IT投資が低迷するなかにあって、セキュリティ製品・サービスに対する需要は依然根強い。各企業でもセキュリティに対する意識は着実に高まってきた。だが、ウイルスやシステムダウンによる業務停止、故意や不注意による情報漏洩など、セキュリティ上の事件・事故は多い。そんななか、自社のシステムの堅牢性に第三者機関の“お墨付き”を得る「情報セキュリティマネジメントシステム（ISMS）適合性評価制度」に関心が集まっている。これまで日本では、セキュリティに特化して情報システムを第三者機関が評価・認証する制度が手薄であっただけに、注目度も高い。民間企業のみならず、自治体も取得に動き出すなど、認証取得企業が増えつつある。（木村剛士●取材／文）

第三者機関による評価・認証制度

■顧客からの信頼を確保

　ISMS適合性評価制度とは、経済産業省の外郭団体、日本情報開発協会（JIP　DEC）が、情報セキュリティ管理行動を規定した国際規格「ISO／IEC17799」と英国規格「BS7799-2」をもとに作成した。日本における情報セキュリティマネジメントの評価・認証制度として、2001年4月に試験運用を始め、02年4月から本格運用を開始。今年4月には改訂版を作成した。

　JIPDECの高取敏夫・情報セキュリティ部ISMS制度推進室長は、「さまざまなセキュリティ上の事件・事故が起きているなか、ISMS認証を取得していれば、顧客や取引先から信頼を確保できる。また、電子商取引や電子入札などへの参加条件を満たすことができ、事業競争力の強化につながる」と、そのメリットを説明する。

　日本での情報セキュリティに対する認証制度には、95年に旧通商産業省（現経済産業省）が作成した「情報システム安全対策基準制度」があった。しかし、これはハードウェアなどの装置の取り扱いについての審査が中心で、国際的な整合性が取れていなく、「広く普及したとは言い難かった」（高取室長）という。

　高取室長は、「『情報システム安全対策基準制度』では、セキュリティシステムのマネジメントに対する審査項目が欠けていた。英国など海外諸国に比べて、審査内容は遅れていた」と続ける。

　ISMS適合性評価制度の審査項目は、セキュリティポリシーや情報システムの管理・運用方法、人的セキュリティ対策、さらには情報セキュリティポリシー文書をはじめとするシステム文書管理など、多岐にわたる。

　取得希望団体の審査は、最初からJIPDECが行うのではなく、まずJIPD　ECが審査登録機関として認可した民間企業が、審査登録業務を行う。審査登録機関が認証後、JIPDECがさらに審査を行い、最終的な認証判断を行う。

■自治体にも広がる可能性

　昨年から審査登録業務を開始した日本情報セキュリティ認証機構（JACO-IS）の岡田政紀社長は、「認証を受けたい企業は100人前後で約300万円の費用がかかるが、1年ごとの定期チェック作業と、取得後3年目には更新作業を有償で行うため、長期的なビジネスにつながる。また、コンサルティング業務などISMSに関する事業は幅広い」と話す。

　現在、ISMS認証を取得している企業は157社（6月10日現在）とまだ数は少ない。しかし、01年の試験運用開始時の37社と比べると、その数はこの2年余りで約5倍にまで成長してきた。

　高取室長は今後の普及に関して、「ISMSの認知度向上はもちろんだが、審査登録機関の増加が大前提」と話す。

　一方、岡田社長は、「民間企業だけではなく、自治体への取得推進がカギになる」と話す。住民基本台帳ネットワークシステム（住基ネット）の稼働など、自治体は今後確実に取り組まなければならない分野。自治体が取得すれば、自治体システム関連ビジネスの入札条件にISMSが採用される可能性も出てくる。そうなれば、情報サービス業を中心に普及する可能性があるという。

　自治体の取得、JIS化、審査登録機関の増加など、普及要素が今後拡大すれば、ISMS認証を取得する企業・団体が一気に増える可能性はある。