突然ですが、みなさんは「ISMS」という言葉をご存じでしょうか？

ISMSとは「情報セキュリティを管理する仕組み」を意味しています。
Information Security Management Systemのそれぞれの頭文字をとって、ISMSと呼ばれています。

ここでいう情報セキュリティとは、情報の「機密性」「完全性」「可用性」を確保することと定義されています。

　　　　　　　　　　

つまり、ISMSとはこれらの3要素をバランスよく維持・改善し、管理し続ける仕組みのことを指しています。

さて、そんなISMSには、財団法人・日本情報処理開発協会（JIPDEC）が定めた評価制度「ISMS認証」が存在します。
このISMS認証を取得することで、組織が有する情報のセキュリティ確保の仕組みを適切に構築・運用していることの証明となります。

いわば、企業の対外的な信頼度を図るための重要な指標となるわけです！

ただ、全国の法人企業が約1,880,000社と言われているなかで、ISMS認証を取得した企業は、2021年12月時点でわずか7,300社程度。
さらに、ISMS認証は認証後も毎年維持審査、3年に一度更新審査が行われます。
ISMS認証を取得、さらに維持・更新し続けることは非常にハードルが高くコストもかかることがわかります。
当社は２００９年にISMS認証を取得して以降、１２年間維持・更新ができております！

ここで、実際に2月にISMS認証の維持・更新審査を終えた担当者に、
審査の振り返りと「今企業に求められる情報セキュリティ」について話してもらいました。

Aさん：再び感染が拡大している状況ということもあり、初回と終了時の会議については対面参加者を経営陣及び事務局に限定し、他メンバーはビデオ会議で参加することで、感染リスクを低減しました。

Bさん：ビデオ会議で参加しているメンバーに、会場全体の様子を音声と映像のみで伝えるのは少し苦労した点だと思います。

Bさん：項目自体は変わりませんが、当社も現在はテレワークを推進しているので、テレワーク時のリスク管理について、質問を受けましたね。

Aさん：職場における危険性や有害性を調査し、その結果に基づいて対策を実行していくいわゆるリスクアセスメントとその結果を丁寧に説明することを心がけました。

Aさん：２つあります！1つ目が社員へのISMS教育です。情報セキュリティについてできるだけ分かりやすい表現で資料を作成し、テレワーク環境でも受講できるよう動画での説明を行っています。

Bさん：内容も近年発生頻度の高いトラブル事例など、旬のテーマを取り入れているようにしていますね！
また、受講して終わりにするのではなく、効果測定や理解度確認テストを兼ねたアンケートを実施することで、反復学習にも役立てています！

Aさん：ISMSハンドブックの作成です。

ISMS運用上のポイントをまとめた冊子のことで、ISMSの基本事項・年間計画・テレワーク時の情報セキュリティ等について「知っておかねばならないこと」を分かりやすく取りまとめ、社員に配布しています。

ハンドブックは毎年内容を見直しており、その点についても評価をいただきました。

Bさん：テレワークが浸透し人々の働き方が多様化するなかで、クラウドサービスを導入する企業が増えています。
当社も同様で、テレワークの常態化を想定した上で様々なサービスを導入・検討していますが、ユーザビリティもさることながら、セキュリティを最優先に考慮した上でサービスの利用検討を行うことが必要だと考えています。

Aさん：これはそのまま企業の「DX推進」へと繋がっていきますよね。
働き方の多様化に合わせて、各部署の業務プロセス見直しに対応したIT環境の整備を行うこと。そして社内のみならず、企業の対外的な信頼度を得るためにISMSを維持することが「今企業に求められる情報セキュリティ」ではないかと、我々は考えます。
決して単年で解決できる内容ではなく、継続して取り組むべき課題ですね！