「プライバシーマークを全社で取得するのは大変なので、一部の部門でISO27001を取得したいと思います」
このようなコメントをよく聞きます。
色々とお話を聞くと、結果的には一部の部門でのISO27001(ISMS)取得は適切でないと判断させていただくことがあります。
一連の業務プロセスにも関わらず、「適用範囲に含めたくないから」という理由だけで適用除外にしようとしても、除外は難しい場合があるからです。
例えば、取引先からのある情報の加工を行う仕事があるとします。
その仕事は、営業から部門Aに渡され、最終的に部門Bで加工するとします。
この場合、営業・部門A・部門Bは一連のプロセスであり、全て適用範囲とすることが適切です。
一部の部門を除外することは不適切です。
そういった観点では、小規模な会社では、一部の部門でなく、全部門を適用範囲とすることが現実的です。
また、安易に除外しようとすると、以下リスクとなる場合もあります。適用範囲は慎重に検討しましょう。
- 適用範囲とそうでない範囲でのダブルスタンダード
- 従業員の士気の低下を招く
- 外部の利害関係者からの信用低下にも繋がる
一方、望ましい適用範囲の定め方のポイントは
- 複数あるサービスのうち、主力サービスは除外していない
- セキュリティリスクの大きいサービスや場所を除外していない
- 顧客満足に影響する業務(営業部門など)を除外していない
ただし、初めて認証取得を目指す場合など、理想的な適用範囲を定めるのが難しい場合があります。
例えば、複数の事業所、業種の異なる業務(小売り業務と開発業務等)があるケースなどです。
すべての事業所で一度に取得を目指すと、業務に負担がかかったり、費用がかかったり、足並みを揃えるのが難しいといった理由から、IISO27001(ISMS)導入に踏み切れないこともあるのではないでしょうか。
そのような場合、初年度は事業所を限定したり、一部の業務に限定して認証取得し、その後、適用範囲を拡大していく(次の定期審査の際に、認証機関に適用範囲の拡大を申請する)といったやり方もあります。
どのやり方が正解というわけではなく、それぞれの組織の現状に適したやり方で無理のない構築を進めることがポイントです。