「ISMSのパフォーマンス評価ってそもそも何？」

「導入することで得られるメリットって何かあるの？」

このように思われる企業様もいるのではないでしょうか。

ISMSのパフォーマンス評価とは、簡単に言うと「実績に基づいた判定結果」のことです。規定通り運用されているか、有効に機能しているかを確認し、課題があれば改善につなげることを目的としています。

ISMSのパフォーマンス評価は、マネジメントシステムを運用する上で、PDCAサイクルの「C（Check）」にあたる重要な仕組みとなっているのです。

ここでは、ISMSのパフォーマンス評価について説明した上で、パフォーマンス評価の3つの指標には何があるか、メリットなどについてもご紹介しています。

本コラムを読み終えていただければ、ISMSにおけるパフォーマンス評価がどういうものなのか理解でき、ルールの見直しや社内のステップアップが期待できるでしょう。

1.ISMSのパフォーマンス評価とは

ISMSにおけるパフォーマンス評価とは、実績に基づいた判定結果のことです。

冒頭でも述べた通り、これはPDCAサイクルの「C（Check）」に該当しており、規定通り運用されているか、有効性があるかなどを評価し、課題があれば改善しましょうという意味を持ちます。

そのためISMSのパフォーマンス評価は、マネジメントシステムを運用する上で重要な仕組みとなっています。

ISMSにおけるパフォーマンス評価には、主に3つの指標があります。

以下で説明します。

（1）マネジメントシステムのパフォーマンス

ここでは、現状を把握し方針を決めて動き出した情報セキュリティを維持・改善するための自社における活動が有効に機能しているかを評価します。

主な評価内容は下記の通りです。

• 計画が適切に立てられているか
• 計画・ルール通りに運用されているか

（2）情報セキュリティ目的についてのパフォーマンス

ここでは、会社で掲げた目的や目標のための活動が、有効に機能しているかを評価します。

例として、情報セキュリティインシデントの発生防止を目的・目標とした場合、定期的に情報セキュリティ教育を実施したり、ヒヤリハット事例の展開が具体的な実施項目として想定されるとします。

そこで決定した実施項目について、

• 計画通りに進んでいるか
• 活動の結果として情報セキュリティインシデントの発生防止は達成できそうか

といったことを評価するイメージです。

（3）情報セキュリティルールの有効性評価についてのパフォーマンス

ここでは、ISMSで求められている93項目とリスクアセスメントの結果、自社で新たに設けた情報セキュリティルールが効果的に機能しているかについて評価します。

情報セキュリティを維持するための自社の運用ルールは策定して終わりではなく、運用していく中で課題があれば改善が必要になります。

今では、サイバー攻撃も巧妙化しているため、企業としては常に情報を収集し情報資産を守る対策を決めていく必要があるのです。

策定しているルールが、今の情勢に沿った内容になっている状態であるかといった点も見直すと良いかもしれません。

2.ISO/IEC27001におけるパフォーマンス評価の3つの項目

ISMSの国際規格であるISO/IEC27001では、パフォーマンス評価の要求事項として以下の3つが定められています。

（1）監視・測定・分析及び評価

ISMSのパフォーマンス評価では、マネジメントシステムの有効性を評価するため、監視・測定・分析のプロセスや評価方法を決定することが求められます。

適切な管理体制を構築するために、結果を生み出す具体的な方法を明確にするだけでなく、いつ・どこで・誰が測定の分析や評価を行うのかといったことを定めましょう。

監視・測定・分析のプロセスや評価方法を決めることで、実際にも問題が発生する前の予防措置を行えるようになります。

また、担当者が変わったとしても、同じ結果を出せるようにすることで、人的ミスを防ぐことができるのです。

（2）内部監査

内部監査とは、ISMSの取り組み状況を以下の観点でチェックすることです。

• 企業自体が規定した要求事項に適合しているか
• 規格の要求事項に適合しているか
• 実施され、形骸化されず維持されているか

自社の運用状況に合わせて、いつ・どのような内容を検討・判断するのかといった監査プログラムを立案することが求められます。

また、JIS Q 27001では、内部監査における監査基準や監査範囲、実施内容と結果、そして対策などの情報を文書化し保持することも求められているため、その内容を記録しておかなければなりません。

（3）マネジメントレビュー

マネジメントレビューは、経営者が自社のISMS全体を確認し、その有効性や改善の必要性を評価することです。

前回のマネジメントレビューで挙げられた、課題への対応状況やパフォーマンス評価といった観点から、ISMSが有効に運用され維持されているかを評価します。

それを基に、改善の機会やISMSの変更の必要性を洗い出すため、重要な項目です。

3.パフォーマンス評価の方法

では、どのようにパフォーマンスを評価するのでしょうか。

ここでは2つご紹介します。

(1)定点観測

実施方法については企業の規模や業種によって様々ですが、基本的には定点観測が良いでしょう。

定点観測とは、同じ対象を同じ場所・同じ視点から時間や間隔を置いて観察し続ける方法です。

この定点観測のメリットとして、小さな変化に気が付きやすいということが挙げられます。

体重測定を例にするとイメージがつきやすいかもしれません。

朝と夜とでは測定値が変わることがあります。

パフォーマンス評価も毎日同じ時間で測定を続けることによって、ささいな変化や問題の早期発見に気づくきっかけになるのです。

(2)チェック項目を決める

また、チェック項目をあらかじめ決めておくことも、パフォーマンス評価をする上で非常に重要です。

チェックする項目がチェック者によって変わってしまうと、チェック者の視点や力量に依存することになってしまい、精度にばらつきが生じてしまいます。

ばらつきを無くすためにも、チェック項目は決めておきましょう。

このように小さな変化を見逃さず、評価・分析をし、また改善することが求められています。

4.パフォーマンス評価は誰がするべきか

パフォーマンス評価は、自社の業務に精通している方が行うと効果的です。

新入社員にパフォーマンス評価をさせても自社の仕事や業界について、理解が乏しいため、リスクに気づかない可能性があります。

それを防ぐためにも、部門長など自社の業務を理解している人がパフォーマンス評価を行いましょう。

しかし、同じ人がパフォーマンス評価を続けていると、どうしても視野が広がりづらくなりがちです。

「4月は〇〇部の部長が評価する」などと力量のある方でローテーションをすることによって、常に新しい視点を取り入れられるでしょう。

5.パフォーマンス評価のメリット

最後に、パフォーマンス評価を導入することで、企業や従業員にもたらすメリットについてご紹介します。

（1）パフォーマンスの向上

パフォーマンス評価の結果は、従業員が自分自身を客観的に見つめる機会であり、その結果によって能力向上とパフォーマンスの改善につながります。

パフォーマンス評価は、詳細に評価をすることができるため、従業員にとって有効なアドバイスとなるのです。

（2）組織全体の生産性向上

パフォーマンス評価の実施によって、目標が明確になると、意欲的に業務に取り組めるようになります。

高い評価を受けた点や、さらに評価を高めるポイントを伝えれば、さらに高いモチベーションを持って業務に向き合えるでしょう。

チームに対するパフォーマンス評価も実施すれば、チーム内のモチベーションも上がり、必然的に組織全体の生産性も向上するのです。

（3）人材配置の最適化

パフォーマンス評価を実施すると、従業員のスキルや成果を様々な方面から評価ができるため、従業員一人ひとりの適正や課題を明確に把握することが可能になります。

従業員の適正を把握できると、能力を発揮する環境に配置できるようになり、人材配置の最適化を実現することができます。

6.まとめ

ISMSにおけるパフォーマンス評価とは、実績に基づいた判定結果のことです。

パフォーマンス評価は、マネジメントシステムを運用する上で、PDCAサイクルの「C（Check）」にあたる重要な仕組みとなっています。

また、パフォーマンス評価をする際のポイントとして、策定している情報セキュリティのルールが、今の情勢に沿った内容になっている状態であるかといった点も見直すと良いでしょう。

自社のルールや活動に成果が出ているかを評価し、課題があれば改善も行い、ステップアップに繋げていただければと思います。