今やリスク管理活動は企業・組織にとって必須
近年、重大な企業不祥事が多発し、顧客からの信頼が失墜しています。「顧客ニーズの満足」及び「継続的改善」を行いながら企業は発展し、益々の顧客各位様や社会からの信頼を得なければ、やがては淘汰されてしまいます。そのためには社内及び関係者各位で各種情報を共有し、いち早く対応がとれる体制が必要になります。

企業におけるリスクには何が存在しているのかを分析し、それらに対応する必要があります。一般的に、JIS Q 2001「リスクマネジメントシステム構築のための指針」規格等に基づいて基本的なリスク分析等の構築を行っておく必要があります。ここではリスク管理の一部としての「情報セキュリティマネジメントシステム：Information Security Management System」について記載させて戴きます。なお、他に企業倫理遵守のためのマネジメントシステム規格（自己宣言）である「ECS 2000」等が存在していますので、リスク管理を検討する中で適切に選択されることを推奨致します。

・参考
「ECS 2000 v1.2」（pdfファイル）
「ECS 2000 v1.2ガイド（pdfファイル）
「SA8000 Standard」（pdfファイル）

企業経営の中で多くの情報システムが活用され、インターネットを利用したビジネス、あるいはビジネスには欠かせないインターネット情報要素があり、電子メールを始めとしウエッブサイトによる顧客情報の入手や企業情報開示など、インターネットを利用することはもう当り前になってきました。また、インターネットに限らず企業情報や顧客情報などの機密情報がコンピュータによって管理されるようになりました。そうなると厄介なのがコンピュータ・ウイルス、サイバーテロなどによるウエッブサイトの改竄や情報漏洩など、情報に関するリスクが増大の一途を辿るようになりました。情報管理が不行届きであったために発生するリスクは、計り知れない損害を企業に与えるばかりか、社会的信用が失墜し企業存続に関わる事態まで招いてしまいます。そのような情報に関するリスクを未然に防止し、より顧客に信頼される企業のIT化を進めるためにも表題に記載したような「情報リスクマネジメントシステム」による管理が求められています。

情報セキュリティマネジメントシステム（ISMS）規格とは
イギリスのBS7799という規格（2部構成）を母体とし、その1部（前編）が2000年にISO/IEC17799として国際標準となったことを受けて、日本では、JIS X 5080：2002が発行され財団法人　日本情報処理開発協会（JIPDEC）による情報セキュリティマネジメントシステム（Information Security Management System）の認証制度が発足しました。2005年10月には、BS7799-2に代わるISO/IEC 27001:2005規格「情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項」（JIS Q 27001）が発行されました。また、現在発行されているISO/IEC 17799:2005「情報技術−セキュリティ技術−情報セキュリティマネジメントの実践のための規範」は2007年に、ISO/IEC 27002（JIS規格としてはすでに、JIS Q 27002として発行済み）という名称に変更されます。なお、JIS X 5080規格は廃止されます。

多くの情報サービス業やコンピュータ等を使用して活動を行う企業各位様には、今後必須規格となることが予想されることから、認証取得企業が加速的に増えていくものと予想されます。

参考資料
・ISMS移行計画（pdf）
・ISMS IUG FAQ集（pdf）