ISMS導入後のプロジェクトの進め方・後編（情報収集と活用）

ISMSで重要なのは、新たなリスクを認知して未然に防ぐ事です。そのためには現場の状況や意見などの情報を吸い上げ、把握しておくことが必要です。組織内のリスクや情報セキュリティ情報などが収集できる体制を作っておきましょう。これらの情報は、後々リスクアセスメントの参考情報となります。内部監査やマネジメントレビューを行う際にも使用しますので、しっかり記録として残しておきましょう。

1.情報セキュリティの動向
個人情報保護法の施行、情報窃盗罪の新設要請といった社会的に特に注目されている情報セキュリティの動向は、自組織にも影響を与えることがあります。特に個人情報関連は各省庁の個別法、業界ガイドラインなど多岐にわたります。新聞発表や各省庁のホームページはまめにチェックしましょう。

2.情報セキュリティに関する最新技術情報
最新技術の導入により、今まで対応ができないと考えられていたリスクに対応できる可能性があります。外部のセキュリティベンダー、情報セキュリティを扱うホームページや専門誌から入手できます。

3.他社の事故事例
他社で起こっている事故は自社でも起こるかもしれません。他社の事故事例に学び、自組織内に同様のリスクが潜在するようであれば、予防処置をとり、未然に対応策を講じることもISMSの重要な目的の1つです。

4.組織内の問題心配事
組織内ではっきりと感じている不安は大きなリスクである可能性が高いと思われます。組織内の方々が抱えている問題や心配事はできるだけ多く収集して、対策の要否を検討してください。

5.利害関係者からのフィードバック
顧客との商談や取引の内容などは重要な情報です。営業部門と製造部門が商談内容の情報共有をせずに仕事を進めてしまうと、納期や品質の面において、トラブルの原因になってしまう場合があります。また協力会社からのさまざまな提案も貴重な情報源です。顧客や協力会社、グループ会社といった利害関係者からの情報セキュリティ上の情報はなるべく吸い上げて整理し、未然にトラブルを防ぎましょう。

収集した情報をうまく活用するために、連絡経路を具体的に定めておきましょう。あらかじめ連絡経路を設定しておくことで、必要な情報が埋もれることなく共有ができるようになります。あたりまえのことですが、ルールを統一しておかないとコミュニケーションロスが発生する可能性があります。

1.情報の収集担当
情報セキュリティの動向関連の情報は、収集担当者や収集の方法、収集の内容（カテゴリ分けなどを含む）を定めておき、定期的に情報収集するとよいでしょう。情報セキュリティの動向はすくなからず自組織にも影響を与えるため、確実に情報を共有することが重要です。技術情報やセキュリティ事故情報などは、必要に応じて情報を収集し、参考にするとよいでしょう。

収集すべき情報内容例
・情報セキュリティ動向　（個人情報保護法、各種ガイドライン、判例など）
・技術情報　（OSのセキュリティパッチ、ウイルスソフトパターンファイル、アプリケーションの脆弱性など）
・他社の情報セキュリティ事故事例　（インシデント対策、プレスリリース方法など）
・組織内の問題心配事　（組織内でのアンケート結果など）

2.情報の連絡経路
報告、連絡する場合の経路も定めておいたほうがよいでしょう。何の情報を入手したときには誰に報告すればいいのか、報告を受けた人間はその報告をどこへ連絡しなければならないのかを定めておけば、情報の伝達はスムーズに行われやすくなります。また将来のトラブルを防ぐためにも、記録を残せるメールなどを活用するとよいでしょう。

　メールでの伝達例
　技術動向ニュース　（ウイルス情報やセキュリティホールなど）
　情報収集担当者→情報責任者　（共有の対象者全員にCCで伝達）
　各自から内容確認メール　（宛先情報責任者、CCで情報収集担当者に伝達）

3.情報の検討方法
情報を得たとしても、それが自社のISMSに変化をもたらすものかどうか、すぐには判別がつかないこともあるでしょう。情報の内容をどう検討するか、どう反映するかを決定するための方法は定めておくことが望ましいでしょう。

　情報活用例
　技術動向ニュース　（ウイルス情報やセキュリティホールなど）
　情報責任者 →会議で活用方法を検討　（顧客への情報提供など）
　情報システムなどの関連部門の情報共有

4.情報の周知方法
情報の内容によっては、注意を喚起するためにも周知が必要になります。情報の周知が必要と判断された場合には、その方法を定めておくことも重要です。

　情報の周知例
　社内掲示板などで一斉連絡　（受取確認付きメールなど ）