今年度、さいたま総研の新たな支援メニューとして情報セキュリティ認証支援が加わりました。
さいたま総研では、ISMS（ISO27001）やプライバシーマークの認証取得を支援します。

１．セキュリティ認証制度の意義
ISO9001やISO14001同様、認証制度は、組織の内的な動機付けによって取得後の効果が異なってきます。認証マークだけがほしいという姿勢では、審査費用を支払って認証を維持するメリットを十分得ることは難しいのはないでしょうか。
では、どんなところに第三者認証の意義を求めたらよいのか、セキュリティの分野において見てみましょう。

（１）社内の報告体制の整備　～「ほう・れん・そう」の再徹底～
情報セキュリティは事故が発生したあとの組織の対応の良し悪しが、その後の損害賠償金額に影響を及ぼすことがあります。緊急時の連絡体制の整備や、事故時の対応マニュアルなど、具体的な手順を整備しておくことが重要です。また、こうした手順は、審査機関による外部の審査を受けることで、見直しのタイミングを維持することができます。

（２）運用現場の点検　～外部から見られることの緊張感～
社内の視点では気付かないセキュリティ上の盲点が、外部の審査によって見出されることがあります。社内では普通であると思っていることが、客観的な視点では懸念される状況に見られることがあるものです。外部の視点で現場をチェックすることは、年１回といえども、経営者によっては、セキュリティ対策の現状を確認する良い機会です。

（３）組織の資格取得　～組織の価値を高める～
特にサービス業は、製造業のように品質管理の体系化が難しく、原材料加工などが無い場合には環境活動への意識も低い場合がありますが、セキュリティはまさに日々直面する課題であり、組織としての資格取得には最適なテーマです。第三者認証を維持することは、従業員にとっても大きなプロジェクトであり、実質的には、社内の情報が整理され、報告連絡体制が明確なり、５Ｓが徹底されます。対外的には、”認証マーク”という企業の価値を高める効果があります。

２．取得の動向
ISMSが資産全般を保護するしくみであるのに対して、個人情報に特化した保護体制について第三者認証するしくみがプライバシーマークです。
現在の取得事業者数は次のとおりです。
ISMS　　　3213件（2009/6/26現在）JIPDEC公表
Pマーク　10426件（2009/6/26現在）JIPDEC公表

先の見えないこの状況だからこそ、大切な資産や情報を棚卸するちょうど良い機会であるともいえます。無駄の無い、最小限の装備で最大のアウトプットを生み出す組織に、変わるための最良のツールとして、セキュリティ認証を活用しましょう。

次回は、認証に向けた活動の中で、どのような効果があるのかをご紹介したいと思います。

さいたま総研　IT/ISO事業部　西宮恵子