企業は少なくとも、利益を追求していなければいけません。利益の追求が目的か否かにかかわらず、企業を存続させるためには少なくとも利益を上げる必要があります。

そのために、企業でなんらかの取り組みを行うとき、「その取り組みは利益を生むことができるのか」はひとつの大きな判断基準になってきます。そこで、このブログの本題ですが、果たして、ISMSの導入は、その企業が利益を生むことにつながるのでしょうか。

ISMSは有益？不利益？

上記の質問に対する答えを考えるために、やや古いですが、あるデータを紹介します。

以下のグラフは、国内のISMSの認定機関であるJIPDECが、2011年から2012年にかけて、ISMSを取得した企業に対して行ったアンケートの結果です。

（ISMS適合性評価制度に関するアンケート調査報告書、2012）

これを見る限り、ISMSの取得が事業収益に貢献したと答えた企業は7.6%しかありません。「やや該当する」を含めたとしても、40%にも届きません。ISMS取得企業の半数以上は、ISMSは事業の収益向上に貢献していないと回答しているのです。

しかし、だからといって、企業にISMSが不必要だと安直に決めつけるのは、尚早だと思います。

ISMSが事業の収益向上を安定させる？

以下は個人の見解になりますが、確かに、ISMSは事業の収益向上に貢献しないかもしれません。しかし、少なくとも「安定した」事業の収益向上には、貢献しうると思うのです。

企業が何らかの取り組みを行う上では、少なからず様々なリスクがつきまといます。リスクが存在する限り、事業計画を予定通りに進めることは困難です。しかしながら、取り組みに携わる多くの人々は、予定通りに物事を進めたいと考えています。そこで、リスクをマネジメントする必要が発生します。

はじめに、企業が何らかの取り組みを行うときの重要な判断軸の1つが「その取り組みは利益を生むことができるのか」であることを説明しました。しかし、それと同様に、「その取り組みに関するリスクが上手くマネジメントできるのか」が重要になってくるのです。さぁ、そこで登場するのがISMSです。

先ほどのアンケートの結果からわかるように、ISMSは組織の情報セキュリティの管理を強化できますし、社員の情報セキュリティに関する意識高揚、教育啓発に寄与できます。コンプライアンスの面からも有効です。これは、結果として、企業の取り組みに対するリスクを上手くマネジメントすることにつながります。

近年、多くの企業で、情報セキュリティに関するトラブルが報告されています。

「情報を所有する」だけで、それがリスクになる時代です。一度企業の信頼が失墜してしまうと、その信頼を取り戻すためには何十倍もの時間と労力がかかります。

そうならないために、企業を取り巻くリスクを上手く管理し、安定した取り組みを行い、安定した利益を上げる。そういった観点から、ISMSの取得は御社を良い方向に導いてくれるのです。