事例紹介:
ISO/IEC 27017:2015に基づいたISMSクラウドセキュリティ認証、ISO/IEC 27018認証取得
株式会社TKC
▲写真左より:株式会社TKC 経営管理本部 TKCインターネット・サービスセンター 課長代理 髙橋 泰正 様、同社 執行役員 TKCインターネット・サービスセンター センター長 水野 典明 様、同社経営管理本部 TKCインターネット・サービスセンター 課長代理 渡邉 学 様
BSIジャパンは、株式会社TKCのTKCインターネット・サービスセンターに対し、ISO/IEC 27017:2015に基づいたISMSクラウドセキュリティ認証*1(以下、ISO/IEC 27017認証)を行いました。(認証登録日:2017年6月19日)
また、2015年10月12日にISO/IEC 27018認証*2も弊社より取得されています。
同社は、昭和41年(1966年)の創業以来一貫して、会計事務所と地方公共団体の2つの分野に専門特化した情報サービスを展開し、日本の経済、地域社会の発展に貢献しています。
*1 認証登録範囲:TKCインターネット・サービスセンターで行う、TKCクラウドサービスの提供に係るクラウドサービスプロバイダとしてのシステム運用管理(2017年5月19日付 適用宣言書 第5版)
*2 認証登録範囲:TKCインターネット・サービスセンターで行う、ファシリティサービス及びクラウドサービスの運用管理(2017年5月19日付 適用宣言書 第5版)
1.まず、クラウドセキュリティ認証である2つの認証(ISO/IEC 27017認証、ISO/IEC 27018認証)取得に至った背景やきっかけ、経緯をお聞かせ下さい。
▲株式会社TKC 執行役員 TKCインターネット・サービスセンター センター長 水野 典明 様
コンプライアンス及びIT統制が厳しく必要とされる顧客からの要求事項に対し、弊社のトップマネジメントは、クラウド上のセキュリティ及び個人情報管理を国際基準で対応することが当社の義務であると考えています。
その中で、2016年1月のマイナンバー制度施行があり、2015年10月からマイナンバーの通知が開始されました。その際、当社は約3,000万人分のマイナンバー情報をお預かりする見込みがありました。ただ、本当にISO/IEC 27001(ISMS:情報セキュリティマネジメントシステム)の運用のみで個人情報保護に問題がないのかどうか懸念がありました。そのような状況の際に、ISMSの更新審査があり、BSIジャパンの審査員より、ISO/IEC 27018*1について紹介を受けました。それがISO/IEC 27018の認証取得のきっかけになります。
一方、ISO/IEC 27017認証については、ISO/IEC 27017が日本発の国際規格であったことからもISO/IEC 27017:2015*2発行の情報を掴んでおり、当社の認証取得スケジュールに組み込み、準備を進めていました。加えて、私どもはサイロ型のサーバーを開発部門から引き受けて運用を行うなかで、ほとんどがクラウドに置き換わってきています。そういうことで、クラウドに特化した規格があるのであればそれに準拠するべきだという判断をしています。
*1 ISO/IEC 27018:2014は、個人情報を取り扱うクラウドサービス事業者がパブリッククラウド上で管理する個人情報の保護に焦点を当てた初めての国際規格です。
*2 ISO/IEC 27017:2015は、クラウドサービス固有の情報管理策及び実施の手引きを追加するガイドライン規格です。JIPDEC(現ISMS-AC)はISMSクラウドセキュリティ認証のための新たな認証基準として「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項JIP-ISMS517-1.0」を策定しています。
2.マネジメントシステム構築のなかで、工夫した点、取組みの特徴などがございましたらお聞かせください。
▲ 同社経営管理本部 TKCインターネット・サービスセンター 課長代理 渡邉 学 様
ISO/IEC 27018のマネジメントシステム構築に取り組むと決定した際は、まだ規格が発行されて間もなく、日本語化もされていない状況でした。結果、世界でも当社が3番目の認証取得組織となりましたが、外部のコンサルタントを利用せず自社でマネジメントシステムを構築しました。この経験からISO/IEC 27017の際もコンサルは使用しませんでした。
まず、用語の解釈から規格を理解し、運用状況を把握し、認定機関であるJIPDEC(現ISMS-AC)や認証機関であるBSIジャパンの説明会へも積極的に参加し、自社でGAP分析を行いました。
この結果、ISO/IEC 27017認証取得に取り組む際、現状の実運用の面では概ね対応ができていることがわかりました。取り組むべき点として、クラウド固有のリスクをどのようにマニュアルに明瞭化するかが課題となりました。その後、社内のISMS推進委員会や、ISMSに携わってきた担当に意見交換し具体的管理策を固めていきました。
弊社の取り組みの特徴は、ISMSをベースに、27018、27017を加えた拡張性のあるマニュアルができた点にあります。審査員からもこのようなまとめかたがあるのかとお褒めの言葉をいただきました。
3.認証取得後、企業として成果や利点は何かございましたか。
一番のメリットは、入札時に多数のクラウドサービスプロバイダとの差別化が実現できたことです。特に大きなインパクトはISO/IEC 27018の認証で、個人情報保護の側面でお客様との話が進めやすくなりました。
また、当社のサービスには、日本公認会計士協会の監査・保証実務委員会実務指針第86号に基づく「受託業務に係る内部統制の保証報告書」(86号報告書)を受領しているサービスがあります。ここに、ISO/IEC 27018を適合させることによって、各システムの保持する個人情報の明確化や特権管理者の権限の明確化を実現することができました。
ISMSクラウドセキュリティ(ISO/IEC 27017)認証に関しては、昨年スタートした認証であり、これから市場に浸透していくことと差別化につながることを期待していますが、社内の運用面では、クラウドサービス特有のリスクに対する管理策を見直すことができました。
4. 今後の展開と目標を教えてください。
ISMSの体制を維持しつつISO/IEC 20000-1(ITサービスマネジメントシステム)でITサービスの運用強化を実現する方法を検討中です。
5. BSIジャパンを審査機関として選定いただいた理由と審査についてお聞かせください。
着任した段階で、すでにBSIジャパンがISMS認証機関として当組織の審査を行っていました。当社は、ユーザー企業が絞り込まれており、且つ正社員のみで運用を行っています。他社と比較すると特殊な状況と考えていますが、毎年審査員が変更されても、当社の状況に見合った審査を細かく行ってもらえていると考えています。さらに活かすべき点をフィードバックや改善の機会として指摘いただいています。
6. 今後、BSIジャパンに期待することをお聞かせください。
頼りにしているのは、BSIジャパンの研修・トレーニングサービスです。
当社は、新入社員への教育に段階を設定しています。最初はISO(マネジメントシステム)に直接的に係らない業務からスタートをさせ、後になってすべてがISOに係る業務だったと気がつくようなISOアレルギーを起こさぬような計画で教育を実施しています。
BSIジャパンの情報セキュリティ研修コースは、レベルが細かく分かれており、当社の研修の一部として利用しています。主に、「要求事項解説トレーニングコース」と「導入実践コース」を利用していますが、「内部監査員養成コース」へのステップアップを現在検討中です。
また、前述しましたようにISO/IEC 20000の導入においても研修・トレーニングサービスを利用中です。日々の運用が、トレーニングで理解した内容の上で実行できることがメリットです。
引き続きこのようなサービスを継続していただきたいと思っています。
今後の参考とさせていただきます。貴重なお話をありがとうございました。
株式会社TKC様に関して
今回インタビューにご協力いただきました株式会社TKC様の詳細情報に関しては、下記URLよりご参照いただけます。
