アクトゼロ、ISMS(情報セキュリティマネジメントシステム)認証継続審査に合格

20150507_01

当社、株式会社アクトゼロはおよそ2年前、2012年5月21日付で、ISMS( Information Security Management System:情報セキュリティマネジメントシステム)の国際規格であるISO/IEC 27001に適合しているとの認証を取得いたしました。

ISMSとは、業務上、お客様から預かった情報(個人情報、公開前の機密情報なども含む)を社内で適切に管理して取り扱い、情報漏洩などのリスクから保護する仕組みのことです。自社のセキュリティーのポリシーを定め、それに従ったルールを自社で決め、実際にそれに従って業務などを行うことで運用されます。

20140514_03

ISMSの認証取得をした企業には、次のようなメリットがあると考えられます。

1.対外的な信用の向上
”ISMSを回している企業=情報を守ることができる企業”として見られるため、お客様からの信用向上につながります。逆に、入札の条件や取引条件として、ISMSを取得している企業に限る場合もあり、顧客要求としてISMSが求められる場合もあります。

2.情報漏洩などのリスク軽減
情報漏洩を起こしてしまうと、大々的なニュースとなり、企業イメージを損なうばかりではなく、損害補償等、責任が求められます。ISMSを構築する際には、対外的なリスクを防ぐことをシミュレーションしながら行います。そのルール等を実際に運用することで、リスク軽減の安心感を得ることができます。

3.社員モラルの向上
ISMSを運用するのは、経営者だけでなく、社員一人ひとりの運用が必要になります。定期的に情報セキュリティーに関する研修会を開く必要も(当社のルールでは)あるので、”情報保護”に対する意識が高まり、コンプライアンス(法令遵守)に対する責任感が強まります。

このISMSの運用には、1年に1回、審査機関による継続審査が必要になります。当社では、先日、2014年5月12日にISMSの継続審査が行われ、無事にISMSに適合していると認められ、合格いたしました。

20140514_01

実際の継続審査では、ISMS運用のために自社で定めたルールに従った日常の運用ができているかどうかを中心に審査されます。当社の場合、66にも渡る書類・記録簿・チェックリストを設定しているため、大量の資料ファイルの前でチェックが行われます。

机上だけでの審査ではなく、執務室でのチェックも行われます。社内のネットワーク構成がセキュリティーの要件に合致しているか、また、一般の社員が本当にルールに従って業務にあたっているかインタビューしたり、PCの操作をチェックしたりします。ルールの遵守と聞くと、面倒なイメージがありますが、実際に当社の社員へのインタビューを聞いていると、それほど手間と感じている印象はなく、ルールを守ることがすでに業務フローの一環として定着している印象でした。

20140514_02

丸一日に渡る審査終了後、審査官から、しっかりとよく運用していると評価を頂きました。講評の他、より良いISMS構築のためのさらなる改善提案を受け、また来年のテーマとして反映することでPDCAが回っていきます。

ISMSの規格が2013年に一部改訂となり、2015年9月までに新たな規格に適合させる必要があります。当社では、来年の再認証審査の際に適合させようと考えています。

ISMSによる様々なルールを守った企業活動は、顧客を守り、自社を守り、従業員を守ることに繋がると考えています。今後も、当社はISMSの運用を通し、社会において責任ある企業として発展していくよう、従業員一同努力してまいります。

参考: 
ISMS(情報セキュリティマネジメントシステム)の認証を取得
アクトゼロがISMS認証取得するまで ~事例を交えて分かりやすく解説!~