ISMS認証（ISO27001）とは？取得方法をや企業が取得する理由を解説！

近年、情報の取り扱い方には、どの企業も慎重になる必要があります。
情報セキュリティ対策の一環としてISMS認証の取得を考えている企業も多いのではないでしょうか？
本記事ではISMS認証の概要、メリット、取得の流れまで詳しく解説していきます。

ISMS 認証（ISO27001）とは？

ISMS認証とは、情報セキュリティマネジメントシステムと言われることもある、情報セキュリティを管理する体制や仕組みのことです。第三者機関の審査を通過するとISMS認証を取得することができます。
情報セキュリティに関する要件は、具体的に3要素あります。
この3つの要素について詳しく説明していきます。

機密性

機密性とは、許可された人だけが情報を見ることのできる状態であることをいいます。
たとえ、社内の人間であったとしても許可されていない人が情報を見ることで情報漏洩に繋がりかねません。社内であっても許可された人だけが情報を見られるようにすることで情報漏洩を防ぐことになります。
機密性を高める方法として、書類や情報ごとにパスワードを設定したり、アクセス権を設定する、などの方法が挙げられます。

完全性

完全性とは、情報が改ざんされたり、意図された情報の削除などがされていない、性格な状態であることです。
完全性を維持していく方法として以下の2つが挙げられます。

• データを編集する人を制限することでデータの上書きができる人を最小限にする
• 定期的に情報の更新をする

可用性

可用性とは、許可された人が情報にアクセスしたい時に情報にアクセスできる状態であることを指します。可用性を維持する方法として以下の2つが挙げられます。

• 停電時や火災時にもデータや情報を利用できるようにバックアップをとっておく
• システムを2つ用意し、一方に不具合が生じた時でももう一方で対応できるようにしておく

ISMS認証のメリット・デメリット

ここまでISMS認証について説明してきました。ここからはISMS認証を取得することで得られるメリットとデメリットについて解説していきます。

メリット

ISMS認証を取得することで、企業に以下のメリットをもたらします。

• 顧客や取引先の信頼性の広告塔となる
• 入札に必要な取引要件を満たすことができる
• 情報漏えいなどのリスク軽減

それぞれのメリットについて詳しく見ていきましょう。

1. 信頼性の広告塔となる

ISMS認証を取得することで、情報セキュリティに関する審査を通過したという、信頼性をアピールすることができます。
ISMS認証を取得するためには、情報セキュリティの管理体制を整え、第三者からの審査を受けます。つまり、第三者からにお墨付きをもらえるということです。
これは顧客や取引先に安心感を持っていただくメリットになります。

ただし、ISMS認証は「国際基準をクリアしている」ことを保証するものです。
イコール、完璧なセキュリティ対策をしているということではありませんので、その点は注意しておきましょう。

2. 入札に必要な取引要件を満たすことができる

行政や自治体から仕事を受ける場合、ISMS認証を取得していないと、仕事を受けることができない場合があります。
ISMS認証を取得することで、このような入札要件を満たすことができるのです。入札の幅が広がることで、仕事の幅も広がります。企業の事業拡大や売上UPにつながるメリットになるでしょう。

3. リスク軽減

ISMS認証を取得するために、情報セキュリティの考え方を社内全体で教育する必要があります。また、管理体制も整えなければなりません。
このように、認証を得るまでに情報セキュリティの意識が企業全体で高まります。これは情報漏洩のリスクを軽減できるメリットとなります。

デメリット

ISMS認証を取得する上でメリットばかりではありません。
以下のようなデメリットが存在します。

• 費用がかかる
• 業務内容が増える

それぞれのデメリットについて詳しく見ていきましょう。

費用面

ISMS認証を取得する際に、審査機関にお金を払わなくてはいけません。
審査にかかる金額は、認証機関や審査を受ける企業の規模などによって変わります。かかる費用は少なくても数十万、多い場合だと100万円を超える場合もあります。
ISMS認証は、取得後から毎年審査を受けなければいけません。この審査にもお金がかかります。
自社だけで情報セキュリティの管理体制を整えたり、社内の教育をすることは簡単なことではありません。その場合、コンサル会社に依頼しなければなりません。このコンサルへの依頼にもお金がかかります。
他にも要件を満たすために、社内の新しい機器やシステム導入が必要になることもあります。このように、ISMS取得には多くの費用がかかるのです。

業務が増える

ISMS認証取得のために、管理体制を整えたり必要書類の用意、社内の教育と様々な業務をする必要が出てきます。コンサル会社に依頼せず、自社の担当者がISMS取得に向けて動くとなると、担当者の負担がとても大きくなるでしょう。
取得後も毎年、審査のために書類作成などの業務が発生します。このことも考慮して、取得するかどうか、しっかりと考えましょう。

ISMS認証とPマークは何が違う？

ISMS認証とPマークは同じものだと思っていませんか？この2つは同じものだと思われがちですが全くの別物です。それぞれの違いについて解説していきます。

Pマークとは？

Pマークとはプライバシーマークのことを指します。事業者が個人情報を保護する体制がしっかり整っている場合にPマークが付与されます。

ISMS認証とPマークを比較

ISMS認証とPマークを適用範囲と保護対象の観点から比較していきます。

1. 適用範囲の違い

ISMS認証は企業全体での取得をすることができます。全体でなく、事業や部署ごとに取得するということも可能です。適用範囲を自由に設定することができ、柔軟性があるといえます。
一方、Pマークは基本的には企業全体での取得が必要になります。

2. 保護対象の違い

ISMS認証の保護対象はありとあらゆる情報資産になります。組織が持つ個人情報はもちろん、技術情報や機密情報も保護の対象となります。Pマークの対象は個人情報のみです。

ISMS認証の取得方法と流れ

ISMS認証を取得するまでに必要な工程は以下の通りです。

1. 適用範囲を決定する
2. 情報セキュリティに関する方針の決定
3. 認証機関を選ぶ
4. ISMSの体制を決定
5. リスクアセスメント
6. 社内体制の構築
7. 内部監査
8. マネジメントレビューを行う
9. 審査を受ける
10. 審査結果の公開
各工程について、詳しくみていきましょう。

1. 適用範囲を決定する

ISMSは企業全体で取得することも、一部の部署のみで取得することも可能です。そのため、まずはISMS認証の適用範囲を決めることが必要です。
従業員の数が多すぎる場合、教育など様々な面で対応が大変になってしまいます。適用範囲を定めることは、この後の工程を進める上で非常に重要です。しっかりと考えましょう。

2. 情報セキュリティに関する方針の決定

適用範囲を決めたら、情報セキュリティに関する方針を決めます。ISMS認証の要件を満たせるように方針を定め、文書の作成をします。情報セキュリティ方針は業種や扱う情報の内容に合わせて、原則や取り組み方を定めます。

3. 認証機関を選ぶ

自社の方針を定めた後は認証機関を選びます。2022年3月現在、日本には27の認証機関があります。審査費用は認証機関によって様々なのでしっかりと選びましょう。
参考：ISMS認証機関の一覧

4. ISMSの体制を決定

認証機関を選んだ後は、社内の体制について考えます。適用範囲に応じて情報セキュリティの活動全般をまとめる情報セキュリティ管理者や、内部監査を行う内部監査員など必要な役割に応じて担当者を決めましょう。

5. リスクアセスメント

リスクマネジメントとは、どのようなセキュリティリスクがあるかということを確認することです。それぞれのセキュリティリスクに関して対応策を検討しましょう。ISMS認証の要件を満たすことができるような対応策を考える必要があります。

6. 社内体制の構築

社内体制の構築とは主に従業員の教育のことを指します。はじめに決めた適用範囲に含まれる従業員への教育を行わなければいけません。

7. 内部監査

認証機関の審査を受ける前に、ISMS認証の要件を満たすことができているかどうか確認しましょう。内部監査は社内の担当者かコンサルタントが行います。内部監査で問題点があった場合はしっかりと改善しましょう。

8. マネジメントレビューを行う

内部監査が終わったら、内部監査の結果を経営層に報告します。これをマネジメントレビューといいます。再度、ISMS認証の要件を満たせているか確認し、さらなる改善点がある場合はしっかりと改善しましょう。

9. 審査を受ける

マネジメントレビューまで終わったら、選んだ認定機関に申請を行い、認定審査を受けましょう。審査は第1段階は文書による審査、第2段階は情報セキュリティのチェックになります。
問題ない場合はISMS認証を取得することができます。もし、改善の必要があっても改善計画書を提出し、改善すればISMS認証を取得することができます。

10. 審査結果の公開

認証機関による審査が終わると、情報マネジメント認定センター（ISMS-AC）へ報告されます。その後、ISMS認証を取得したことが通知されます。
※ 有効期限は取得から3年です。改めて手続きをすることで更新することができます。

まとめ

ISMS認証を取得する上で知っておくべきことやPマークとの比較、取得までの流れを解説してきました。かかる費用と自社にもたらすメリットの大きさをしっかりと考慮しながらISMS認証の取得を考えてみてはいかがでしょうか。
ISMS認証の取得を自社のみで行う場合、担当者の負担がとても大きくなってしまいます。

株式会社UPFでは、ISMS認証（ISO27001）取得支援コンサルティングを行っています。
ISMS認証取得でお悩みの企業様・ご担当者様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。