気候変動への配慮|ISOマネジメントシステム規格の改訂

  1. ISOマネジメントシステム規格の追補改正
  2. まとめ
Twitter
Facebook
Hatena
気候変動への配慮|ISOマネジメントシステム規格の改訂

今年の夏は猛暑や豪雨をはじめとする異常気象が続いており、日々の生活の中、変化の激しい気候に悩まされた方も多いのではないでしょうか。私自身も昔と比べて全く異なる気温に対策が必要ではないかと感じています。

異常気象により対策が必要になるのは、私たちだけではありません。この度、既存の31のISOマネジメントシステム規格においても、気候変動への配慮を追加する改訂がなされました。
この改訂は組織にどのような影響をもたらすのでしょうか。 組織としてどのような対応が必要かを考察してみます。

ISOマネジメントシステム規格の追補改正

ISO/IEC 27001には、主に情報セキュリティ、サイバーセキュリティ及びプライバシー保護に関する要求事項が書かれています。2022年の改訂で、箇条4.1及び箇条4.2に以下の文章が追加されました。(日本語版は2023年改訂)

4.1 組織及びその状況の理解
追補) 組織は気候変動が関連する課題であるかどうかを決定しなければならない。(仮訳文)

4.2 利害関係者のニーズ及び期待の理解
追補) 注記:関係する利害関係者は気候変動に関連する要求事項をもつことができる。(仮訳文)

これにより、自組織のマネジメントシステムの開発、維持、有効性において、気候変動の側面とリスクを考慮し、該当する場合は、組織の目標や活動に上述の内容が組み込まれていることが必要になりました。
これは、ISMS認証の審査(※1)における確認の対象となります。

まずは、この気候変動によって引き起こされる事象を幾つかピックアップしてみましょう。

気温の上昇: 温暖化の影響により、世界中の平均気温は上昇しています。

降水の変化: 日本でもゲリラ豪雨という名称が一般化してきましたが、局所的に激しい雨が降る地域や、逆に干ばつが長期化する地域もあります。

氷河の融解: 世界中の山岳地帯の氷帽や北極の氷河が溶け出しています。

生態の変化: 気温や海水の温度上昇により、熱帯地方でしか生息しなかった生物や魚類等が生息範囲を拡げており、今までの生態系に変化が生じています。

このように様々な所で気候変動の影響を見ることができます。

それでは、気候変動についてなぜISOのマネジメント規格のうちセキュリティ規格のISO/IEC27001に追加されたのかを考えてみましょう。興味深いことに、追加されたのは箇条5~8の管理策ではなく、箇条4の「組織の状況」です。

情報セキュリティに求められる基本的な3つの要素は次の通りです。

機密性(confidentiality)…許可された人のみが情報にアクセスできること
完全性(integrity)…情報が破壊や改ざん、削除されずに状態を維持されること
可用性(availability)…許可された人が必要な時にいつでも情報にアクセスできること

気候変動の対応はこれらの要素に合致しないようにもみえますが、これは2021年9月にロンドンで開催された国際標準化機構(ISO)の総会で承認された、いわゆるロンドン宣言による影響で、全てのISO国際規格は、気候変動対策へのアプローチを考慮する必要があると言うことで組み込まれました。

如何なる背景であれ、世界的な気候変動対策の推進に尽力するべきであるという考えから、組織が経営目標の達成を目指すために行う活動の仕組みやルールの策定、維持、有効性の担保においても気候変動への対応は必要なことだと思います。

一方、対応する側としては、箇条4.1及び箇条4.2に追記された気候変動への対応に関する文章の適用範囲と、気候変動への配慮を示すために組織としてどのような対応が求められるのかについて、判断に困っている組織もあるのではないかと思います。
勿論、この課題にどう取り組むかを既に決定している組織もあるかと思いますが、これから新規でISMS認証の取得を目指す組織のために、どのような取り組みが必要なのか考えてみましょう。

今回の改訂を初めて耳にした際に、私は、ネットゼロのことが頭に浮かびました。ネットゼロとは、温室効果ガスの排出量から吸収量や除去量を差し引いて実質ゼロとする考え方です。つまり、温室効果ガスの排出を抑えなさいということです。温室効果ガスには、二酸化炭素やメタン、一酸化二窒素、フロンガス等が含まれます。

組織によって取り組むべき課題は異なるので、具体的に記載するのは難しいのですが、古い設備を新しくする事で省電力や省エネルギーに貢献する事、または運用面で節電に努めたり、社用車をCO2排出が少ないものに変えたりと、可能な限りカーボンニュートラルを目指す取り組みを考慮することが重要だと思います。

つまり、セキュリティの規格を準拠するという前段階で、まずは地球環境を考慮しましょうという事で、組織として取り組むべき課題があるかどうかを検討しましょうという事が大事だと考えます。

※1 ISMS認証審査:ISMSは組織の情報セキュリティを管理し保護するための枠組みやプロセスのことですが、これを組織が実施している事を証明するには、認証機関により派遣された審査員の審査により認証を受ける必要があります。

まとめ

今回のISOマネジメントシステム規格の気候変動対応について解説しました。組織として環境に十分配慮する必要はありますが、取り組みの状況でISMS認証審査の際に不適合となる可能性は低く、軽微な指摘があったとしても、粛々と対応を進めれば問題ないと思われます。今後、具体的な対策として要求事項が明確化される可能性がないとは言い切れませんが、現時点では考慮する事が求められている事であり、現時点での対策を講じないという事も認められる可能性はありますが、気候変動が組織ではなく全人類の課題と捉えるのであれば、気候変動を抑制する為の原因に働きかける必要があるのではないかと思われます。

ただ、組織として環境問題に取り組むことは、如何なる規格であれ、今後も重要視されてくるのではないかと思われます。少しずつでも取り組みを進める必要があるでしょう。

セキュリティソリューションについて、詳しくはこちら
セキュリティソリューション

 

まずはお気軽にご相談ください

 

この記事の執筆者

山口 宏治Hiroharu Yamaguchi

ソリューション事業本部 インフラ事業部
セキュリティソリューション室
主任 / エキスパート

ISMS JISQ27001 Pマーク
詳しくみる