|
前編に引き続き、リコージャパン株式会社の北島様に、お話をお伺いします。 |
<全社のISMS推進業務に参加>
| JRCA: | 統合をきっかけに北島さんの業務に変更はあったのでしょうか。 |
| 北島: |
はい。2014年に会社の統合があり、その後、2年間は福岡で業務を継続していたのですが、2016年に組織再編があり、このタイミングで、東京本社に異動になりました。異動後は、全社のISMSとEMSの事務局を担当しており、内部監査員も兼務しておりました。全国規模の企業となったため、拠点数は当時350拠点以上あり、監査対象が600件ほどありました。そのため、多い時では部署全体で年間200件弱程度の内部監査を実施していました。また、事務局としては、年度開始時にISMSについての勉強会を各県の支社にて開催し、情報セキュリティの考え方や各年度での実施事項などを伝える活動をしていました。内部監査と勉強会実施で、コロナ禍前までにはほぼ全ての都道府県に足を運びました。 |
| JRCA: | そのような監査活動を通じて発見されたことなどはありましたでしょうか。 |
| 北島: |
やはり、実際に現地に訪問してみないと分からないことが沢山ありました。また、内部監査員はある意味、嫌われ役の面もあります。拠点に行ってもあまり歓迎されていないと感じることもありました。指摘することは簡単でも、現実的な問題点が解決できなければ実現できないこともあります。監査終了後に、どう変更すれば改善できるのか、一緒に解決に向けて検討することもありました。社内規定やルールのベースとなっているのはISO/IEC27001の規格やリスクの考え方になりますので、なぜこの規定やルールがあるのか、なぜ実施する必要があるのか、という点をより深い視点でお話することができます。 その結果、監査期間終了後には、「セキュリティについて相談に乗ってくれないか」、「こういうことをお客様から言われているのだけれど」といった相談を受けるようになり、現場の方とのコミュニケーションが円滑になったことは大きな収穫でした。 また、それぞれの地域、各業務の内部監査を行うことで、各部署のグッドポイントも蓄積することができ、そのグッドポイントを他部署での内部監査を通じて共有することができたことも大きなメリットになりました。 内部監査では、複数の監査にて同様の指摘や課題が出てきたりすることもあります。事務局として発信している内容が実は負担になっていることを知ることもできましたし、情報セキュリティのリスク対応として考えたときに本当にこれで実態に合っているのかということを確認できました。得られた情報から次年度のISMSの方針や仕組みを改善したり、監査の中で変化をつけたり、ルールを改定しながらPDCAを回していると感じています。 監査の結果は、マネジメントレビューにて経営層へ報告しています(図1参照)。 |
|
|
| JRCA: | その他に何か変更点はありましたか。 |
| 北島: | もう一つの大きな変更として、2018年のQMS、EMS、ISMSの統合があります。この統合により、リスクアセスメントの方法も、QMS、EMS、ISMSのそれぞれの視点からリスクを洗い出すという方式になりました。また、内部監査も、QMS、EMS、ISMSの3つの内部監査を同時に「統合内部監査」として行っています。これにより、情報セキュリティリスクだけでなく、品質や環境のリスクに繋がりがあることが分かり、とても勉強になりました。 |
<状況変化に対応した知識習得とマネジメントシステム全体で捉える>
| JRCA: | マネジメントシステムに関与され、その後、ISMS審査員資格を取得され10数年経ちましたが、今後、特に力を入れていきたい点がありますか。 |
| 北島: |
セキュリティ分野は多岐にわたっており、非常に範囲が広がっていると感じています。以前まではISMS規格をベースにして認証を維持継続することで大部分はカバーできると考えていました。しかしながら、サイバー攻撃などの脅威に対しては、未然防止に重点を置いた従来のISMSの対応だけでは対策が不十分な場合があります。更にセキュリティ強度を高めるため、NIST SP 800-171(注1)やCSF(注2)の要求事項も参照し、セキュリティ強化のための対応計画を策定し、実施しています。
その他、経産省のサプライチェーン強化に向けたセキュリティ対策評価制度が始まるという話もあります。さらに、個人情報保護法の改正も控えていますし、ISMAP(注3)、FedRAMP(注4)など様々なセキュリティガイドラインがあり、お客様から準拠が求められる場合があります。また、生成AIも当たり前に活用される時代です。働く環境の変化が本当に早い状況の中で、引き続き最新の情報を習得する必要があると考えております。 リコージャパンの情報セキュリティの仕組みは、ISMSをベースにしたしっかりとした土台があるので、その土台を基に、先ほどお話したようなNISTやCSFの要求事項に関する活動や、個人情報保護法を始めとした、プライバシー関連の活動を実施していくようなイメージです。 また、私はリスクマネジメントの部署も兼任していますので、内部監査で培った経験をこの部署でも生かしたいと考え活動しています。この部署で見るリスクには、事業継続に関するリスク全般が含まれており、対応するリスクは多岐に渡ります。コーポレート・ガバナンスの仕組みが構築されており、それぞれのリスク主管区がリスクマネジメント委員会にて各種のリスクを共有し、重要テーマについては経営会議で議論する流れになっています。ISMS規格から習得したリスクマネジメントの考え方は、全社に関わるようなリスクにも応用できると思っています。 例えば、情報セキュリティ以外のインシデントでも、状況の確認、影響範囲はどうか、真の原因は捉えられているか、再発防止まで繋げているのか、有効性はどうか、などという点は監査での確認ポイントと同様になります。 |
| (注1)NIST SP 800-171:米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が発行するガイドラインの一つ。 | |
| (注2)CSF:Cyber Security Frameworkの略。組織がサイバーセキュリティリスクを管理・改善するための世界的なガイドライン。 | |
| (注3)ISMAP:Information system Security Management and Assessment Programの略。政府が定めるセキュリティ要件を満たすクラウドサービスを評価し、登録する制度。 | |
| (注4)FedRAMP:Federal Risk and Authorization Management Programの略。米国連邦政府がクラウドサービスのセキュリティを評価・認証するための、標準化されたプログラム。 | |
| JRCA: | 将来の審査員(内部監査員)の育成についてはどのように感じていますか。 |
| 北島: | 人材育成については、以前からその役割を担ってきており、単に監査の技術や専門知識を継承するだけでなく、内部監査員として企業をより良くしていくことが監査員の「醍醐味」であると伝えています。内部監査には、「改善」という非常に大きな役割があります。現場の方々と密にコミュニケーションを取りながら、課題を見つけ、改善を進めていくプロセスを「楽しい」と思えるような環境づくりが重要です。この経験を次の世代につなぐことが重要だと考えています。 |
| JRCA: | 本日は貴重なお話をありがとうございました。 |
Copyright 2021 Japanese Registration of Certificated Auditors and experts. All Rights Reserved.
JSA Webdeskのページはこちら 
