ISMS(情報セキュリティマネジメントシステム)とは?Pマークとの違いや取得方法について解説!

セキュリティ

近年、クラウドで利用できるツールが続々と増えていますが、「セキュリティ面が不安で…」と導入に踏み切れない方もいるのではないでしょうか。
個人情報や機密情報の流出リスクを考えると、個人や企業に関係なくセキュリティ性の高さを考慮したツール選びは必須とも言えます。

そこで本記事では、セキュリティを考える上で欠かすことのできないISMS(情報セキュリティマネジメントシステム)についてわかりやすくまとめています。クラウドサービスの導入を検討されている方やISMSの認証取得を考えている方はぜひ参考にしてみてください。

ISMS(情報セキュリティマネジメントシステム)とは

まずはISMSの意味や考え方について確認していきましょう。

ISMSとは

ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)の頭文字を取ってつけられた言葉で、「情報を適切に管理する仕組み」のことを表します。

ISMSには「仕組みがきちんと整っているか・維持できているか」を確認するための規格があり、第三者機関によって「認証審査」が行われます。

ISO27001やJISQ27001について

ISO27001JISQ27001はISMS認証基準の一種で、世界的に通用する標準規格として用いられています。

ISO27001は国際標準化機構によって定められた国際規格で、JISQ27001はISO27001を日本工業規格として日本語に訳したものです。

ISO27001には、ISMS(情報を適切に管理する仕組み)を整備し、改善し続けるためにどうすべきかが記載されており、どのような組織においても運用できるように構成されています。

情報セキュリティの3要素について

ISMSについて知る上で必ず知っておきたいのが「情報セキュリティの3要素」である、「機密性」「完全性」「可用性」についてです。

  • 機密性:許可された人のみが情報を閲覧できる状態であること
  • 完全性:情報が改ざんされておらず、正しい状態で保たれていること
  • 可用性:許可された人であれば必要なときにいつでも情報を見られる状態であること

JISQ27001では、情報セキュリティを「情報の機密性、完全性及び可用性を維持すること」と定義づけています。ですが、機密性・完全性・可用性のいずれかに特化してしまうとバランスが崩れ、ISMSが整っていない状態になってしまいます。

例えばこれらを維持するためには下記のような方法が考えられますが、

  • 機密性:アクセス権限の設定やパスワードの設定など
  • 完全性:編集履歴の保持や上書き防止など
  • 可用性:停電・災害時のデータバックアップや、クラウド型のツール利用など

いつでもどこでも作業できるようにと可用性を高めると、機密性や完全性に欠けてしまうことにもなりかねません。ISMSを整備・維持するためには、3要素のすべてが釣り合いのとれた状態で管理されることが求められます。

参考:情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項

ISMSとPマークの違い

ISMS以外にも、情報保護に関する第三者認証として「Pマーク(プライバシーマーク)」があります。どちらも情報を扱うという点では同じですが、細かく見ていくと下記のような違いがあります。

  ISMS Pマーク
保護対象 個人情報を含むすべての情報資産 個人情報
適用範囲 企業全体だけでなく、事業や部門ごとの取得も可能 企業全体
規格 国際標準規格:ISO27001
日本工業規格:JISQ27001
日本工業規格:JISQ15001
※日本国内でのみ通用
有効期限
(更新のタイミング)
3年
※年に1回以上の維持審査あり
2年

Pマークが個人情報のみを対象としているのに対し、ISMSは企業の有するすべての情報資産が対象となるため、より範囲が広くなります。

「自社はどちらを取得すべきか」で悩んだ場合には、個人情報の取り扱いが多いBtoC事業はPマーク、法人向けのサービスを扱っていたり保護すべき情報が特定の部署のみにしかなかったりするときはISMSといった使い分けをしてみるのも良いでしょう。

ISMS認証の取得方法

ISMS認証を取得するためには、いくつかのステップを踏む必要があります。
申請してから認証されるまでには最短でも3~4ヶ月、準備の期間も含めると約1年ほどの期間を要するため、早めの取り組みが求められますが、どのような準備が必要なのでしょうか。
こちらではISMS認証を取得するまでの流れをまとめているのでぜひ参考にしてみてください。

どの組織を対象とするか検討する

ISMSは、企業全体ではなく、組織単体でも取得することができるため、まずはどの組織を認証の対象となるか決めていきます。
ISMSの取得を対象としたコンサルティング会社もあるので、相談しながら決めていきたい方はコンサルティングを依頼するのも良いでしょう。

認証機関を選ぶ

対象となる組織が決定したら、認証機関を選択します。
2019年現在、認証機関は27ヶ所あり、それぞれの機関で認証費用などを定めています。各認証機関で見積もりの依頼を受け付けているので、業務内容や従業員数、対象となる事業所数を記載して提出しましょう。

>>ISMS認証機関一覧はこちら

ISMS取得に向けて整備を行う

対象などが決まったら、ISMSを取得するために情報を適切に管理する仕組みを整えていきます。
ISMSの実現にはPDCA(計画・実行・点検・改善)のサイクルを繰り返すことが重要なので、取得に向けて一つひとつ確認していきましょう。

リスクアセスメントを行う

リスクアセスメントとは、リスク(危険性)の程度を判断して、リスク低減に向けた対策を決定していくことを言います。
ISMSにおいては、組織に関する情報資産をすべて洗い出し、リスク分析・計画策定などを行うことを指します。分析や計画を基に、優先度の高いものから対応をしていきましょう。

文書作成などを行い、内部規定を整える

次に、ISMS認証を申請する上で必要となる文書を作成します。
ISO27001規格の要求事項(組織に求められる要件がまとめられたもの)があるため、その内容に適合したマニュアルなどを作成していきましょう。

運用し、社内の周知徹底を図る

内部規定が整ったら、運用を開始します。また、該当組織に属している従業員に対してISMSの教育を行い、情報セキュリティに対する意識を高めていきましょう。

内部監査を行い、正しく運用できているのか確認する

作成したマニュアルに沿って運用できているか、情報セキュリティの考え方は身についているかなど、内部監査を行って確認していきます。内部監査は社内の人間やコンサルタントによって行われますが、この時点で問題点が見つかったら改善を行うことになります。

マネジメントレビューを行い、改善を図る

内部監査の結果や運用状況を基に、経営者などへの報告を行います。今まで行ってきたISMSの成果を見直し、さらに改善できる点はないか検討・判断していきます。

選んだ認証機関に申請し、認定審査を受ける

ISMS認証取得に向けてのシステム構築や運用体制の実行が進められたら、選択した認証機関に申請を行います。

認定審査は第1段階として文書審査が行われ、問題なしと判断されたら第2段階に進みます。第2段階では実際の状況がチェックされ、規格に沿って運用されているかを見られます。

認証登録が行われる

審査の結果、規格と適合していると判断されたら認証登録が行われます。
ただし、不適合だと判断された場合は、改善計画書を提出して是正処置を行う必要があります。

ISMSのサイト上で情報が公開される

認証完了となりましたら、認証機関から情報マネジメントシステム認定センター(ISMS-AC)に報告が行われます。ISMS認証の取得を公表して問題なければ、サイト上で情報が公開されます。

認証維持に向けて

取得した認証の有効期限は3年間なので、更新するためには手続きが必要です。また、年に1回以上は中間審査(サーベイランス審査)が行われるので、継続してISMS運用を進めていきましょう。

参考:ISMS適合性評価制度

ISMS認証の取得にかかる費用

ISMSの申請をする際には申請料や審査料などが必要ですが、認証する範囲や組織の規模、認証機関によってかかる費用が大きく異なります。

細かく分けると、認証までには

  • 申請料金
  • (必要であれば)予備審査
  • 初回認証審査(第1段階・第2段階それぞれに費用が必要)
  • 認証書の発行

の費用を支払うこととなり、その後も維持審査更新審査のための費用が発生します。
また、遠方の場合などには審査員の交通費宿泊費も必要になります。

そのため一概に「〇〇万円」と言い切ることはできず、総額は数十万~数百万円と大きく幅があります。ISMS認証の取得を考えた際には、まず実際どのくらいの費用になるのか、数社に見積もりを依頼するようにすると良いでしょう。

コンサルティング費用について

ISMS取得のためにコンサルティングに依頼することも多いですが、そのコンサルティング費用も月額数万円や一括で100万円など実に様々です。

例えば文書作成を中心に依頼する場合や社員教育・審査前のチェックも含めて依頼する場合、Pマークも合わせて取得する場合など、同じ会社であってもコンサルティングの内容によって費用が異なってきます。自社にとって必要なものは何なのか取捨選択しながら進めていきましょう。

ISMS認証取得企業

2019年3月現在、ISMS認証を取得している組織数は5,776です。
取得を公表している組織数は5,454おり、LINEグループや楽天グループ、株式会社 電通、富士通株式会社など多岐に渡ります。

ISMS取得企業に関しては、情報マネジメントシステム認定センターでも確認できるので、ISMS認証取得組織や認証機関を知りたい方は検索してみるのも良いでしょう。
なお弊社が提供しているformrun(フォームラン)も取得済みです。

>>ISMS取得企業の検索はこちらから

なぜISMS認証を取得するべきなのか

認証を得るまでに多大なコストと工数が発生するISMSですが、なぜ取得するべきなのでしょうか。

その理由としては大きく2つが考えられます。

  • セキュリティ性の向上によってリスクマネジメントが実現できる
  • 社外に対して「セキュリティ性の高さ」をアピールできるようになる

ISMS認証を取得するには、情報セキュリティの考え方を組織全体に周知し、管理体制を整えることが必要となります。認証を得る過程において組織に属している人すべてが情報セキュリティに関しての意識が高まるため、セキュリティリスクの低減にもつながるのです。

次に、社外へのアピールという面でもISMS認証の取得は薦められています。
国際認証されているISMSは、セキュリティ対策を行っていることを示す材料として非常にわかりやすいです。そのため、取得していることで顧客からの信用度が高まったり、他社との比較で役立ったりと様々な効果を発揮します。

実際、情報マネジメントシステム認定センターが2018年に実施したアンケート「ISMS導入・ISMS認証取得の効果(メリット)」によると、

  • 社員の情報セキュリティに関する意識向上、教育啓発に寄与した
  • 組織の情報セキュリティ対策が強化できた
  • 顧客からの信頼確保に貢献した

など、多くの項目で9割以上の方が「該当する」「やや該当する」と回答しています。

ISMS認証は維持コストもかかるため、もちろん企業にとってメリットばかりとは言い切れません。
ですが、信頼できる情報セキュリティ体制を整えていることが大きなアピール材料となる企業であれば、取得しておくことで役に立つ機会も多々あることでしょう。

参考:ISMS適合性評価制度

まとめ:ISMSや情報セキュリティマネジメントへの理解を深めよう

インターネットの普及と技術の進歩に伴い、コミュニケーションの円滑化や業務効率化など様々な目的でITツールが利用されるようになりました。

ですが、ITツールの活用は個人情報の流出や不正利用など、多くの問題をはらんでいることも事実です。セキュリティ面のリスクを考えると、ツールを提供する側・利用する側のどちらもが情報セキュリティマネジメントへの理解を深め、適した選択をすることが求められると言えるでしょう。

数多くのクラウドサービスが発表される中、ISMSはサービス導入を検討する上で大きな判断材料となります。利用しようとしているサービスにセキュリティ性の問題がないか、まずはISMS認証の有無を確認してから導入を検討するようにしてみてください。

>>ISO27001 (ISMS)取得済み!メールフォームツール「formrun」について詳しく見てみる