■ユーザーサービスとのバランスが大切
　ISMSは企業組織が保有する情報資産への脅威を回避し、そのリスクを軽減することを主目的としている。いわば、ISMSは「自社を守る延長線上に顧客保護を考えている」ということができる。しかし、2005年に個人情報保護法が施行され、企業は、よりユーザの立場で思考し、個人情報を適正に管理することが求められている。

企業は、

１　利用目的の特定・制限
２　適正な取得、および取得に際しての利用目的の通知または公表
３　個人データの正確性・最新性の確保
４　適切な安全管理措置、および従業員・委託先の監督
５　第三者による提供の制限
６　本人の求めに応じるための開示・訂正・利用停止の措置
７　苦情処理

を明確に義務付けられたのである。

　プライバシーマーク制度は、そうした個人情報保護法の要請から、個人情報の権利保護を目的に生まれたものである。企業が預かっている個人情報を、適正な「情報」管理の一環として収集、利用（修正・訂正）、廃棄をユーザの合意のもとで管理することを求めているのである。企業は、個人情報を預かっているのではなく、保有していると「勘違い」すると、思わぬトラブルを招きかねない。顧客情報の取り扱いひとつにしても、ユーザからの問い合わせや苦情には「相談窓口」「苦情相談担当責任者」を置き、組織的に顧客対応の訓練、ノウハウを蓄積しながら、テータの収集、問題点の洗い出し、原因の解析、対策を迅速に行う必要がある。「不適切な対応」「苦情の放置」による「社会問題化」こそ、企業が避けなければならない大きなリスクなのである。対応のまずさが損害賠償問題、消費者運動、訴訟問題に発展し、企業イメージの低下、ブランドイメージの失墜を起こすことは、昨今の事象に多々みられる。また、2006年、公益通報者保護法の施行により、社内の不祥事や法律違反を社員がマスコミや行政機関に通報した場合でも、通報者の権利が守られることになった。

　以上のように、ISMSの実用とともに、プライバシーマーク制度を活用し、個人情報保護強化を前面に打ち出す姿勢がますます望まれるのである。

■セキュリティ管理者のツール運用
　社内の情報セキュリティは、内外の環境に応じて構築される。セキュリティ管理の考え方は、物理的安全管理措置と技術的安全管理措置に大別され、情報管理はオフィスセキュリティ、サーバ、ネットワーク、クライアントごとに、リスク分析・評価、ウイルス対策、物理的・技術的不正侵入、不正アクセス、監視、データ持ち出しを項目としてチェックすることが望まれる。

　まず、オフィスセキュリティは区画ごとのゾーンレベルを設定し、来訪者エリア、来客者エリア、一般業務エリア、役員・機密保有者エリア、サーバルームなどの情報資産管理エリアへのアクセス権を明確にすることが重要である。その上で、入退出管理を行い、書類管理、パソコン・データ管理をすることで、直接的人為的なリスクを軽減することができる。

　次に、ゾーニングにおいて最重要エリアに配置されるサーバルームは、空調システムによる24時間室温管理、入退室管理システムによるアクセス管理とログファイルの取得、セキュリティシステムによる外部アクセス防止、ファイル管理システムによるサーバへのアクセス管理、ログ監視ソフトによるクライアントのパソコン操作記録管理、無停電電源装置による電源確保により守られる。

　さらに、ネットワークからの不正アクセス、Web改ざん、ウイルス感染を防止するために、外部のアクセス管理（ユーザ制限・ユーザID管理）、社内のアンチウイルスソフト、電子メールのアプリケーションの更新、電子メールの送受信記録、添付ファイルの管理、社内から外部Webへのアクセス制限なども必要となる。

　最後に、クライアント管理はアクセス権、ファイル利用権限、閲覧権を設定することで、不正コピー防止、アプリケーションの利用限定、外部ネットワーク制限などを段階的に実現し、ユーザを登録管理することができる。クライアントログの管理が進めば、アプリケーション操作、ファイル操作、プリンタ操作、Web操作、メール送受信、FTP利用状況なども管理でき、危険率が軽減するのである。