ISO27001 では、「利害関係者」というキーワードが何度か出てきます。この利害関係者とはだれのことを指すのでしょうか?今回は、ISO 27001における利害関係者について解説していきたいと思います。

利害関係者とは?

利害関係者とは、組織と相互に利害関係を持つ人々のことを言います。そもそも組織は様々な人や組織によって取り囲まれています。――例えば、商品やサービスを提供する先である顧客も利害関係者と言うことができますし、労働を提供してもらい、その対価を支払っている従業員も利害関係者といえるでしょう。

それだけでなく、投資家、マスメディア、政府、近隣住民、外注先など様々な人々や組織が利害関係者と言えます。しかし、ISO27001は、情報セキュリティマネジメントシステム規格 です。「情報セキュリティ」という分野においては、利害関係者を絞り込むことができるかもしれません。

例えば組織のステークホルダー には、大気・大地・森林のような自然環境も含まれます。こういった自然環境は情報セキュリティと言う分野における利害関係者と見做さなくても良いでしょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISMSにおける利害関係者とは

ISMSにおける利害関係者は、先程の自然環境のようなものを除いて組織の利害関係者と同じであると考えて良いでしょう。例えば政府や自治体のようなガバメントリレーションも、法令遵守というニーズを組織に対して持っているとみなすことができます。

ISO27001の要求事項でも、以下のような記載があります。

組織は,次の事項を決定しなければならない。

  • a) ISMSに関連する利害関係者
  • b) その利害関係者の情報セキュリティに関連する要求事項

注記 利害関係者の要求事項には,法的及び規制の要求事項並びに契約上の義務を含めてもよい。
JIS Q 27001

このように、利害関係者を明らかにした後に利害関係者のニーズを明らかにする必要があるのですが、この利害関係者の要求事項には、法令や条例のような項目を含めても良いとあります。

利害関係者は何のために明確にするのか?

ISO27001は、情報セキュリティの水準を完璧なものにして、盤石なセキュリティ体制を構築することを目的としたマネジメントシステム規格ではありません。要求事項の冒頭でも、以下のようなことが記載されています。

ISMSを,組織のプロセス及びマネジメント構造(management structure)全体の一部とし,かつ,その中に組み込むこと,並びにプロセス,情報システム及び管理策を設計する上で情報セキュリティを考慮することは,重要である。ISMSの導入は,その組織のニーズに合わせた規模で行うことが期待される。
JIS Q 27001

つまり、組織が利害関係者からどの程度のセキュリティ水準を求められているのかを明確にし、それを満たす水準のISMSを構築することが重要だと規格は言っているのです。さて、この利害関係者のニーズを把握するためには、まずは利害関係者を明らかにする必要があると思います。

「多分、うちの会社はこれくらいのセキュリティレベルがあれば良いだろう」という曖昧な基準ではなく、利害関係者を明らかにした上でその利害関係者のニーズを掴む必要があるのです。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

利害関係者のニーズの例

以下では、利害関係者とその利害関係者が持っているであろう、情報セキュリティに対する要求事項について一例をまとめてみましたので、参考にしてください。

利害関係者 要求事項
顧客
  • 秘密保持
  • 情報の安全管理
  • 標的型攻撃ウイルスに対しての注意喚起
  • 再委託の禁止
  • 契約終了時の預情報の廃棄・消去
  • 反社会的勢力に対する基本方針の策定
  • 環境整備について
  • 品質保証のチェック方法の確立
従業員
  • 秘密保持
  • 情報の安全管理
従業員の家族
  • 秘密保持
  • 情報の安全管理
協力会社
  • 秘密保持
  • 情報の安全管理
仕入先
  • 秘密保持
  • 情報の安全管理
警察署、消防署
  • 緊急時に直ちに連絡
  • 捜査活動に協力
  • 消防活動に協力
審査機関
  • 緊急時に直ちに連絡
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ