企業組織にとって、情報セキュリティ、サイバーセキュリティ、プライバシー保護のために十分な体制を構築することが求められる時代になりました。

セキュリティインシデントに合わない、起こさないために情報セキュリティマネジメントシステムを構築する必要があります。

情報セキュリティマネジメントシステムを構築するには、ISO27001:2022を活用することをおすすめします。またマネジメントシステムの構築を対外的に表明するには、第三者認証制度による認証取得（ISMS認証）をおすすめします。

ISMSとは

ISMSとは、Information Security Management Systems（情報セキュリティマネジメントシステム）の略で、情報のCIA（「機密性（Confidentiality）」、「完全性（Integrity）」、「可用性（Availability）」）を保護するための仕組みです。

ISO/IEC 27001とは

ISMSを構築するにあたって、必要となるのがISO/IEC 27001（JIS Q 27001）というISMSの国際規格です。この規格には、ISMSをどのように構築、実施、維持、改善すべきなのかが記載されています。

ISMS認証とは

「ISMS認証」とは、第三者であるISMS認証機関が、組織の構築したISMSがISO/IEC 27001（JIS Q 27001）に基づいて適切に運用管理されているかを、利害関係のない公平な立場から審査し証明することです。

～情報マネジメントシステム認定センター （ISMS-AC）発行の「ISMS適合性評価制度」より抜粋～

機能的な情報セキュリティマネジメントシステムを構築して、ISO/IEC27001:2022認証を取得する－フューチャーメイキングはお客様企業様に専門のコンサルタントをご提供し、この重要任務を代行いたします。

コンサルタントはISO認証機関の審査員資格保持者、IRCA審査員資格保持者等力量高く、経験豊富なものが担当いたします。

機能的な情報セキュリティマネジメントシステムの目的は「情報セキュリティ・インシデントを起こさない」ことと考えています。

そのために鍵となるのは、次の二つです。

① 「組織全体で（組織の人皆が）適切な行動をとる」

② 「情報（IT）システムを適切な状態にする」

これらが実行されるための組織体制を構築し、ルール（手順）を定め、対象者に教育を実行していくことが必要です。

（お客様組織内の役割としては、①の推進者としてのマネジメント管理責任者、②の推進者としてのIT管理責任者を設けます。（小規模な組織では①②を兼務することも可です。））

組織に合った適切な情報セキュリティ教育を展開し、「情報セキュリティ・インシデントを起こさない」体制の構築を最重視していきます。

ISO/IEC27001:2022情報セキュリティ、サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項は国際規格で、第三者認証制度の対象となっているものです。

当社はこの規格の要求事項を満たした情報セキュリティマネジメントシステムを構築していくプログラムを設けています。

またお客様企業様が、認証取得をご希望の場合は認証取得に至るようサポートいたします。

ISO/IEC27001:2022の概要

要求事項本文と付属書（情報セキュリティ管理策）で構成されていて、PDCAサイクル（Plan→Do→Check→Action）を実践していくことが意図されています。

全ての文が「～しなければならない。」という要求事項形式で記されています。また、一部の人の参画で要求事項を満たすことはほぼ無理で、組織で働く人すべての参画が求められます。

（JIS Q 27001:2023（ISO/IEC27001:2022）日本規格協会発行をもとに当社にて作成）

ＴＩＳＡＸラベルの取得とパートナーとの共有をスピーディに実現します。

TISAXとは

TISAX（Trusted Information Security Assessment Exchange）は、自動車業界における情報セキュリティの基準で、ドイツの自動車工業会（VDA）が開発し、ENX協会が運営しています。この仕組みは、参加企業が情報セキュリティ審査（ISA）の要求事項に従い、情報セキュリティ管理水準をみたしていることを証明し、サプライチェーン全体でそれを共有することを目的としています。

TISAX認証の重要性

自動車業界では、情報の保護がますます重要になっています。自動車メーカーのサプライチェーンの中で、多くの企業が非常に機密性の高いデータを扱っているため、情報漏洩やサイバー攻撃のリスクが増大しています。TISAX認証を取得することで、企業は情報セキュリティに対する高い基準を満たしていることを証明し、クライアントやパートナーからの信頼を獲得することができます。

当社のTISAXコンサルティングサービスの特長

① コンサルタントは大手認証機関の情報セキュリティの審査員を数多く有しています。最新のＴＩＳＡＸ審査事情を掴み、審査にパスするための知見やノウハウを提供します。

② 自動車業界の審査・コンサルタント経験者も多く、自動車業界のサプライチェーンの状況やプロセスと情報資産を理解してコンサルティングにあたります。

③ お客様が成果を上げるために何をすればよいか、一歩先を考えて常に創造しながらコンサルティングサービスを行ってまいります。

これからの時代は、プライバシーマーク「Pマーク」よりも「PIMS」が重要になると考えられます。

PIMSとは

個人情報を保護するための体系的なしくみがPIMS（プライバシー情報マネジメントシステムprivacy information management system）です。

ほとんど全ての組織が個人情報（PIMS上では個人識別可能情報（Personally Identifiable Information，PIIといいます。）を扱い、処理しています。また、プライバシーの保護が，社会的に必要とされ，世界中で専門の法令が話題に挙がっています。

PIMSはISMS（情報セキュリティマネジメントシステム）を土台として、個人情報を保護するための管理を確立させるしくみです。

ISO/IEC 27701とは

PIMSを構築するにあたって、必要となるのがISO/IEC 27701（JIS Q 27701）というPIMSの国際規格です。この規格には、PIMSをどのように構築、実施、維持、改善すべきなのかが記載されています。

PIMS認証とは

「PIMS認証」とは、第三者であるPIMS認証機関が、組織の構築したPIMSがISO/IEC 27701（JIS Q 27701）に基づいて適切に運用管理されているかを、利害関係のない公平な立場から審査し証明することです。

プライバシーマーク制度との違い

日本では、JIS Q 15001（個人情報保護マネジメントシステム－要求事項）に基づくマーク付与制度が展開され、17,000社を超える事業者がこのマークを取得しています。これは日本国内での信用確保にとどまる限定された制度です。

PIMS認証はプライバシーマーク制度と比べ以下の利点があります。

① 国際的な信用力につながる

現在の事業活動及び取り扱う個人情報は日本国内にとどまらないケースが多いと考えられます。そのような事業者は、グローバルな信用・信頼を得る必要があります。

PIMS認証はISOの開発したしくみであり、認証取得事業者は国際的な信用力を得ることに繋がります。

② 審査のコストパフォーマンスがよい

PIMS認証もプライバシーマーク制度も審査によって取得するものですが、審査のスタイルが異なります。プライバシーマーク制度は事業者全体を審査しますが、PIMS認証は組織内で対象領域を限定することができます。

対象領域に焦点をあてた審査となるため、結果的にコストパフォーマンスよく認証を得ることができます。

③ PIMSはISMSを土台とした拡張規格であるため、すでにISMSを構築している組織では、ISMSの管理の延長で運営ができ、（審査も1機関で済み、ISMSとの同時審査が可能であり）認証取得が可能です。

（ISMSとプライバシーマーク両方を取得している組織では、審査機関が異なり（2つの審査を受ける）、2重の管理枠組みを設けていることが多いと思います。

（JIS Q 27701:2024（ISO/IEC27701:2019）日本規格協会発行をもとに当社にて作成）

当社のPIMSコンサルティングサービスの特長

コンサルタントはPIMS審査員資格者です！

① お客様組織の目的・ニーズを常に明確にしながらコンサルティングを行います。コンサルティングサービス自体に目標を持ち、その達成度をお客様と共有しながら進めます。

② コンサルティングサービスは①文書納品と②役務提供から構成されます。お客様組織に必要な工数をそれぞれ見積、お客様と合意したうえで進めます。

③ １ユニット（0.5日、4時間）を基本としています。実施時間帯は平日の9時～18時の間を基本としています。お客様がお望みであれば、平日夜間帯、休日の対応もいたします。

④ コンサルティングサービス中はいつでもご質問・ご相談に対応いたします。メールやチャットの設定を行い、1日以内のタイムリーなリスポンスを行います。

⑤ コンサルタントは認証機関でPIMS（またはISMS）審査員資格を所有する力量を備えたものが担当いたします。

AIの活用は企業の成果を左右する重要な要素となり、急速な利用拡大となっています。一方でAIがもたらすリスクが懸念され、企業が成果を得るためには、AI活用のリスクを明確にしてそれに対応していくことが求められています。

このリスク対応の枠組みとして、2023年12月にISO/IEC42001:2023（AIマネジメントに関する国際標準）が発行されました。

当社はISO/IEC42001:2023をベースとしたマネジメントシステム構築支援コンサルティングサービスを開始しました。このシステムにより企業組織様がAIのリスクを踏まえた活動を実践し、AI活用によるメリットを最大限享受していただきたいと考えております。

AIマネジメントシステムとは

AIマネジメントシステムは、組織においてAIを使用することから生じる問題及びリスクを明らかにし、それに対処するための管理策を運用することによって、AI使用による問題発生を防ぐ体系的なしくみです。

これからの時代、多くの組織が業務にAIを活用して成果の向上を目指していくことと思います。AIは成果につながる重要なツールである反面、さまざまなリスクを併せ持っています。企業にとっても社会にとっても、AI活用を適切に管理するために、AIマネジメントシステムを組織に確立させることが必要です。

ISO/IEC 42001とは

AIマネジメントシステムを構築するにあたって、必要となるのがISO/IEC42001（情報技術 - 人工知能 - 管理システム）という国際規格です。この規格には、AIマネジメントシステムをどのように構築、実施、維持、改善すべきなのかが記載されています。

またこの規格は組織が開発、提供又は使用するAIシステムを対象としています（AIの開発業者、提供事業者、使用事業者いずれにも適用されるものです）。

（規格の枠組みはISO/IEC27001(情報セキュリティマネジメントシステム)と同様なものです。）

AIマネジメントシステム認証の動向

認証制度とは、第三者である認証機関が、組織の構築したマネジメントシステムが規格（ISO/IEC 42001）に基づいて適切に運用管理されているかを、利害関係のない公平な立場から審査し証明することです。

認証制度の枠組みは認証機関の認定基準が明らかになってスタートするものです。現在認定基準（ISO/IEC 42006）が策定中であり、最終段階まで進んでいます。間もなく日本国内でも認証制度がスタートする見込みです。

認証が取得できれば、組織の対外的な信用力が高まります。ＡＩマネジメントシステム（ISO/IEC 42001）の認証制度開始後すぐに認証を取得できるよう、マネジメントシステムを構築しておきましょう。

（ISO/IEC42001:2023をもとに当社にて作成）

当社のAIMSコンサルティングサービスの特長

①　お客様組織の目的・ニーズを常に明確にしながらコンサルティングを行います。コンサルティングサービス自体に目標を持ち、その達成度をお客様と共有しながら進めます。

②　コンサルティングサービスは①文書納品と②役務提供から構成されます。お客様組織に必要な工数をそれぞれ見積、お客様と合意したうえで進めます。

③　１ユニット（0.5日、4時間）を基本としています。実施時間帯は平日の9時～18時の間を基本としています。お客様がお望みであれば、平日夜間帯、休日の対応もいたします。

④　コンサルティングサービス中はいつでもご質問・ご相談に対応いたします。メールやチャットの設定を行い、1日以内のタイムリーなリスポンスを行います。

速やかな認証取得のために当社にご用命を！