はじめに
こんにちは、危機管理室の石川直樹です。
本日(2023年7月7日)は、節目の20期目を迎えたクラスメソッドの設立記念日ということで、ブログを書かせていただきます。
簡単な自己紹介をさせていただきます。
私は、2005年5月入社(18年目)の非エンジニアです。
この18年、開発以外のことはいろいろと経験をさせていただいてきました。
今回は、この18年で私が一番携わってきた外部認証規格(事務局)について書かせていただきたいと思います。
外部認証規格との出会い
入社して2年目の2007年に、情報セキュリティマネジメントシステム(ISMS)の認証取得に携わったのが、外部認証規格と私の出会いです。
前職がISOを取得している企業にいたので、ISOの存在は知っておりましたが、どのように取得、維持されているのかまでは認識しておらず、実際、取得までの道のりが険しく、当時規格本を読んでも何を求めているのかが理解できず、お手伝いをしてくださったコンサル会社の方には大変ご迷惑をお掛けしたことを今でも覚えております。
はじめての外部認証規格(ISO/IEC27001)
ISO/IEC27001(情報セキュリティマネジメントシステム)、一般的に「ISMS」と言われている規格になります。
どういう規格か簡単に説明しますと、組織における情報資産のセキュリティを管理するための枠組み(情報セキュリティマネジメントシステム)に対してPDCAサイクルを回すものです。
当時の私は、上記説明に対して理解することができなかったのを覚えています。(笑)
そんなISO/IEC27001ですが、取得当時のバージョンが「ISO/IEC 27001:2005」、現在のバージョンが「ISO/IEC 27001:2013」、そして今年度からは新バージョン「ISO/IEC 27001:2022」での審査が受けれるようになりました。
新バージョンへの移行期間が、2025年10月31日までということで、あと2年の移行猶予があるのですが、現在のバージョンが「ISO/IEC 27001:2013」がオンプレを前提とした内容になっているため実態に近い内容に改訂された、新バージョン「ISO/IEC 27001:2022」に移行することにより、より組織のセキュリティを高めることができると考えております。
2つ目の外部認証規格(プライバシーマーク)
ISO/IEC27001を取得してから9年後の2016年にプライバシーマーク(JIS Q 15001)を取得しました。
一般的に「Pマーク」と言われている規格ですね。
よく聞くのが、Pマークを取得してから、ISMSを取得するパターンが多いらしいのですが、当社は何故か逆のパターンでした。
プライバシーマークを取得したことにより、ISMSでも個人情報に関する規定はありましたが、より細かく管理する必要があるということを再認識しました。
プライバシーマークもISO/IEC27001と同じく、取得当時のバージョンが「JISQ15001:2006」、現在のバージョンが「JIS Q 15001:2017」となります。
プライバシーマークの歴史について調べていたら、プライバシーマーク制度が2023年4月で25周年ということを知りました。
プライバシーマーク制度とクラスメソッドの歴史が5年しか変わらないことに、20年ってすごいことだと改めて感じております。
3つ目の外部認証規格(PCIDSS)
クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準。
PCI DSS(Payment Card Industry Data Security Standard)を取得しました。
正直、PCI DSSについて私が携われたのは、ISO/IEC27001で網羅している部分だけで、AWS事業本部オペレーション部の方にサポートいただきながら審査を受けたのを覚えております。
4つ目の外部認証規格(ISO/IEC20000-1)
ISO/IEC20000-1(ITサービスマネジメントシステム)、一般的に「ITSMS」と言われている規格になります。
組織が提供するITサービスの内容やリスクを明確にし、サービスの継続的な管理、高い効率性、継続的改善を実現するための枠組み(ITサービスマネジメントシステム)に対してPDCAサイクルを回すものです。
今年度の私の目標は、「ISO/IEC20000-1」をより理解し、ISO/IEC27001同様にISO/IEC20000-1の対応ができるようにしたいです。
上記、目標からもわかるように「ISO/IEC20000-1」についての記載が薄いんですよね。
がんばります。
5つ目の外部認証規格(ISO/IEC27017)
ISO/IEC 27001の認証を前提としたクラウドサービスの情報セキュリティ規格になります。
当社では、クラウドサービス(AWS)を活用したクラウドサービスカスタマー、メンバーズポータルサイト(CMP)を提供するクラウドサービスプロバイダーとして取得を行っております。
※対象事業:メンバーズサービスのメンバーズポータルサイトの提供
6つ目の外部認証規格(ISO/IEC 27701)
ISO/IEC 27701もISO/IEC27017同様にISO/IEC 27001の認証を前提とした規格でプライバシー情報の保護に特化した規格(プライバシー情報マネジメントシステム)になります。
プライバシーマークでも個人情報に関する規程はあったのですが、より難しくなった印象があります。
用語からもわかるように「PII」「PII管理者」「PII処理者」・・・・・取得を目指していた当時はポカーンって感じでした。
ちなみに意味は以下です。
PII:個人を識別(特定)することができる情報
PII管理者:PIIを処理するための目的・手段を決定する、管理者の立場
PII処理者:PII管理者の代わりに、指示を受けてPIIを処理する処理代行者の立場
昨今、プライバシー(個人情報)に関しては、かなり厳しくなってきたので、会社を守るためにも、もっと理解を深める必要があると感じでおります。
その他(SOC2 Type1保証報告書受領業務)
会社のサービスやシステムを対象とした、セキュリティ、可用性などの統制に関する評価報告書の業務にも携わらせていただいております。
お客様よりご依頼いただきました、SOC2報告書のお手配をしているのは、私です。(笑)
まとめ
2007年のISO/IEC27001取得から16年間、外部認証規格の事務局としてやってきましたが、こんなに長く同じ業務を続けるとは私自身思っていませんでした。
同じ業務ではあるのですが、新しい規格、規格のバージョンアップ対応など、いろいろな変化があったので続けてこれたのではないかと思っております。
第20期、コロナ禍でも一度もコロナ陽性の診断を受けずに過ごしてきた私ですが、スタート早々に人生初のコロナ陽性診断を受けてしまい、自身のリスク管理ができていない。(笑)
とよく言われておりますが、会社のリスク管理はしっかり実施していきますので、ご安心いただければと思います。