JIS Q 27001【要求事項4.1解説】ISMSで言うところの「目的」とは？

JIS Q 27001【要求事項4.1解説】ISMSで言うところの「目的」とは？

JIS Q 27001では、何度か「目的」という単語が出てきます。ISMSで言うところの「目的」は、具体的には、次の要求事項が該当します。

• 4.1　組織及びその状況の理解
• 5.2　方針
• 6.2　情報セキュリティ目的及びそれを達成するための計画策定
• 9.3　マネジメントレビュー

いずれも日本語では「目的」という言葉を使用していますが、4.1とそれ以外では意味が違います（5.2、6.2、9.3は同じです）。

4.1の「目的」は、字面の通りの目的であり、その他はどちらかと言えば「目標」のニュアンスです。したがって、4.1の目的は、例えば「昨年度よりメールの誤送信を〇件減らそう」といった目標ではありません。

では、4.1の目的の具体例とは何でしょうか？

これはなかなか回答が難しく、いかようにも解釈できそうなのですが、定款でいうところの事業目的と解釈すると座りが良いような気がします。その場合、4.1の本文にある「組織の目的に関連し～」は、その組織の事業に関連する課題を特定するという趣旨になります。

このように、日本語の字面だけから判断するとよく分からないのですが、英語の原文（ISO版）を読むと見当がつく要求があります。ちなみに、4.1の目的は原文ではpurpose、それ以外はobjectivesです。

どうしても規格要求を理解できない場合は、思い切ってISOの原文を読んでみると解決するかもしれません。