印刷業界で高まるISO27001の重要性

先日、東京商工リサーチから「2024年上場企業の『個人情報漏えい・紛失』事故 過去最多の189件、漏えい情報は1,586万人分」というリリースがありました。
記事は「業界慣習にとらわれず、情報管理に関する規定づくりや社員意識の徹底、専門人材や部署の育成、そして日常的な教育や研修による意識付けが重要になっている。年々、個人情報の漏えい・紛失への対応策は企業にとって最優先の経営課題として優先度を増している。情報の取り扱いはシステム対応と同時に、取引先を含めた意識の共有化が必要になっている。」とまとめられていますが、情報セキュリティが企業にとって最も重要な経営課題の一つとなっていることは言うまでもありません。 特に印刷業界は、顧客の機密情報や個人情報を日常的に扱うため、情報セキュリティマネジメントシステム(ISMS)の構築と維持が極めて重要となります。
実際に、2007年には国内大手の総合印刷会社で情報漏洩事件が起きています。
この事件では、業務委託先の従業員が約15万件の顧客情報を持ち出し、インターネット詐欺を企むグループに売却しています。
さらに、その後の調査で43社から合計864万件もの個人情報が流出していたことが判明し、国内最大の情報漏洩事件として注目されました。
このような事例を踏まえ、企業は情報管理体制の強化や従業員教育の徹底が求められており、弊社も情報セキュリティマネジメントシステム(ISMS)に関する国際規格「ISO27001」を認証取得いたしました。
このISO27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格であり、組織が情報資産を適切に管理し、セキュリティリスクを効果的に低減するための体系的なアプローチを提供しています。
具体的には、情報資産の特定と分類、リスクアセスメントとリスク対応、物理的・技術的セキュリティ対策、人的セキュリティ管理、情報システムの運用管理、インシデント対応プロセスなどが含まれます。
多くの方がISO27001と混同しがちなものにプライバシーマーク(Pマーク)がありますが、ここであらためてその違いを整理しておきましょう。
ISO27001は、すべての情報資産を対象とした情報セキュリティ全般をカバーする、国際規格に基づく第三者認証です。
これに対してプライバシーマークは、あくまでも個人情報保護を目的とした日本国内の制度ということになります。
近年、ISO27001への注目が高まっている背景には、先ほどご紹介したような情報漏洩事件の増加などもあるのですが、そのほかにも次のようなものが挙げられます。
1)クラウドサービスの利用拡大
データ連携の容易さ、災害からデータを保護する必要性などの観点から、クラウドサービスの利用が急速に拡大しています。
その反面、クラウド環境では、データの保護やアクセス管理の運用が複雑になりがちで、ISO27001のような標準規格が必要となっています。
2)個人情報保護のニーズの高まり
個人情報保護に関して、各国で厳しいデータ保護法が施行されています。
例えば、EUにはGDPR(一般データ保護規則)、日本にも改正個人情報保護法などがありますが、これらの法規制に対応するためにISO27001が活用されています。
3)サイバー攻撃の増加
サイバー攻撃によるデータ漏洩事件が増加し、企業はこれらの脅威に対処するための強固なセキュリティ対策を求められています。
ISO27001は、リスクアセスメントやリスク管理の枠組みを提供し、企業の効果的なセキュリティ対策をサポートしています。
4)ビジネスの信頼性向上
ISO27001を認証取得することで、クライアントに対して情報セキュリティにシビアな企業であることを示すことができます。
特に官公庁や自治体、法人などでは ISO27001の認証取得が取引条件に含まれていることもあり、ビジネスの信頼性向上のためにも欠かせないものになっています。

ISO27001の認証取得と更新の流れは次のようになります。
【認証取得プロセス】
1)準備段階
まず最初に情報セキュリティマネジメントシステム(ISMS)に関するポリシーを策定し、リスクアセスメントを実施します。
2)文書化
セキュリティ管理策を文書化し、運用手順書を作成します。また、リスク対応計画も策定していきます。
3)導入と運用
従業員教育を実施し、セキュリティ対策の実装に取り組みます。同時に内部監査も実施します。
4)認証審査
ISMS-AC(情報マネジメントシステム認定センター)やJAB(日本適合性認定協会)などの第三者認証機関による審査を申請します。不適合があれば是正をし、認証を取得します。
【認証更新プロセス】
ISO27001は一度認証取得すれば終わりではありません。
情報セキュリティを取り巻く環境は日進月歩で変化していくからです。
このため、過去1年分の運用記録を確認する、年次サーベイランス審査や3年ごとに行われる更新審査が必要になります。
このように、継続的な改善活動も求められるわけです。
冊子印刷ドットコムは創業以来55年、無線綴じ(くるみ綴じ)・中綴じ冊子を中心に、官公庁や医療法人、学校法人など多くの法人様とお取り引きをさせていただいております。
法人様から安心して印刷をお任せいただけるよう、ISO27001を認証取得いたしました。
必要に応じて秘密保持契約を締結し、印刷物やデータの取り扱いについてもルールに沿った管理を行っています。秘密保持契約がご要望の際は、お気軽にお問い合わせください。
印刷済データは、担当PCに残ったデータを削除するのはもちろん、社内ネットワークサーバからも削除します。
廃棄される余剰生産分(印刷予備)についても、弊社と秘密保持契約締結済の廃棄物回収業者に引き渡し、古紙再生処理や焼却処分をいたします。
また、お客様からお預かりしたデータの閲覧にも制限をかけております。
担当以外の者が閲覧する場合、所属長の承認を必須としております。
社内ネットワークについてもアクセス制限を設け、ファイルはパスワードで管理しております。
冊子印刷ドットコムでは、個人情報のみならず企業の情報すべてが財産であると考え、顧客情報の取り扱い、書類の管理、オフィス内環境も国際標準規格ISO27001に基づいてチェックしております。
これからも情報を日々アップデートしながら情報セキュリティマネジメントに取り組んでまいりますので、お客様の大切なデータを安心してお任せください!