海外からは不思議に見られている？ISMS認定取得

　こんにちは、丸山満彦です。無事日本に戻ってきました。テロにも関わらず、特に空港の警備が厳しいと言うこともなく、みんなもそれほど話題にしていなかったのが印象的でした。印象的というと、海外の人にとっては、日本がBS7799の50%以上の取得をしていることが、ちょっと話題になりました。

　
　米国の人はISO17799は知っていても、BS7799-2はあまり知られていないと言う話でした。カナダは結構話題になっているようで（確か、カナダもBS7799-2のISO化には反対していたはずでしたが・・・）、日本でたくさんの認証取得をしている理由を聞かれました。

　ちょっと回答に困まりました。

　「セキュリティマネジメントやセキュリティ対策は良くなったのか？」

といわれても・・・「良くなっている会社と、そうでもない会社があると思う」と回答してしまいました。

「英語でうまく説明できない」と思ったのですが、日本に戻ってよく考えると、

日本語でもうまく説明できない！

●目的、手段、結果

の関係を良く考えないといけないのでしょうね。

ISMSの認証取得は結果であって、目的ではない！
ISMSの構築は手段であって、目的ではない！

---

このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

Comments

　ＩＳＭＳ取得増加の理由（Ｐマークも同じ）を考えてみました。
●政府自治体の調達や取引先の購買基準に影響するという心理
●取得しないと同業他社に比較劣位に置かれる不安感
●結局セキュリティ対策といっても何をやらなければならないか、よくわからないので、とっかかりが欲しいというニーズ
●情報セキュリティ対策は終わりのない作業であるが、ＩＳＭＳ取得によって、とりあえず一つの成果を経営層にアピールすることができる点
●社内で情報セキュリティ関連予算を獲得しやすくなる点。
●外部の目が入り、社内が引き締まるとともに客観的に評価してもらえる点。

・・・ということもあるが、その背景としては、
●日本の優等生は、教科書を欲しがる傾向にあり、考えるより、規格や制度を勉強したがるところがあるからかも。
●さらに、規格化されると金科玉条とする傾向が非常に高く、批判的検討ができず思考停止状態となる。従順。羊。ゆえにＩＳＭＳ制度の内容を自ら評価して取得するか否かを決定することができず、世間の風潮に迎合的となる・・・ということも影響している。（と思われる。）

　こんなもんは、ありがたがらず、キャンペーンのバッジをもらう程度に割り切って、論点落ちがないかどうかのツールとするのが正解だろう。
　
　蛇足であるが、これで大学院の授業をするのはいかがなものかと小一時間。
　これを題材に標準化政策と立法政策の関係を考えたりするなら、まだしも、要求事項の解説などは、コンサル業務の仕事であって、研究対象とするには、かなり貧困ではないかと。
　

Posted by: 鈴木正朝 | 2005.07.11 09:58

　しかし、プロジェクトマネジメントの方法論もいまだ手探り状態なのに、情報セキュリティのためのマネジメントシステムなどできるのか。形だけならできるだろうけども。
　ＩＳＯに拘泥せずにベストプラクティスを経営、法律、技術の有識者中心に現場感覚で研究し情報発信を続ける仕組みの方がありがたい。
　規格と称して、固定化され、○×チェック的思考になるのはいかがなものか。

　会社法制、労働法制、情報法制などとの整合性は大丈夫なのかと。
　法的検討は終えたというのが公式見解のようであるが、私は信用していない。

　そもそもマネジメントシステムの規格化ということ自体、うさんくさいと思う方が健全だと思う。

　もちろん日本全体の底上げという政策としては、ありだと思うので、制度自体の存在を否定するつもりは毛頭ないけども。
　賢明な企業としての、ありようはまた別だろうと思うのだが・・・。

Posted by: 鈴木正朝 | 2005.07.11 10:14

ごぶさたしています、鈴木さん

わたしのクライアントのソフトウェア・メーカから「ISMSや、ISO14000をやってみたが、なんだアレは？」という御下問がありました（^_^;）

中小零細企業では見通しが良いから全社レベルでやってみてから「これダメじゃん」とかなりますが、その背景を聞くと、発注先の大企業の外注課などが「今後の契約に必要です」とか言って、一律に課している、のだそうです。

これもさらに本音を聞くとその外注課だって「全社は無理だが、上からの指示で・・・」となっていて、どこかで「権威あるもの」となっているのでしょうね。

多くの規格や資格は言わば標準偏差というか釣鐘曲線のようなもので、ピッタリ適用の企業から少々縁ありな企業まで含むのが当たり前で、それに一律の義務を課すようなことは、許容出来る範囲の負荷なのかどうか、によって決まることでしょう。

その点で、今でてきている各種規格についてすべてを厳重に守ることを要求するようなのは、本末転倒になりがちですな。

Posted by: 酔うぞ | 2005.07.11 11:04

鈴木さん、酔うぞさん、コメントありがとうございます。海外の人から見るとやはり不思議（というか、奇異）に見えるらしいですね。

　思考停止！なんでしょうね。

マネジメントの標準化とネジのピッチの標準化は明らかに異なるのに同じ標準化という言葉で片付けているあたり、やっぱり国全体で思考停止かなぁ・・・

Posted by: 丸山満彦 | 2005.07.11 17:50

BS7799とか、ISMSってある面では米国対欧州(BS7799は英国の規格）の標準化戦争という側面があるのも見逃せないところです。

多くのIT関連の規格が米国製ということに対して、運用に関しての楔を打ちたかったということもあるのではないでしょうか?

Posted by: ryu | 2005.07.11 19:58

ryuさん、コメントありがとうございます。

マネジメントの標準化って、いきつくところ思想の標準化や言語の標準化に近いところがないのかなぁ・・・。でも、最終的には法律になったサーベンス・オクスリー法が一番強かったりして・・・

ネジのピッチの標準化とマネジメントプロセスの標準化の違いをいつかちゃんとまとめたいと思いながらなかなかゆっくりと整理する時間がないです。

Posted by: 丸山満彦 | 2005.07.11 20:32

はじめまして。
ISMSで検索したら、辿り着きました。
海外の情報はとても参考になります。

また遊びに来ます！

Posted by: rika | 2005.07.20 17:56