2015年8月10日
Vol.4:「ISO/IEC27001とは」
早いもので、本コラムも連載4回目となりました。
いつもご覧下さいまして誠に有難うございます。
今後もどうか宜しくご愛顧のほど、お願い申し上げます。
さて、「ISO/IEC 27001」とは何でしょうか。
答えは「ISO/IECが発行する情報セキュリティマネジメントシステムの規格」です。
本コラムをご愛読いただいています方は、もしかすると、色々とピンときていただいたかもしれません。
まずは初耳に近いかもしれない「IEC」からご説明させていただきます。実は本コラムでは「IEC」という単語は2度目の登場です。1度目の登場はいつだったのかと申しますと、本コラム【ISOとは】(2015年6月25日更新)のマメ知識です。文字も小さめですし、目にされた方は少ないかもしれません。
「IEC」についておおやけの事実をそのままご紹介させて頂きますと、「IEC」とは「国際電気標準会議(International Electrotechnical Commission)」のことで「電気工学、電子工学、および関連した技術を扱う国際的な標準化団体」のことです。
ちょっと難しいかもしれませんね。
それよりは、『「ISO」とは別の分野(電気分野)の規格を作っているのが「IEC」』としていただいた方がイメージしやすいかもしれません。
ではなぜ、「ISO/IEC」なのでしょうか。
答えはご想像の通りです。
そう、「ISO」と「IEC」という、2つの組織(団体)が一緒に「27001」という「規格」を作成したのですね。ちなみにこれは、「共同で策定する」と表現されます。
「ISO/IEC」の意味が判っていただけたところで、いつも通り「規格」の内容をチラリとご説明させていただきます。
まずは正式名称です。正式名称は、
正式名称(原文) 「ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems -- Requirements」
正式名称(日本語訳/公式) 「JIS Q 27001:2014 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項」
となっています。
「西暦部分が違うじゃない?」と思われた方は、本コラムを熟読いただいているということだと思いますので、大変に光栄に存じます。本当に有難うございます。
「ISO/IEC 27001」の場合、原文と日本語訳(公式)では、発行された年を示す西暦が異なるのです。
なぜこうなるのかと申しますと、「規格」の発行手続きのタイムラグによるものです。順番としまして、まず「原文」が先に世の中にお目見えします。その時にはまだ、日本語訳は「公式」ではなく、「仮訳」しかありません。では「仮訳」が「日本語訳/公式」となるには、この場合だと「JIS Q 27001」の日本国内での発行手続きが必要となります。そのためには、「仮訳」の最終的な見直しを行って、それを「日本語訳/公式」にするために「JIS Q 27001」という名前をつけて、日本国内での発行手続きを行うという流れになります。
この手続きにはおおよそ、おおまかに6ヶ月が必要といわれています。「原文」が年の後半(秋や冬)に発行された場合には、「日本語訳/公式」は翌年の春になってしまうので、西暦が異なってしまうのです。
ちなみに「ISO/IEC 27001:2013」は2013年9月25日に発行されました。6ヶ月後は2014年3月ですので、「JIS Q 27001」は「JIS Q 27001:2014」となったのですね。
また、アルファベットで表記した「QMS」や「EMS」に対して「ISO/IEC27001」は、上記の下線部分が示す通り、「ISMS」となります。弊社(ISO審査機関)ではこれらのアルファベットを社内で「略称」と呼んでいます。「ISO/IEC 27001」は「ISO 9001」や「ISO 14001」同様、「会社の仕組み」の規格です。
そして「ISO/IEC 27001」は、情報セキュリティ面での「会社の仕組み」作りに利用されています。また、「ISO/IEC 27001」には「情報セキュリティ面で必要な会社内で行うべきこと」が「114項目(※1)」にわたって書かれています。
さらに判りやすくするため、「情報セキュリティ」=「個人情報・会社の機密・お客様よりお預かりした情報などの重要な情報を漏洩させないこと」とします。
つまり、「ISO/IEC 27001」=「個人情報・会社の機密・お客様よりお預かりした情報などの重要な情報を漏洩させないようにするため、会社の仕組みをどのように整えれば良いのかが114項目(※1)にわたって書かれている、規格」ということなのです。
個人情報保護法の施行に伴い、昨今では個人情報についての取り扱いについて非常に厳しくなってまいりました。また、何らかの事態が生じますと新聞を賑わせてしまうようになりました。たとえお取り扱いされている個人情報の件数が少なかったとしても、会社の機密や取引先各位よりお預かりした情報は、どの企業様でもお持ちではないかと思います。
「ISO/IEC 27001」に取り組む(あるいは認証取得する)ということは、「社内に情報セキュリティマネジメントシステムがあり、それを的確に運用している」ということを判りやすい形で世間へ示していただけることだと思います。そして「自社内の情報の管理についてお取引様各位にご安心いただける」ということは、非常に優位ではないでしょうか。
「ISO/IEC 27001」に興味がある、もしくは「認証取得したい」という場合には、是非、弊社(ISO審査機関)までお問合せ下さい。
※1 管理策の数を示す。
マメ知識
「ISO/IEC 27001」と「JIS Q 27001」も他の規格と同様に、通常の書店さんではまず取り扱いがありません。日本では発売元である「一般財団法人 日本規格協会」より直接購入する方法のみとなります。詳しくは「一般財団法人 日本規格協会」のウェブサイトにある「JSA Web Store」という、通販サイトをご参照下さい。お手元にクレジットカードがあればウェブ通販が可能です。なお、正式名称はコラム本文にありますのでのでご留意ください。
「内容を参照したい」だけの場合には「日本工業標準調査会」にて参照することが可能ですが、著作権のかねあいで印刷・保存等はできません。
以上
国際システム審査株式会社 マーケティング室 発行
文責 由利有美