IT化が進む現代で、情報セキュリティの強化や、継続的なマネジメントを行う重要性が日に日に増しています。
企業として生き残り、業績を向上させるために、現状の課題を洗い出し、業務品質を改善していくことは不可欠でしょう。
特に個人情報や情報を重要な経営資源と位置付けている企業の場合は、情報漏えいなどのセキュリティにおけるインシデントは、業務品質が担保されていないというイメージがつき、顧客離れ、取引上の制約等につながると会社に大きな損害を出しかねません。
このような経営課題に対処し、経営陣による情報セキュリティへの関わりを確実にするために「マネジメントレビュー」を実施することが重要な活動となります。
今回はマネジメントレビューと、その規格、メリット、注意点などを解説します。
また、LRMではISMS新規格でとるべき対応が網羅できるオンデマンド講座を提供しています。まずは無料サンプルをご覧ください。
マネジメントレビューとは
マネジメントレビューとは、マネジメントシステム規格に基づき、組織が実行した内部監査の結果や、利害関係者からのフィードバックをもとに、組織のISMSが適切に運用されているかどうか、経営陣が報告を受け、次年度に向けての経営陣からの指示を行う活動です。決算報告のようにお考えいただけるとわかりやすいでしょう。
マネジメントシステム規格は「組織が方針及び目標を定め、その目標を達成するためのシステム」であるISO(International Organization for Standardization)という国際的なものです。
ISOは、組織が品質管理、環境管理、情報管理などに取り組む際に、それらを実現するための国際的な基準を示すもので、現状のマネジメント体制を振り返り、「売上や評判」から「製品やサービスの品質」を改善するための事業活動を管理するための枠組みです。
ちなみに、エビデンスとしてマネジメントレビューの結果を文書化して残していないと、マネジメントレビューの実施が確認できず、プライバシーマークの更新や、ISOの更新の際に認証が認められなくなる可能性があります。
マネジメントレビューには規格要求事項が存在する
マネジメントレビューは、マネジメントシステムを有効に、効率的かつ、継続的な改善ができるよう、国際的に使われている規格において必須事項(規格要求事項)となっています。
マネジメントシステムは、製品・サービスそのものではなく、組織の品質活動・環境活動の管理や、情報資産を管理を通じて事業目的の達成に貢献するための仕組みです。
ここでは3つの代表的なマネジメントシステムの国際規格をご紹介します。
品質マネジメントシステム(ISO 9001)
品質マネジメントシステム(ISO9001)は、一貫した品質での製品・サービス提供と、顧客満足度を高めるための国際規格です。
全10章で構成されている内容で、最も普及しているマネジメントシステムで、全世界100万以上の組織が利用をしています。
製品・サービスの品質向上、業務効率の改善、コンプライアンスの推進および、社会的信頼や企業価値の向上や、取引先の拡大にも役立ちます。
環境マネジメントシステム(ISO 14001)
環境マネジメントシステム(ISO14001)は、環境を保護、順守義務、環境目標の達成を実現するためのマネジメントシステム規格です。
品質マネジメントシステム(ISO9001)と同じく、コンプライアンスを推進や企業価値の向上の他に、環境リスクの低減や、省エネルギー省資源によるコスト削減を目指します。
社会経済的ニーズとバランスをとりながら、変化する環境状態に対応する環境保護のために必要な、組織の枠組みを示しています。
情報セキュリティマネジメントシステム(ISO/IEC 27001)
情報セキュリティマネジメントシステム(ISO/IEC 27001)は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
ISMSの確立・実施・維持・継続的な改善、情報セキュリティのリスクアセスメントおよびリスク対応、情報リスクの低減や社員の情報セキュリティ意識・モラルの向上にも役立ちます。
ちなみに、各認証を取得するには約1年間を要します。
認証取得には事前準備が必要であり、リソース管理が大変ではありますが、取得することによる信頼度アップや業務の効率化に役立つでしょう。
ISMSのより詳細な内容については、以下のページで解説しています。こちらもあわせてご覧ください。
マネジメントレビューのメリット
製品・サービスを提供するための仕組みの品質担保
ISO規格を認証されれているということは、マネジメントレビューが行われISOの活動に経営陣がコミットしているという証明になります。
それにより「この企業は、一定以上の業務品質が担保されている」とアピールできるため、自社サービスの顧客満足度の向上につながりやすいです。
また、企業によっては「ISO規格取得が取引の条件」としている場合もあり、他社と差別化を測り、取引の機会の増加も望めるのが大きなメリットです。
リスクや課題の認識
マネジメントレビューは経営陣とリスクや課題を共有するのに役立ちます。
現在の経営環境は、世界情勢、IT、顧客のニーズ、法令要求等日々変化し、マネジメントシステムで取り組むべき事項も変化しています。
そのような状況の中で、経営陣に現在直面あるいは潜在的に存在しているリスクや課題を報告し、それらのリスクや課題を、受容しつつ事業を展開するのか、何らかの対応をしながら事業を展開するのか、将来的な予算化を計画するのかといった経営判断の基礎となります。
経営の改善や経営戦略に役立つ
マネジメントレビューは、現在の製品・サービスの提供の現状を把握し、業務品質を改善して事業目標の達成可能性を高める狙いがあるため、「経営戦略」の一部といえるでしょう。
事業目標達成のためには、現状の把握が重要ですが、それを中々実施できない企業も多く、経営の改善を図るタイミングを自発的に作り出せるという意味でも、マネジメントレビューは有効な活動といえます。
マネジメントレビューで注意すべき点
なぜやるのか目的を明確にする
効果的にマネジメントレビューを実施するには正確なインプットと適切なアウトプットが重要です。
マネジメントレビューは、事業目標を達成するための、経営陣による間違いの無い指示を受けるために実施します。
そのため、現在当社が置かれている状況や考慮すべきリスクなどを客観的なエビデンス等に基づいて経営陣に的確に報告しなければなりません。
つまり、マネジメントレビューの形式をなぞるだけで、このような「インプット」や「アウトプット」をしなければ、マネジメントレビューの目的を達成することができず、それでは実施する意味もありません。
あらかじめ目的を明確化しておき、その目的に応じたインプットとアウトプットを意識して臨みましょう。
チェックシートを活用する
規格ごとの要求事項にあわせたチェックリストを作ることで、必要な情報を漏らすことなく正確にインプットしやすくなります。
チェックリストを用いることで、インプットだけでなく、アウトプットもやりやすくなり、どのような情報を集める必要があるのかを明確にしやすいです。
マネジメントレビューのインプットとアウトプットとは
マネジメントレビューのインプットは、「前回までのマネジメントレビューの結果」をふまえて、
- 前回までのマネジメントレビューの結果とった処置の状況
- ISMSに関連する外部及び内部の課題の変化
- 次に示す傾向を含めた、情報セキュリティパフォーマンスに関するフィードバック
- 不適合及び是正処置
- 監視及び測定の結果
- 監査結果
- 情報セキュリティ目的の達成
- 利害関係者からのフィードバック
- リスクアセスメントの結果及びリスク対応計画の状況
- 継続的改善の機会
といったPDCAサイクルのPDC(計画、実行、評価)までの結果をまとめます。
ここでは、経営に関わる「ヒト・モノ・カネ」の項目がどのように前回のレビューから変わり、どのような結果が出たのかを明確にします。
このインプットを受けて「どのように改善するか」を経営陣がその方向性を示すのがアウトプットです。
まとめ
定期的にマネジメントレビューを実施して、マネジメントシステムの継続的な改善、ISMSであれば、マネジメントレビューで明らかになった情報セキュリティのリスクへのリスク対応をきちんとこなしましょう。
ISO取得による保証は社外へのアピールや取引できる企業の増加など、メリットが非常に大きいので、国際規格の取得を目標にして見るのもよいでしょう。
また、ISMS新規格対応もお忘れなく!
