このシリーズでは、ISMSの土台となる規格JIS Q 27001をじっくりとご紹介しています。
これまでに弊社ブログ内でもざっくりとした規格解説などはあげてきたのですが、正直、規格について細かく紹介しようと思えば、いくらでも深めることができます。ということで、一度じっくり見てみようというものです。

今回は、【4.2 利害関係者のニーズ及び期待の理解】をじっくり読み砕いていきましょう。

概要

簡単にまとめると「ISMSに関連する利害関係者と、その利害関係者が求めることを整理しましょう」です。
利害関係者とその利害関係者が求めることを明確にすることで、第三者的な立場から自組織に対して何が求められているのか、何に対応する必要があるのかといったことを明確にすることができます。

補足として、利害関係者からの要求事項以外に、法令や契約上の義務といったものも、それを守るべきものと解釈すると、利害関係者が求めるものに含めることができます。
もう少し突っ込んだお話をすると、ISMSの管理策というものの中のA.18.1.1で、法令や契約上の義務などを特定することが求められているので、実質マストで行われることになります。

利害関係者と利害関係者の求めることとは?

利害関係者

なんとなく理解している方も多くいるかもしれませんが、改めて整理すると利害関係者とは「組織の活動などに影響を与えたり、与える可能性のある個人や組織」です。
例えば以下のような人々が該当します。

  • 顧客
  • 取引先企業
  • 従業者
  • 親会社
  • 株主

顧客や株主、従業者といった個人ももちろん組織の活動に影響を与えうる人々にあたるので、利害関係者の一部になります。

ちなみに、利害関係者とそれぞれが求めることは、各個人や組織によって異なる可能性もあるとは思いますが、そうすると数十数百と関係者の数だけ洗い出す必要が出てくるため、基本は大きなくくりでの特定で問題ありません。

利害関係者の要求事項

ここで特定すべきことは、情報セキュリティ的に求められていることです。
と言われても、具体的なイメージは湧かないかもしれません。
ひとまず、顧客の求めることを考えてみましょう。

例えば、貴社が顧客から個人情報などを預かっている場合では、顧客は、情報漏えいや不正利用を防止してほしいと思うのではないでしょうか。
また、何かサービスを提供するような業態であれば、サービスが安定的に供給される状況を求めるでしょう。

このように、それぞれの利害関係者が自分たちに対して何を求めているかを明確にすることが大切です。

【補足】法令や契約上の義務などについて

概要でも述べた通り、法令や契約上の義務なども利害関係者からの要求事項として特定することができます。

というのも、法令や契約上の義務は守ることが必須のものであり、ある意味、行政や契約先から順守を要求されていることと言い換えることもできます。

そういった意味では、各利害関係者と利害関係者の要求事項を特定するよりも簡単に特定することができるといえるでしょう。

まとめ

今回は、【4.2 利害関係者のニーズ及び期待の理解】について解説してきました。
利害関係者に求められている事に応えられないということは、信頼の低下や組織の弱体化につながりかねません。組織が常に社会に必要とされるためにも利害関係者と利害関係者の要求事項を明確にしておきましょう。

また、前回の4.1とこの項目は、ISMSの適用範囲を決めるうえでも非常に重要になってきます。
どういった観点で重要となるのかは、また次回ご紹介させていただきます。

参考

4.2 利害関係者のニーズ及び期待の理解【JIS Q 27001】

このシリーズでは、ISMSの土台となる規格JIS Q 27001をじっくりとご紹介しています。
これまでに弊社ブログ内でもざっくりとした規格解説などはあげてきたのですが、正直、規格について細かく紹介しようと思えば、いくらでも深めることができます。ということで、一度じっくり見てみようというものです。

今回は、【4.2 利害関係者のニーズ及び期待の理解】をじっくり読み砕いていきましょう。

概要

簡単にまとめると「ISMSに関連する利害関係者と、その利害関係者が求めることを整理しましょう」です。
利害関係者とその利害関係者が求めることを明確にすることで、第三者的な立場から自組織に対して何が求められているのか、何に対応する必要があるのかといったことを明確にすることができます。

補足として、利害関係者からの要求事項以外に、法令や契約上の義務といったものも、それを守るべきものと解釈すると、利害関係者が求めるものに含めることができます。
もう少し突っ込んだお話をすると、ISMSの管理策というものの中のA.18.1.1で、法令や契約上の義務などを特定することが求められているので、実質マストで行われることになります。

利害関係者と利害関係者の求めることとは?

利害関係者

なんとなく理解している方も多くいるかもしれませんが、改めて整理すると利害関係者とは「組織の活動などに影響を与えたり、与える可能性のある個人や組織」です。
例えば以下のような人々が該当します。

  • 顧客
  • 取引先企業
  • 従業者
  • 親会社
  • 株主

顧客や株主、従業者といった個人ももちろん組織の活動に影響を与えうる人々にあたるので、利害関係者の一部になります。

ちなみに、利害関係者とそれぞれが求めることは、各個人や組織によって異なる可能性もあるとは思いますが、そうすると数十数百と関係者の数だけ洗い出す必要が出てくるため、基本は大きなくくりでの特定で問題ありません。

利害関係者の要求事項

ここで特定すべきことは、情報セキュリティ的に求められていることです。
と言われても、具体的なイメージは湧かないかもしれません。
ひとまず、顧客の求めることを考えてみましょう。

例えば、貴社が顧客から個人情報などを預かっている場合では、顧客は、情報漏えいや不正利用を防止してほしいと思うのではないでしょうか。
また、何かサービスを提供するような業態であれば、サービスが安定的に供給される状況を求めるでしょう。

このように、それぞれの利害関係者が自分たちに対して何を求めているかを明確にすることが大切です。

【補足】法令や契約上の義務などについて

概要でも述べた通り、法令や契約上の義務なども利害関係者からの要求事項として特定することができます。

というのも、法令や契約上の義務は守ることが必須のものであり、ある意味、行政や契約先から順守を要求されていることと言い換えることもできます。

そういった意味では、各利害関係者と利害関係者の要求事項を特定するよりも簡単に特定することができるといえるでしょう。

まとめ

今回は、【4.2 利害関係者のニーズ及び期待の理解】について解説してきました。
利害関係者に求められている事に応えられないということは、信頼の低下や組織の弱体化につながりかねません。組織が常に社会に必要とされるためにも利害関係者と利害関係者の要求事項を明確にしておきましょう。

また、前回の4.1とこの項目は、ISMSの適用範囲を決めるうえでも非常に重要になってきます。
どういった観点で重要となるのかは、また次回ご紹介させていただきます。

参考

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする