国内初のセキュリティ管理の認証制度「ISMS適合性評価制度」が，4月1日から本格的に始まった。情報漏洩などを防ぐための管理体制を審査する。特徴は，銀行や製造業などを含め全業種を対象にしていること。ISMSの認証取得が，取引先企業から要求されるケースも今後は出てきそうだ。

表●ISMS（情報セキュリティマネジメントシステム）適合性評価制度の概要。安対制度（情報処理サービス業情報システム安全対策実施事業所認定制度）とも比較した ASP：アプリケーション・サービス・プロバイダ JIPDEC：日本情報処理開発協会

　4月から正式に始まったISMS（情報セキュリティマネジメントシステム）で最も注目すべき点は，ISMSの適用対象があらゆる業種に広がったことである。そもそもISMSは，データセンターなどの安全基準を定めた「情報処理サービス業情報システム安全対策実施事業所認定制度」の後継制度として制定された（表[拡大表示]）。そのため2001年度のパイロット事業では，審査対象が情報処理事業者に限られた。

　しかし4月からの本格運用で使われる認証基準「ISMS Ver1.0」では，適用業種の制限がなくなった。ISMS制度を運営する日本情報処理開発協会（JIPDEC）情報セキュリティ政策室の高取敏夫ISMS事務局長は，「官公庁や病院などは，個人情報を扱っているにもかかわらず，セキュリティに関する意識が低い。組織内のセキュリティ管理の必要性は，どの組織にも共通する」と，業種の制限がなくなった事情を話す。

　今後ISMSの取得を希望する事業者は，最初に自社のどの部門で取得したいのかを，JIPDECに認定された審査登録機関に申し出る。例えば銀行でISMSを取得する場合でも，情報システム部門に範囲を絞った時は，全業種共通の情報システム部門対象の基準で審査を受ける。しかし，銀行特有の業務が審査の対象に入っている場合は，銀行業務に詳しい審査員が担当，銀行業務そのものも審査することになる。

　ISMSを取得するメリットは，まず社内のセキュリティ制度を整備できること。きちんと管理体制を構築することで，情報漏洩やハッキングなどの危機を回避できる可能性が高くなる。「最近は内部からの個人情報漏洩が多く，社内全体の情報セキュリティ管理を万全にする必要がある」と，高取事務局長は指摘する。

　対外的には，認証されることで自社のセキュリティの強固さをアピールできる。「製造業や金融業などでは，取引条件としてISMSの取得を求められるケースも増えてくるだろう」とセキュリティ管理のコンサルティングを手がけるNTTデータ インフォブリオ セキュリティコンサルティングの高橋洋介社長は話す。「取引先との情報共有が進んだ場合，ネットワークを通じて機密情報を開示する状況が出てくる。その時に紙1枚の契約書を交わすだけでは，取引先のセキュリティ管理体制をチェックしたことにはならない。そこで，第三者が認証するISMSが重要になってくる」（高橋社長）というわけだ。

　現時点では，ISMSに問題点もある。それは，ISMSが土台としている英国のセキュリティ管理規格BS7799との関係だ。「将来的には，ISMSとBS7799で相互認証をする」（高取事務局長）ことになっているが，しばらくの間は二つの規格が並存することになる。NTTデータ インフォブリオの高橋社長は，「国際的な企業ならBS7799，国内を中心に活動する企業ならISMSというように，使い分ければよい」と助言する。