Scribble at 2020-12-27 21:03:23 Last modified: 2020-12-28 12:51:56

当社は本年度で ISMS の認証を取り下げて、2007年から12年以上にわたる JIS へ適合した情報セキュリティ・マネジメント・システムの運用を終了した。僕は ISMS の設計を気に入っていて、最近では high level structure と呼ばれている、他の ISO/IEC 規格と文書フォーマット（もちろん、その根拠となる概念なりフレームワークも同様だが）を可能な限り共有する形式を採用したため、更に妥当な規格だと思う。PMS (JIS Q 15001:2017) というプライバシー・マークの適合基準になっている規格にも high level structure は当てはまるが、こうした抽象的な構造を提示するだけの規格というものは、認証を受けようとしている企業が社内規程をどう書けばいいのかは、全く何も指示していない。よって、本来は ISMS を運用するための社内規程に雛形とか見本などというものは存在しないのである。

したがって、ISMS のような規格に準拠したマネジメント・システムを構築する利点は、適合性を満たしていれば色々なアプローチの仕方を考案したり実施できることにある。まさに実務家としてのチャレンジである。他方で、大多数の事務屋には頭の痛い話でもある。専門的な知識や経験や才能と、そもそも情報や情報システムやセキュリティに関心がなくて名義的に「情報セキュリティ事務局」だの「個人情報保護責任者」だのを兼任しているだけの人々にとっては、どうすればいいのか途方に暮れる職責となろう。すると、上記の記事で紹介されているように、本来はセキュリティ・レベルを維持したり向上させるはずの規範が自己目的化した形式主義に陥る。そして多くの企業では、どこからか拾ってきた WORD や PDF に書かれている社内規程を適当に社名だけ変更して事足れりという無意味な事務作業が進められ、本当に自社にとって有益かどうかなど関係なく文書として決められた文言だけが判断の拠り所となる。そして、特にアメリカのように JIS のような第三者認証を積極的に採用しないで、セーフ・ハーバーのような自己認証（自分たちでチェックして安全であることを宣言する）が多い国では、逆にコンサルや安全性の検査会社が勝手な基準で監査したり検査することにもなる。

日本の場合、プライバシー・マークを使用するための認定基準となっている JIS Q 15001:2017 は個人情報保護法や番号法のような法律によって要求される最低限の規定があるため、そこをカバーしてマネジメント・システムを適正に運用していれば、後は各社でのセキュリティに対する考え方という話になるが、ISMS の場合はマネジメント・システムとしての規定を超えた具体的なセキュリティ対策には踏み込まない。

実際、10年以上に渡って二社の外部監査会社に監査を依頼してきた経験として言うと、僕らが現地審査で審査員からの質疑に答えるときの審査員の背景知識を推定すると、属人的に大きな差があると言わざるを得ない。それなりに大企業や上場企業の情報システム関連の部署で働いていたと思われる知識がある方も僅かにいるものの、大多数は失礼ながら畳水練としか言いようがない。たぶんプログラムを１行も書いたことがなく、ルータやスイッチのケーブリングも経験がないと思われるような人たちが、JIS の審査員テキストを覚えこんで、あれは良い、これは悪いと形式的に判断しているだけであろう。

確かに、それが有効な場合も実はある。実務的なしがらみで社内の一部が正しいことをしようとしないときには、彼らの形式主義による「指摘事項」を社内で牽制材料として使えるからだ。なんとかとハサミは使いよう、というわけである。よって、上記の記事に登場している、本当に安全なしくみとは何かを知らないか興味がない連中にも、バカとしての使いみちがあるのである。