情報収集の実践(1)Googleを最大活用:情報セキュリティ(Pマーク・ISMS)での実践例|”考え方”を考える

AUTHOR :  田中 耕比古

Quickに情報を集めて「有識者」を目指す

前回、コンサルティングプロジェクトにおける情報収集のやり方について述べましたが、今回は、その実践編をご紹介します。テーマは”プライバシーマーク”に代表される企業内の「情報セキュリティ対策」です。

今回は、架空のプロジェクトとして「クライアントが、情報セキュリティ対策を強化することを決め、プライバシーマークの取得を目指すためにコンサルティングを依頼してきた」というものを想定します。(一般的に戦略コンサルティングファームが、そういう仕事を受けることはあまりないと思うのですが、情報収集のネタとしてご理解ください)

まずは「知りたいこと」を知るために、Google先生に相談だ!

最初にやるべきは、インターネット検索です。この目的は「何を知りたいのか」を知るためです。

今回の場合「プライバシーマークの取得」がゴールですので、プライバシーマーク、という言葉でとりあえず検索するのが王道です。

プライバシーマーク 検索結果

P-mark_001

一面、広告で埋め尽くされてます。大人気ですね。こういう競争率の高い状態を見ると、上から順にクリックして広告費を無駄遣いさせてしまいたいという欲求に駆られるかもしれませんが、やめましょうね。(笑)

これをざっと見ると、プライバシーマークについて、以下のようなことが分かります。

  • 個人情報保護の体制を整備している事業者を認定する制度
  • 取得するのにお金がかかる
  • 取得の難易度はそれなりに高い(広告が沢山出ている=ビジネスになっている)
  • 取得後も、内部監査が必要みたい
  • Pマークという略称がある

それはそれとして、ここで見るべきは、検索ページの最下段です。「関連して検索されている言葉」が鍵です。

関連キーワード

P-mark_002

「プライバシーマーク 費用」「プライバシーマーク取得方法」などに混じって「isms プライバシーマーク 違い」「isms」などが表示されています。こういう”耳慣れない言葉”は、要チェックです。

ということで、「isms」のリンクをクリックしてみましょう。

isms 検索結果

P-mark_003

一気に広告が減りましたね。adwordsに出稿するなら狙いどころでしょうか?(笑)

どうやら、ISMSというのは「情報マネジメントシステム推進センター」のことみたいですね。ISMS適合性評価制度というものを運用しているようです。

ということで、お約束通り最下段をチェック。

P-mark_004

「iso27001 isms違い」というのが特徴的ですね。これもチェックしましょう。

iso27001 isms違い 検索結果

P-mark_005

「ISO27001(ISMS)とは」という見出しがあるので、同じものなのか?とも思われます。一方、「ISO/IEC27001とは国際規格の名称で、ISMSに必要な要求事項をまとめた認証・・・」という話もあるので、規格とそれに準じた認証制度の違いなのかもしれません。

「ISO27001/ISMS」と「プライバシーマーク」の違いを知った上で選択しましょう。「守るべき情報資産は何か?」が鍵です。

また、「ISMS(情報セキュリティマネジメントシステム)」「ISMSとはInformation Security Management Systemの頭文字をとったものであり(中略)日本語では情報セキュリティマネジメントシステムとして・・・」という記述も見られます。

え、さっき、ISMS=「情報マネジメントシステム推進センター」ってことになったじゃん?ということで、「情報セキュリティマネジメントシステム」で検索です。

情報セキュリティマネジメントシステム の検索結果

P-mark_006

最近のGoogle先生は、Wikipedia博士の記述を表示してくれちゃうという、超!親切設計なのがありがたいですね。

「組織における情報セキュリティを管理するための仕組み。情報セキュリティ管理システムともいう。組織の情報試算について、機密性、完全性、可用性をバランスよく維持し改善することが(中略)基本コンセプトである」

ふむふむ。もうちょっと詳しく知りたいので、wikipedia博士にもお邪魔しましょう。

wikipedia:情報セキュリティマネジメントシステム

P-mark_007

大したボリュームではないので、全部読みます。なるほど。

「知りたいこと」を整理する

これまでの検索で、キーワードが幾つか見えてきました。

  • プライバシーマーク、Pマーク
  • 個人情報保護
  • ISMS、情報セキュリティマネジメントシステム
  • ISO27001
  • リスクアセスメント

さらに、これらのキーワードに関連して

  • プライバシーマークと他の認証資格の違い
  • 取得する目的、取得のメリット
  • 取得に向けたプロセスおよび必要なお金
  • 取得後の運用

というあたりを理解しておくことが求められそうだなということが分かりました。

次はamazonさんだ!

ここまできたら、次は、amazonさんに頼りましょう。web上の情報の多くが「客観的な視点でのチェック」というプロセスを経ていません。そのため、検索上位だから常に内容が正しいとは言えないのです。

そこで「知りたいことの全体像」を理解したら、次は「書籍」に進むのが良いです。紙媒体の方が、ディスプレイよりも読む速度が上がる、という研究もありますし、なによりも、僕のような旧世代の人間は、紙じゃないとしっくりこないってのもあるんですよねー。

では、次回は、amazonで本を選ぶ、編です。

SERVICE