学の土井範久教授が就任した。
JISAは設立の狙いや目的を、「監査をする側の監査企業と、監査される側の企業の監査実施部門や担当者が一同に会して、公平かつ均質で効率的な監査制度を目指す。監査技術の研究開発や監査人のスキルアップ、監査人資格のあり方などの検討を行い、情報セキュリティ制度を着実に普及、浸透させていく」(資料より抜粋)としている。
しかし現実には会員企業のほとんどは“監査する側”の企業ばかり。会員企業の真の狙いは、「将来の監査ビジネスへの布石」である。
経産省は、10月10日に公開した国家的な情報セキュリティに関する政策提言「情報セキュリティ総合戦略」の中で、民間企業や政府、自治体のセキュリティ・レベルを測る格付け制度の検討を、来年度から始めると明言している。この格付け制度は、情報セキュリティ監査制度をベースにしたもので、経産省の想定では「格付けができる監査企業は、JASAで中心的な役割を果たす企業になるだろう」(経産省関係者)としている。
格付け制度が実施されれば、情報セキュリティの格付けビジネスという大きなマーケットが創出される。さらに経産省は、電子政府の入札条件にも格付け制度を利用する方針だ。情報セキュリティ監査制度は今後、電子政府関連でもビジネスに大きな影響を与えるため、会員企業には早期から格付け制度に関わりたいという思惑がある。
情報セキュリティ監査制度を定着させ、意味のある形で普及させるには、監査する側の企業が集まっただけでは不十分だろう。監査される側の一般企業も参加した上で、議論を深める必要がある。監査企業同士が相互にチェックする仕組みも不可欠だ。JASAを、ビジネスの主導権争いの舞台とすることは避けてもらいたい。
