情報セキュリティマネジメントシステム(ISMS)やプライバシーマークなどの認証を取得して,「うちはしっかりやっています」と宣伝する企業は多数あるが,これらの認証を過信してはならない。認証は2年あるいは3年ごとに継続審査があり,その時の状況でほぼ決まっていると言ってもよい状況である。
現地審査の時間はまったく足りない。2日程度であることが多いと聞く。審査員も数名しか来ない。この程度では,現地で担当者の説明を聞いたら終わってしまう。
加えて文書の捏造が横行している。実際には月次でしっかりチェックするというルールを設けていても,その通りに運用できずにチェックシートを過去の日付で作成してしまうような行為が行われているのである。このような行為は認証の信頼性を損なうので,厳に慎むべきである。
認証を全否定するものではないが,「認証を取得している会社だから大丈夫」とはならないことに留意が必要だ。
JY情報システムズ 