ISMS認証(ISO27001)とは?Pマークとの違いや取得方法を詳しく解説!

セキュリティ

セキュリティを考える上で欠かせないISMS認証。
意味は知らなくても、名前を聞いたことがあるという方は多いのではないでしょうか。

本記事では、主に以下の3つについてまとめています。

  • ISMS認証・ISO27001の意味
  • ISMS認証とISO27001の違い
  • ISMS認証とPマークの違い

詳しく解説していくので、ISMS認証について調べてみたけど結局よく分からないという方や、ISMS認証とISO27001の違いがはっきりしないという方は、ぜひご覧ください。

ISMS(情報セキュリティマネジメントシステム)とは?

まずはISMSの意味や考え方について確認していきましょう。

ISMSとは、「情報セキュリティマネジメントシステム」とも言われ、情報セキュリティに関する国際規格の1つです。

これだけでは分かりにくいので、もう少し具体的に解説していきます。

まず、ここでの「国際規格」とは何を意味しているのでしょうか。

規格とは、製品の大きさや品質などの標準を決め、それを文章化したものです。
つまり、ここでの国際規格とは、全世界で情報セキュリティに関する基準を統一し、どの組織にも同じルールを適用できるようにすることです。

ISMS認証は、スイスのジュネーブに本部を置く「国際標準化機構」という組織が発行している規格の1つ。ISMS認証を取得していることは、国際的に設定された基準をクリアしていると保証されていることを示します。

続いて、「情報セキュリティマネジメントシステム」の意味を確認していきましょう。
情報セキュリティマネジメントシステムは、「情報セキュリティ」と「マネジメントシステム」の2つに分けることができます。

 

IS(情報セキュリティ)とは

情報セキュリティと聞くと、どのようなことをイメージするでしょうか。身近なセキュリティとしては、データにパスワードを設定したり、ウイルス対策ソフトを導入するといったことが挙げられます。

しかし、情報セキュリティはそれだけではありません。

ISMSにおける情報セキュリティとは、組織内の情報が、次の3つの要素全てを満たしていることと定義されています。

  • 機密性
  • 完全性
  • 可用性

機密性

機密性とは、許可された人のみが情報を閲覧できる状態であることを指します。つまり、情報を利用してはいけない人への情報の漏えいを防ぐこととも言えます。

機密性を維持するための方法として、アクセス制限の設定や、パスワードの設定といったものが挙げられます。

多くの人がイメージする「セキュリティ」は、多くの場合この機密性を指しています。

完全性

完全性とは、情報が改ざんされたり、削除されたりしない状態であることです。また、情報が正確な状態で維持されることを指します。

完全性を維持するためには、

  • データを編集できる人を制限し、必要最低限の人だけがデータの上書きをできるようにする
  • 定期的に情報の最新化を行う

といった方法があります。

可用性

可用性とは、許可された人であれば、必要なときにいつでも情報にアクセスできる状態であることを指します。

  • 停電時や災害時にもデータが使えるようにバックアップをとっておく
  • システムを二重化(同じ機材を2つ用意)し、一方に不具合があった時でももう一方を使えるようにしておく

などの方法があります。

情報セキュリティは、以上のように、「情報の機密性、完全性及び可用性を維持すること」と定義されています。

ですが、機密性・完全性・可用性のいずれかに特化してしまうとバランスが崩れ、ISMSが整っていない状態になってしまいます。例えば、いつでもどこでも作業できるようにと可用性を高めると、機密性や完全性に欠けてしまうことにもなりかねません。

ISMSを整備・維持するためには、3要素のすべてが釣り合いのとれた状態で管理されることが求められます。

参考:情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項

MS(マネジメントシステム)とは

続いて、「マネジメントシステム」の意味を確認しましょう。

そもそも、一般的に使われるマネジメントシステムとはどういった意味なのでしょうか。
公益財団法人である日本適合性認定協会では、次のように定義されています。

マネジメントシステムとは、方針及び目標を定め、その目標を達成するために組織を適切に指揮・管理するための仕組みです。

出典:マネジメントシステム認証機関の認定(ISO/IEC 17021) | 公益財団法人 日本適合性認定協会

少し難しい表現となっていますが、マネジメントシステムとは、組織全体の目標をどのようなやり方で達成するのか、誰がどのような役割分担で活動を行うのかを定めた規定や手順、ルールのことです。

具体的には、

  • 社内で定められている制度
  • 業務マニュアル
  • 事業計画

など、これらは全てマネジメントシステムと呼ぶことができます。マネジメントシステムは目標達成のための仕組みであり、会社ごとに自由に設定することが可能です。

しかし、情報セキュリティに対するマネジメントシステムが会社ごとにバラバラであれば、前述の情報セキュリティを維持することが難しくなってしまいます。

そこで登場するのが、国際的な基準であるISMSです。情報の機密性・完全性・可用性を維持するためにはどのようなマネジメントシステムを構築すべきかを統一して定めています。

結論:ISMS(情報マネジメントシステム)認証とは

以上を踏まえると、ISMSとは、「組織が情報の機密性・完全性・可用性を維持するための仕組み」であり、「その基準を国際的に統一したもの」とまとめることができます。

一般財団法人日本情報経済社会推進協会(JIPDEC)の行うISMS適合性評価制度により、組織内の情報の取り扱いについて機密性、完全性、可用性を一定の水準で確保する仕組みが整っているかを評価し、基準をクリアした場合にISMS認証が与えられます。

ISO27001とISMS認証の違いは?

ISMS認証とよく一緒に使われる言葉に、「ISO27001」というものがあります。

それぞれの違いを一言でまとめると、ISMSは情報セキュリティを維持するための「仕組み」であり、ISO27001はその仕組みを構築するための「要求事項」と言うことができます。

より詳しく解説をしていきましょう。

ISO27001とは・ISMS認証との違い

まずは、ISO27001の意味について確認していきます。

ここまででお伝えしたISMSは、「情報マネジメントシステム」のことで、その名前の通りシステム(仕組み)を意味しています。つまり、前述した情報の機密性・完全性・可用性の3つを維持できている状態を、ISMSが構築できている状態と言うことができます。

それでは、ISMS(システム)を構築したいと思ったときに、具体的にどのようにして構築していけば良いのでしょうか。

ここでISMSを構築する手順やルールを示したものが、ISO27001です。ISO27001は「要求事項」と呼ばれ、機密性・完全性・可用性の3つを維持するための手順が書かれています。

ISO27001の要求事項

ISO27001には、ISMS認証を取得するために、クリアすべき基準が「要求事項」として記載されています。
この要求事項にはどういったものがあるのでしょうか。

具体的には、

  • 社内の責任者と役割ごとの担当者を決めること
  • 情報セキュリティ目標を定めること
  • セキュリティのリスクを算出し、対応計画を作ること
  • 内部監査を行うこと

といったものがあり、100個以上の事項が定められています。

ISMS認証とPマーク(プライバシーマーク)の違い

ISMS以外にも、情報保護に関する第三者認証として、「Pマーク(プライバシーマーク)」があります。どちらも情報を扱うという点では同じですが、細かく見ていくと下記のような違いがあります。

  ISMS Pマーク
保護対象 個人情報を含むすべての情報資産 個人情報
適用範囲 企業全体だけでなく、事業や部門ごとの取得も可能 企業全体
規格 国際標準規格:ISO27001
日本工業規格:JISQ27001
日本工業規格:JISQ15001
※日本国内でのみ通用
有効期限
(更新のタイミング)
3年
※年に1回以上の維持審査あり
2年


中でも、大きな違いは、

  • 保護対象の違い
  • 適用範囲の違い

という2つが挙げられます。それぞれの違いについて詳しく見ていきましょう。

1. 保護対象の違い

ISMS認証とPマークのもっとも大きな違いは、以下のように保護の対象となる情報が異なるという点です。

  • ISMS認証:指定した適用範囲の全ての情報資産を保護する
  • Pマーク:企業全体の個人情報を保護する

Pマークは対象が個人情報に限定されるため、ISMSの方が広い範囲を対象としています。

例えば、社員の個人情報や顧客情報は、両方の保護対象となります。しかし、技術情報や財務諸表、システムなどの機密情報などはPマークの対象とはならず、ISMSのみ対象とすることができます。

2. 適用範囲の違い

また、ISMS認証とPマークは適用できる範囲も異なります。

  • ISMS:部署ごとや企業全体など、適用範囲を自由に設定可能
  • Pマーク:企業全体に適用

上記のように、ISMSでは、「重要な情報を保持している管理部門だけが取得する」といったことも可能です。必要最低限の部署だけ適用しておけば、他の部署が規格に従って業務を行う必要はなく、負担を減らすことができるというメリットがあります。

どちらを取得すべきなのか?

ISMS認証とPマークの両方を取得することは可能ですが、取得するには費用や時間がかかります。そのため、どちらを優先して取得すべきか、迷ってしまう企業も多いのではないでしょうか。

どちらを優先して取得すべきかは、「取り扱う顧客情報の多さ」と「他社から預かる機密情報の多さ」で決めるのがおすすめです。

例えば、BtoCビジネスの場合であれば、BtoBに比べて扱う顧客情報が多いため、まずPマークを取得すると効果的です。

一方でBtoBビジネスの場合は、「他社から預かる機密情報」が多いため、ISMS認証を取得した方がより広い範囲に適用ができます。

なぜISMS認証を取得するべきなのか

認証を得るまでに多大なコストと工数が発生するISMSですが、なぜ取得するべきなのでしょうか。

その理由としては大きく2つが考えられます。

  • セキュリティ性の向上によってリスクマネジメントが実現できる
  • 社外に対して「セキュリティ性の高さ」をアピールできるようになる

ISMS認証を取得するには、情報セキュリティの考え方を組織全体に周知し、管理体制を整えることが必要となります。認証を得る過程において組織に属している人すべてが情報セキュリティに関しての意識が高まるため、セキュリティリスクの低減にもつながるのです。

次に、社外へのアピールという面でもISMS認証の取得は薦められています。

国際認証されているISMSは、セキュリティ対策を行っていることを示す材料として非常にわかりやすいです。そのため、取得していることで顧客からの信用度が高まったり、他社との比較で役立ったりと様々な効果を発揮します。

実際、情報マネジメントシステム認定センターが2018年に実施したアンケート「ISMS導入・ISMS認証取得の効果(メリット)」によると、

  • 社員の情報セキュリティに関する意識向上、教育啓発に寄与した
  • 組織の情報セキュリティ対策が強化できた
  • 顧客からの信頼確保に貢献した

など、多くの項目で9割以上の方が「該当する」「やや該当する」と回答しています。

ISMS認証は維持コストもかかるため、もちろん企業にとってメリットばかりとは言い切れません。

ですが、信頼できる情報セキュリティ体制を整えていることが大きなアピール材料となる企業であれば、取得しておくことで役に立つ機会も多々あることでしょう。

ISMS認証の取得方法・取得の流れ

ISMS認証を取得するためには、いくつかのステップを踏む必要があります。

申請してから認証されるまでには最短でも3~4ヶ月、準備の期間も含めると約1年ほどの期間を要するため、早めの取り組みが求められますが、どのような準備が必要なのでしょうか。

こちらではISMS認証を取得するまでの流れをまとめているので、ぜひ参考にしてみてください。

1. 適用範囲の決定

ISMSは、企業全体ではなく、組織単体でも取得することができるため、まずはどの組織を認証の対象となるか決めていきます。

ISMSの取得を対象としたコンサルティング会社もあるので、相談しながら決めていきたい方はコンサルティングを依頼するのも良いでしょう。

2. 情報セキュリティに関する方針の決定

情報セキュリティの取り組みに関する基本方針を決定します。

前提として、ISMS認証では情報資産を保護するための「仕組み」を作ることを要求しています。仕組みを作る上で、厳格に決まった手順があるわけではなく、要求事項を満たすことができれば、企業に合わせた方針(文書)を作成することができます。

例えば、Web上で「情報セキュリティ基本方針」を検索すると、さまざまな企業が掲げている方針を見ることができますが、掲げている方針は企業によって異なります。方針作成の参考として確認してみるのも良いでしょう。

自社で情報セキュリティの取り組みに関する基本方針を決め、文書化をしていきます。

3. 認証機関を選ぶ

情報セキュリティに関する方針が決定したら、認証機関を選択します。

2020年現在、認証機関は27ヶ所あり、それぞれの機関で認証費用などを定めています。各認証機関で見積もりの依頼を受け付けているので、業務内容や従業員数、対象となる事業所数を記載して提出しましょう。

>>ISMS認証機関一覧はこちら

4. リスクアセスメント

リスクアセスメントとは、組織内にあるセキュリティリスクを洗い出し、そのリスクを評価・評価内容に応じた対応を行う一連の手順のことです。

大きく分けて、

  1. 情報資産管理台帳の作成
  2. リスク分析
  3. リスク対応計画の策定

という3つの手順で進めていきます。

4-1. 情報資産管理台帳の作成

組織内にある情報資産を全て洗い出し、どのような情報資産があるのか把握します。情報資産を洗い出したら、それらの情報資産を台帳としてまとめていきます。

4-2. リスク分析

続いて、組織の情報資産に対するリスクを明確にします。

ここでのリスクとは、前述した機密性・完全性・可用性を損なってしまうリスクのことを指します。例えば情報が漏えいしてしまったり、データが改ざんされてしまうリスクなどがあります。

どのようなリスクがあるのかを明確にしたら、リスク値を算定していきます。リスク値は情報資産の価値・脅威・脆弱性と言う3つの点から算出されます。

リスク分析の方法には、ベースラインアプローチや詳細リスク分析、非形式アプローチといった方法があり、「ISMSユーザーズガイド」で解説されているので、そちらを参考にすると良いでしょう。

4-3. リスク対応計画の策定

最後に、リスク分析をもとに、対策を実施するものはどれか、誰がいつまでに実施するのかを決定します。また、対策後に残っているリスクについて、定められた受容リスク水準であるかを確認します。

5. 内部監査

作成したマニュアルに沿って運用できているか、情報セキュリティの考え方は身についているかなど、内部監査を行って確認していきます。内部監査は社内の人間やコンサルタントによって行われますが、この時点で問題点が見つかったら改善を行うことになります。

6. マネジメントレビュー

内部監査の結果や運用状況をもとに、経営者などへの報告を行います。今まで行ってきたISMSの成果を見直し、さらに改善できる点はないか検討・判断していきます。

7. 選んだ認証機関に申請し、認定審査を受ける

ISMS認証取得に向けてのシステム構築や運用体制の実行が進められたら、選択した認証機関に申請を行います。

認定審査は第1段階として文書審査が行われ、問題なしと判断されたら第2段階に進みます。第2段階では実際の状況がチェックされ、規格に沿って運用されているかを見られます。

審査の結果、規格と適合していると判断されたら認証登録が行われます。ただし、不適合だと判断された場合は、改善計画書を提出して是正処置を行う必要があります。

8. ISMSのサイト上にて審査結果の公開

認証完了となりましたら、認証機関から情報マネジメントシステム認定センター(ISMS-AC)に報告が行われます。ISMS認証の取得を公表して問題なければ、サイト上で情報が公開されます。

取得した認証の有効期限は3年間なので、更新するためには手続きが必要です。

9. 継続的なPDCAサイクルの実施


ISMS認証の取得後も、年に1回以上は中間審査(サーベイランス審査)が行われるので、継続してISMS運用を進めていきましょう。

情報セキュリティマネジメントを効率よく行う方法として、PDCAサイクルが挙げられます。

  • Plan:セキュリティリスクの洗い出しと、対応計画の策定
  • Do:対応計画で定めたアクションの実施
  • Check:情報セキュリティの監視や不正アクセスなど問題点の確認
  • Act:監視結果にもとづき、改善策の検討

上記のようなPDCAサイクルを実施し、常に情報セキュリティを高い水準に保ちます。

ISMS認証の取得にかかる費用

ISMSの申請をする際には申請料や審査料などが必要ですが、認証する範囲や組織の規模、認証機関によってかかる費用が大きく異なります。

細かく分けると、認証までには

  • 申請料金
  • (必要であれば)予備審査
  • 初回認証審査(第1段階・第2段階それぞれに費用が必要)
  • 認証書の発行

の費用を支払うこととなり、その後も維持審査更新審査のための費用が発生します。
また、遠方の場合などには審査員の交通費宿泊費も必要になります。

そのため一概に「〇〇万円」と言い切ることはできず、総額は数十万~数百万円と大きく幅があります。ISMS認証の取得を考えた際には、まず実際どのくらいの費用になるのか、数社に見積もりを依頼するようにすると良いでしょう。

コンサルティング費用について

ISMS取得のためにコンサルティングに依頼することも多いですが、そのコンサルティング費用も月額数万円や一括で100万円など実に様々です。

例えば文書作成を中心に依頼する場合や社員教育・審査前のチェックも含めて依頼する場合、Pマークも合わせて取得する場合など、同じ会社であってもコンサルティングの内容によって費用が異なってきます。自社にとって必要なものは何なのか取捨選択しながら進めていきましょう。

ISMS認証取得企業

2020年8月現在、ISMS認証を取得している組織数は6,239です。
取得を公表している組織数は5,923おり、LINEグループや楽天グループ、株式会社 電通、富士通株式会社など多岐に渡ります。

ISMS取得企業に関しては、情報マネジメントシステム認定センターでも確認できるので、ISMS認証取得組織や認証機関を知りたい方は検索してみるのも良いでしょう。
なお弊社が提供しているformrun(フォームラン)も取得済みです。

>>ISMS取得企業の検索はこちらから

まとめ:ISMSや情報セキュリティマネジメントへの理解を深めよう

インターネットの普及と技術の進歩に伴い、コミュニケーションの円滑化や業務効率化など様々な目的でITツールが利用されるようになりました。

ですが、ITツールの活用は個人情報の流出や不正利用など、多くの問題をはらんでいることも事実です。セキュリティ面のリスクを考えると、ツールを提供する側・利用する側のどちらもが情報セキュリティマネジメントへの理解を深め、適した選択をすることが求められると言えるでしょう。

数多くのクラウドサービスが発表される中、ISMSはサービス導入を検討する上で大きな判断材料となります。利用しようとしているサービスにセキュリティ性の問題がないか、まずはISMS認証の有無を確認してから導入を検討するようにしてみてください。

>>ISO27001 (ISMS)取得済み!メールフォームツール「formrun」について詳しく見てみる