ISMSの登録範囲はどう決める？

原則

4.1（課題の特定）、4.2（利害関係者からの要求の特定）の結果をふまえて登録範囲を決めるという点は、他のマネジメントシステムと同じですが、ISMSの登録範囲は、QMSやEMSなどの他の認証と比べるとかなり自由度が高いです。

一応QMSと同じく事業活動単位となりますが、あるサービスの一部のみや、例えば「社内システムの管理」のような管理業務のみでも対象とすることができます。また、オフィスや工場の一部のみを対象とすることもでき、逆に組織の垣根を越えてグループ会社全体での登録なども可能です。

何を基準に考えればよいか

基本的には、大抵の登録範囲は認められますが、審査上認められるかどうかとその範囲が実態上適切かどうかは別問題です。実態上適切かどうかについては、どこまでリスクを共有しているかという観点で考えるとよろしいかと思われます。

例えば「同じデータにアクセスすることができる」「違う部署にデータを提供する」「オフィスや設備を共用している」といった場合、ある程度リスクを共有している可能性があります。

限定すればするほど楽か？

基本的には、範囲を狭めるほど現状把握・分析・教育、監査等の対象が少なくなるため負荷は低減されます。ただし、範囲を限定する場合、範囲の内と外の境界を明確にし、その境界を管理する必要があります。

例えばその管理は、データへのアクセス権の制限であったり、物理的な隔離であったりです。これらにより、業務効率が落ちたり、かえって管理に手間がかかったりすることがあるので、その点は要注意です。

逆に言えば、業務効率を重視してある程度自由に情報のやり取りをしたい場合などは、範囲を拡げたほうがよいかもしれません。

このような場合は？

例えば、登録対象となる事業活動を、A部門で手掛けている「コンサルティングサービス」とし、B部門もコンサルティングサービスにおいて取り扱う情報にアクセス権があるためB部門も登録範囲に含めるとします。

この場合、Ｂ部門が手掛ける事業において取り扱う情報も審査の対象となるでしょうか。結論としては、対象になりません。あくまでも「コンサルティングサービス」において取り扱う情報が対象となります。ただし、Ｂ部門の従業者も教育や監査の対象にはなりますので、ご注意ください。

登録範囲は確認されるか？

購買管理・供給者管理の一環で、顧客から調査票が送られてくるケースが散見されます。その調査票は「ISMS認証を取得しているか？」という確認が冒頭でなされ、YESの場合はその後の設問の一部が割愛されるような立て付けが見受けられます。その場合、以前は認証の有無のみが確認されたのですが、近時では登録範囲まで確認されるケースが増えています。

実際に委託する業務がISMSの登録範囲に含まれているかどうかまで確認される可能性がありますので、認証を持ってさえいればよいという考えかたは危険です。