概要
組織防衛の意味合いが強い情報セキュリティレベル向上の枠組みとして、ISMS(情報セキュリティ・マネジメントシステム)を導入する、もしくは認証を取得する動きがわが国では多く見られる。ISMSの「MS」はマネジメントシステムのことであり、「ISMSが機能している」というのは「情報セキュリティ」に関して「PDCAが回っている」とも言い換えることができる。
一方、DXはデジタル・トランスフォーメーション、すなわち、デジタルを活用した企業変革のことである。DXの難しいところは新しいITを導入しただけでなく、それが有効となるように組織のプロセスも変革しなければ十分ではないことである。変革後のビジネスプロセスのPDCAを回さなければ、高価な投資が無駄になりかねない。
どちらもPDCAがしっかりと回る組織体質でなければ達成できないが、PDCAを組織的に体得するには、国際規格があり、認証機関がチェックしてくれるマネジメントシステムの認証取得が有効な手段となるため、ISMSやQMS(品質マネジメントシステム)などが有効なのである。
ISMSとは
ISMSはInformation Management Systemの略であり、日本語で情報セキュリティ・マネジメントシステムという。ISMSにはISO/IEC27001の国際規格があり、日本ではJISがJIS Q 27001として規格化している。
繰り返しとなるが、ISMSの「MS」はマネジメントシステムのことである。必ずしも世間に通用するお墨付きを意味する「認証取得」のことだけを意味するものではないが、せっかくISMSを構築するのなら定期的なチェックが入り、外部にも表示できる認証取得を指向することが多いと思われる。
ISMS以外のMSには、品質管理のQMS(品質マネジメントシステム)、環境適合のEMS(環境マネジメントシステム)などがある。何をテーマとするかはそれぞれ異なるが、共通するのはマネジメントシステムであるということだ。マネジメントシステムを簡単に言い換えればPDCAが回っている状態である。
ISMSは、その適用範囲において情報セキュリティをテーマとしたマネジメントシステムが構築されているということであり、単にルール設定だけでなく、その実行、確認のほか、経営者や従業員の意識、力量の維持も含まれる。
認証取得しないISMSとISMS認証取得の違い
日本語のJIS Q 27001は市販されているので、これに沿って社内に体制を整備すれば理屈としてはISMSの構築はできるため、あえて認証をとる必要はない。
ISMSの認証取得には費用はかかるが、メリットが2つある。
ひとつは、認証取得時に認証機関による審査があり、また取得後も維持するには毎年最低1回の審査が必要となるため、維持に向けた緊張感が違う。
もう一つは、認証を取得しているという社会的地位の獲得である。信用しないという人もいるかもしれないが、何もないよりはある方が外から見て信用しやすいことは間違いない。
ISO/IEC27001に規定された主な内容
規格書の主な内容を目次でいうと、「1.適用範囲」、「2.引用規格」、「3.用語及び定義」、ときて、「4.組織の状況」がある。ここでは、自組織の状況を利害関係者のニーズや期待を理解して、ISMSの適用範囲を決めるということだ。
つづいて「5.リーダーシップ」で、組織トップの関わり方や方針や組織の役割のあり方を決めなさいとなる。「6.計画」がISMSでも最重要な部分で、PDCAのP(plan)にあたるリスクアセスメント、リスク対応の計画を作ることになる。
「7.支援」にもいくつかの内容があるが、重要なのは要員の力量、つまり、ISMSを機能させるための知識・スキルを定義して実際に足りているかをチェックすることが含まれる。
「8.運用」では、PDCAのD(do)にあたる運用計画とその管理、「9.パフォーマンス評価」ではPDCAのC(check)にあたる監視、監査、トップによるレビューが規定されている。
「10.改善」が最後で、PDCAのA(act)にあたる是正や継続的改善となっている。
マネジメントシステムが構築されているということ
マネジメントシステムが機能している、という状態は、そのテーマについて、ISMSなら情報セキュリティについて、外部、内部の環境変化に応じた目的、目標に向けて、計画を策定して、実行し、チェックし、改善する能力があるということだ。
どんな組織でも年度目標、月間目標などはあるはずで、評価もあり、それによって賞与なども変わるかもしれない。だが、目標達成を多層的に確認し、達成できた場合でも改善や、できない場合の処置やフォローができているかどうかなどは組織による様々だろう。マネジメントシステムこれらを確実に遂行するための組織の仕組みなのだ。
ISMSの組織学習が済んでいるなら、テーマを情報セキュリティ以外に設定しても上手くいく可能性は高い。たとえば、営業なら営業目標、生産なら品質目標や在庫目標などだ。マネジメントシステム構築の最大の利点は、目標達成に向けた仕組みを組織学習できることだと言っていいと思う。
DXを考えるうえでいつも壁になること
IT導入については、効果がすぐに出るものと、そうでないものがある。「このシステムを入れれば伝票入力が無くなり月にxxx万円の効果がでる」という単純パターンは前者の例であるが、最近では少ない。後者の例としては、「システム導入にあわせ営業活動のやり方を変えることでxx%の売上向上」のような、IT導入とビジネスプロセスの改革がセットになったようなパターンが多い。DXの場合は定義からして「デジタル+ビジネスプロセス変更」なので、後者であることがほとんどだろう。
DXのXは変革のことで、ビジネスモデルやビジネスプロセスの変革のことだ。「変革」というのは、ちょっとした変更ではなく、一般には抜本的な変更を意味する。ビジネスモデルの変更も、実行面ではビジネスプロセスの変更になるので、ビジネスプロセスの変更を目標に向かって計画し、実行し、チェックし、改善するサイクルがどうしても必要となる。
したがって、DXの計画を考えるにあたり、懸念されるのが、ビジネスプロセスの変革をやり切れる組織能力があるのかどうであり、これが不安な場合、変革などという大それた計画を作るのは怖くなってしまう。DXをやろうとするなら、マネジメントシステムが機能する組織能力が必要なのである。
まとめ
本稿のテーマはISMSとDXだが、趣旨としてはQMSとDXでも同じである。ただ、ほとんどの人間がネットワークに参加する現代において、情報セキュリティと経営はセットで考えなければならない。そういうこともあり、まだISMSを取得していない組織の方は、「DXをやろうとするなら、ISMSもいかがですか」、という提案だと思っていただければ幸いである。
(執筆:山田一彦)
■この記事の関連記事・関連サービス■
ブログに関する関するご意見・ご感想はお問合せフォームよりお知らせください。
デジ☆ブログへのご意見・ご感想
ITマネジメント・サポート協同組合では、DXの活用・推進にお悩みの中小企業に向け、DX計画向け解決策提示・スコアリングサービス『デジ☆レシピ』をリリースしました。こちらもご覧ください。
『デジ☆レシピ』サービスご紹介
