お役立ち情報 全国に店舗を持つ企業はISMS取得でどう対応するべき？

認証範囲を適切に設定することが重要

職種や店舗などが複数あり、様々な内容や形態で業務が行われている組織がISMS/ISO27001を取得する際は、「認証範囲」の適切な設定が重要です。

ISMS認証は、全社・全店・全従業者一括で取得する必要はなく、必要な部署・部門や任意に設定したチームなどで取得することが可能です。

また、全社を適用範囲としてISMSを構築する場合でも、部門や現場、業務内容、取り扱い情報など、それぞれ固有のリスクに合わせた仕組み・ルールを設定することも可能です。どのような範囲で取得するか、どのようにルールを設定していくかなど、リスクや事業の戦略などにもとづいて判断することが可能となっています。

不必要に全社一括での取得や一括のルールを設定してしまうと、運用コストが増大したり、業務の複雑化により従業者の負担が大きくなったりといった影響が考えられます。
そのような影響が発生しうることも考慮しつつ、「ISMSをなぜ構築するか」をしっかりと検討し、「何を守りたいのか」「なぜ守りたいのか」を踏まえ、事業戦略やコストなどに応じた適切な範囲の設定が重要です。

ここからは、特定の部門に絞ってISMSを構築する場合と、全社に渡って構築する場合の2つのパターンについてメリット・デメリット及び注意すべきポイントなどをご紹介します。

特定の部門に絞ったISMSの構築

まず、特定の部門に絞ってISMSを構築する場合は以下のようなメリット・デメリットが挙げられます。

メリット	審査費用やISMSの運用にかかるコストが抑えられる。
デメリット	ISMSが構築された範囲以外の部門の従業者はISMS取得を謳えない、ISMS認証取得の旨を名刺に掲載できないなど。 場合によっては、セキュリティ上の欠陥が残ってしまう可能性もある。

特定の部門に絞ってISMSを構築する場合は、当該部門のみでルールが構築され運用されていれば認証取得が可能となるため、当該部門以外の従業者には影響がありません。組織構造が複雑であったり、大規模な組織ではベターかつ一般的な選択肢となります。

全社的なISMSの構築

つづいて、全社にわたってISMSを構築する場合は以下のようなメリット・デメリットが挙げられます。

メリット	体系的なマネジメントシステムにより、リスク対策の抜け漏れや部門間での障壁などがない確実でスムーズなISMS運用が可能。
デメリット	運用コストが増大する。適切なルール設定などを行わないと従業者への負担が大きくなってしまう。

現場の店舗の方にとっては、複雑なルールや手順を従業者に守らせるような形でのリスク管理方法は、業務への支障が出てしまい現実的ではない場合も考えられます。

例えば、次のような対応を検討してみましょう。

また、中央集権型の管理構造の場合、そもそも管理が行き届かないケースや、一方的な管理に対して従業者の不満がたまりルールの不徹底が起きてしまうことが考えられます。各店舗、各部門、各従業者が主体的にISMSへ取り組める仕組みをいかに構築するかを検討することが重要です。

「自分たちが自分たちのISMSを運用している」という意識を持ってもらえるように、例えば次のような対応を検討してみましょう。

まとめ

ISMS認証取得について、必要な部門のみで取得する場合と、全社で取る場合の2通りをご紹介しました。どちらも一長一短ですし、どこまでを適用範囲とするかは各企業の戦略と言えるでしょう。

業種や業態、取り扱う情報、従業者の性質などを考慮し、「ISMSをなぜ構築するか」をしっかりと検討し、「認証を取る」ことのみを目的とせず、あくまでも組織の目的、戦略に合わせたISMSの構築を目指すと良いでしょう。

LRM株式会社では「Security Diet®️」を理念とし、過剰なルールや仕組みを減らし合理的なISMSを構築することを目指しています。ただ闇雲にセキュリティを守ることのみを目的とせず、各従業者の負担をできるだけ軽減し、運用コストも考慮しつつ、べき論や型にはまったご提案ではない各組織に合わせた現実的なご提案をさせていただきます。ISMS認証取得をご検討されている方や社内の情報セキュリティ体制整備にお悩みの方は、お気軽にご相談ください。