利害関係者とは、具体的には、何を指し示すもの?
ISMS構築パッケージ マニュアルについての質問です。
4.2.4 ISMSの維持及び改善
c) 利害関係者全てに対し、状況に応じた詳細さで講じた処置及び改善を伝達し、該当する場合は今後の進め方について合意を得る。
上記の項の利害関係者とは、具体的には、何を指し示すものでしょうか?
最新版のISMSマニュアルにおける「利害関係者」の定義、および最新規格における位置づけについて回答申し上げます。
最新版の規格(JIS Q 27001:2023)では、以前の規格(ご質問のISMSマニュアルは、JIS Q 27001:2006規格への対応版)よりも「利害関係者が何を求めているか」を正確に把握し、それをセキュリティ対策に反映させることが重視されています。
1. 利害関係者の定義(JIS Q 27000:2019より)
利害関係者とは、「組織の決定事項もしくは活動に影響を与え得るか、その影響を受け得る個人または組織」を指します。
- 組織: 会社、事務所、当局、自営業者、非営利団体などが広く含まれます。
3.37 利害関係者
ある決定事項若しくは活動に影響を与え得るか,その影響を受け得るか,又はその影響を受けると認識している,個人又は組織(3.50)
3.50 組織
自らの目的(3.49)を達成するため,責任,権限及び相互関係を伴う独自の機能をもつ,個人又は人々の集まり。
- 注記 組織という概念には,法人か否か,公的か私的かを問わず,自営業者,会社,法人,事務所,企業,当局,共同経営会社,非営利団体若しくは協会,又はこれらの一部若しくは組合せが含 まれる。ただし,これらに限定されるものではない。
※「JIS Q 27000:2019 情報セキュリティマネジメントシステム 用語」より
2. 最新版(JIS Q 27001:2023)における要求事項
最新規格の「4.2 利害関係者のニーズ及び期待の理解」では、以下のプロセスが求められています。
- ISMSに関連する利害関係者を特定する。
- その利害関係者の要求事項(ニーズおよび期待)を明確にする。
- その中から、法令・規制・契約上の義務として対応すべきものを決定する。
3. 具体的な利害関係者の例
情報セキュリティの観点から、どのような対象が該当するかを「内部」と「外部」に分けて整理すると分かりやすくなります。
① 外部の利害関係者
- 顧客・取引先:
サービスを利用し、情報の安全な取り扱いを期待・要求する人々。
受託情報の安全管理やインシデント報告を要求する。 - 供給者(ベンダ・外部委託先):
クラウドサービス提供者、保守会社など。
クラウド業者等。相互にセキュリティ水準を維持する関係。 - 行政・規制機関:
個人情報保護委員会、管轄省庁、警察など(法令遵守の側面)。
法令(個人情報保護法等)の遵守を求める。 - 株主・出資者:
事業の継続性と企業価値の維持を求める人々。 - 地域社会・競合他社:
倫理的な事業運営や公正な競争に関わるステークホルダー。
② 内部の利害関係者
- トップマネジメント(経営層):
ISMSの有効性に責任を持ち、事業の成功を目指す人々。
事業の継続とリスクの最小化を期待する。 - 従業員(正社員、派遣、パート・アルバイト):
セキュリティルールを遵守し、業務を遂行する人々。
明確なルールと安全な業務環境を求める。
4. 実務へのアドバイス
最新規格では、単に情報を伝えるだけでなく、相手のニーズをISMSの仕組み(規程や対策)に組み込むことが重要です。
例えば、「顧客の期待に応えるために管理策を強化する」といった、利害関係者の視点を起点とした改善プロセスを構築してください。
- 要求事項の特定:
「顧客からは毎年セキュリティチェックシートの提出を求められている」「法律で漏えい時の報告が義務化されている」といったニーズを整理します。 - ISMSへの反映:
特定した要求事項を満たすように、社内の規程や管理策(対策)を決定します。 - 継続的な見直し:
利害関係者の期待は変化するため(例:法改正や社会情勢の変化)、定期的にそのニーズを再確認し、ISMSを改善していきます。
