ISMSを構築するにあたり、ISO27001の規格条項6は「計画」となっていますので、PDCAサイクルの最初がここなります。なお、ISOのマネジメントシステム規格と呼ばれるISO9000シリーズやISO14000シリーズでも、規格としては「継続的改善」”continual improvement”という言葉で表現されるこのPDCAサイクルはキーワードとなります。
第1項、リスクおよび機会に対処する活動では規格条項4.1と4.2によって明らかになった事項を考慮して、リスクと機会のうち次のa)~c)を実現するために対処する必要のあるリスクと機会を決定しなければならない、とあります。
a) ISMSが、その意図した成果を達成することを確実にする。
b) 望ましくない影響を防止または低減する。
c) 継続的改善を達成する。
組織は次の事項を計画しなければならない
d) 上記によって決定したリスクおよび機会に対処する活動
e) その活動の有効性の評価
存在する負のリスクとして、「特定個人情報の漏洩と漏洩に伴う社会的信用の失墜」であるということを想定することはあり得ます。この負のリスクに対してどのようなことを実施するのかについての検討を行い、特定個人情報の漏洩防止と社会的信用の確保を行うための一連の活動を検討することがISMS構築に当たって最初に計画を立てる必要のある項目となります。実際のところ、ISMSは個人情報の保護に特化した規格ではありませんので、この他に、オリジナルフライドチキンのスパイスのレシピやコーラのフレーバーのレシピといった機密情報漏洩のリスクへの対処といったものも考えられます。個人情報漏洩のリスクに特化することも、全社的なリスクに対応することもどちらでも可能ではあります。
ISMSであっても、QMS(ISO9000シリーズ)であっても、ISO14000(シリーズ)であっても自社の能力とかけ離れたところで取り組めとは一言も言っていません。このことはあまり知られていないことなのですが、a)にあるように「確実に」する、と表現されていますし、b)にあるように「防止または低減」すると表現されていますし、c) 「継続的改善」といっています。最初に示される「意図した成果」はすぐに到達できる成果ではないことが多いのですが、決して「最終的には不可能ではない」ようにする必要があります。「継続的改善」はPDCAサイクルを回すことによって実現することになります。ここで重要なことは「まずはやってみて、不具合が生じれば改善する」です。不具合とはデータ漏洩ではなく、実際運用してみて「我々が構築したISMSでは個人情報が漏洩しないと思っていたけれどもそうではない、漏れる可能性が見つかった」ことを指し、改善を図ることによってより良いISMSを実現する努力を行うことを言います。「有効性の評価」とはISMSが計画通りに機能したのかしなかったのかを評価することにあります。ここでは「効率性の評価」とはなっていないことに注意してください。先ずは有効性を確認してその後「効率性」を問題にすることが重要です。
