情報セキュリティから見た品質管理とは

ISO9001/ISO27001の統合審査

5月末に、外部審査機関によるISO9001（品質管理）とISO27001（情報セキュリティ）の統合審査を受審いたしました。

審査の結果としては、マイナー指摘1件と観察事項15件となり、マイナー指摘についても既に是正対応が終わり、無事に認証を更新いたしました。

今まで弊社は、ISO9001/ISO14001（環境保護）での統合審査を受けていましたが、今年からはより業務特性に応じた審査を受けることを目的に、ISO9001/ISO27001の統合審査に切替えを行ないました。そこで今回、情報セキュリティから見た品質管理について、少し触れてみたいと思います。

利便性とセキュリティの共存

情報セキュリティ環境の改善を行なっていくと、業務フローが煩雑になりがちです。セキュリティ性を高めるという観点からは、業務フローが煩雑になっても「会社を守るためには仕方がない」と考えがちです。しかしその結果、情報セキュリティフローと実際の業務フローに不一致が発生し、トラブルが発生してしまいます。最悪のシナリオですが、ありがちなパターンなのではないでしょうか。

品質管理においては、業務フローの効率化や品質の向上をすることで「顧客満足度が向上する」と考え、改善を行なっています。業務フローの効率化を図るうえでは、利便性を追求し、無駄なプロセスを削減していく。結果として、情報セキュリティを軽視しがちになってしまうこともあります。実際、弊社でも積極的な業務効率化を進めていく過程で、効率化を追求するあまり、情報セキュリティを意識しないケースが散見されます。

情報セキュリティの強化も品質管理の効率化も、企業活動を行なっていくうえでは必要なことです。この二つの側面について、バランスを取りつつ改善を続けることが、経営上求められていることだと思います。その一つの答えが、積極的にITインフラを活用することで効率化を図り、システム側で制御を行なうことでセキュリティ性を確保することなどがあげられます。スタッフは普段セキュリティを意識しなくても、システムにより機密性が保たれている。このような問題解決は、品質管理と情報セキュリティの統合による効果だと思います。

情報ライフサイクル管理

情報セキュリティ規格であるISO27001で、リスクを大別すると大きく二つに分けることが可能です。

一つは、社内ネットワークシステムや物理的なリスクです。例えば、事業継続などがこれに当たります。事業継続体制の構築は、バックアップや代替方法の構築などリスクと重要度に応じて対策を取捨選択しながら、ITインフラの整備と維持を進める必要があります。これらの整備が終わると運用段階に入り、以降は運用を続けながら見直しを進めていくことになります。

もう一つのリスクは、日常的な業務の中で発生するリスクです。

ISO27001でリスクマネジメントを行なう際の、重要な視点の一つに情報ライフサイクルがあります。情報ライフサイクルとは、ある情報が作成され、配布・使用などを経て破棄されるまでの間を定義することです。ISO27001単独で、企業活動における様々な成果物の情報ライフサイクルを一つ一つ決めていくことは、現実的には無理があります。しかしISO9001では、成果物の作成手順、レビュー方法、さらには使用方法までが業務フローとして定義されています。つまり、ISO9001とISO27001を統合運用することで、ISO27001で求められている可用性・完全性の視点が定義されるということです。ここに機密性の視点を追加することで、情報ライフサイクルに応じたリスクアセスメントが完成します。あとは、それぞれのリスクに応じた対策を行なうことで、リスクマネジメントが完了です。これは、ISO9001とISO27001統合によるシナジー効果の一つだと思います。

まとめ

冒頭でも触れていますが、今回弊社はISO9001/ISO14001の統合審査からISO9001/ISO27001の統合審査に切替えを行ないました。その大きな目的が、上記のような品質管理と情報セキュリティの統合によるシナジー効果でした。以前よりマネジメントシステムの統合作業を進めてきましたが、各種マネジメントシステムで共通するPDCAサイクルのフレームワークの統合作業については、まだまだ改善の余地はあるものの、ほぼ統合することができました。今後は業務に直結する部分についても、統合と改善を行なっていきたいと思います。