【完全版】ISO27001(ISMS)とは?概要や取得方法を簡単に解説
FAQISO27001に関するよくある質問
ISO27001ってどこが作ったの?
ISO27001は、ISOとIECが共同で定めた情報セキュリティの管理に関する規格
ISMSとISO27001って何か違うの?
ISMSは情報セキュリティを管理する仕組み、その仕組みの国際的ルールを定めたのがISO27001
PマークとISO27001の違いを教えて?
Pマークは個人情報のみを対象とした日本の規格、ISO27001はすべての情報を対象とした国際規格
ISO27001とは、情報セキュリティマネジメントシステムに関する国際規格のことです。
「よく情報セキュリティの認証規格としてISMSとISO27001という言葉が出てきますが、マネジメントシステム規格としては同じものなの?」という疑問を持たれる方は多いのではないでしょうか?
この記事ではISMSやISO27001の概要やメリット・デメリットなどを中心に解説しつつ、混同されやすいPマークについても解説します。
目次
ISO27001とは?簡単に解説
ISO27001とは、企業が保有する情報を安全に管理するための情報セキュリティに関する国際規格です。2005年にISO(国際標準化機構)とIEC(国際電気標準会議)が共同で制定して以来、その重要性から取得する企業は右肩上がりに増えています。
簡単にまとめると、顧客情報や個人情報、業務データなどの情報資産を、担当者任せや属人的な管理にせず、「組織全体で守る仕組みを構築し、継続的に運用しよう」というのが、ISO27001の考え方です。
日本では「JIS Q 27001」や「ISO/IEC 27001」など、複数の表記が使われていますが、言語や規格表記の違いによるもので、規格の内容自体に大きな差はありません。
ISO27001を取得する目的
ISO27001を取得する目的は、情報セキュリティを一時的な対策で終わらせず、継続的に改善・維持できる管理体制を整えることにあります。
その基盤となるのが、「機密性」「完全性」「可用性」という、情報セキュリティの三要素と呼ばれる考え方です。
| 機密性 | アクセス許可された者だけが情報にアクセスできるようにし、情報が漏えいしないようにすること |
|---|---|
| 完全性 | 情報および処理方法が正確かつ最新の状態で管理されていること |
| 可用性 | 認可された利用者が、必要な時に情報及び関連する資産にアクセスできる状態で管理をすること |
つまり、情報を扱える人を適切に制限し、内容を正確に保ち、必要なときに利用できる状態を維持することで、企業の情報資産を総合的に守ることを目指します。そのため、情報セキュリティの三要素は、どれか一つだけを強化すればよいというものではなく、バランスよく強化することが大切です。
情報セキュリティの三大要素について詳しく知りたい方は、以下の記事もあわせてご覧ください。
ISMS(情報セキュリティマネジメントシステム)との関係
ISO27001とISMSは、ISMSが情報セキュリティを管理する「仕組み」である一方、その仕組みについての国際的なルールを定めた「規格」がISO27001という関係性です。
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、「企業や組織の情報資産を守るための仕組み」のことです。
ISMSでは、組織における情報セキュリティの「機密性」、「完全性」、「可用性」をバランスよく向上する仕組みを構築・運用します。企業・組織で構築されたISMSが、国際規格に準拠しているか、評価するのがISO27001認証です。
ISMSの詳細は以下の記事をご確認ください。
ISO27001とPマーク・ISMS認証との違い
ここでは、よく似た言葉としてPマーク・ISMS認証との違いについて解説します。
ISO27001とPマークとの違い
ISO27001とPマークとの違いは、運営団体や有効範囲にあります。
Pマーク(プライバシーマーク)とは、「個人情報保護マネジメントシステムに対する第三者認証制度」のことです。日本国内でのみ有効な規格で、個人情報の漏えいや紛失、改ざんなどの情報セキュリティリスクを低減することを目的としています。
以下に、ISO27001とPマークの主な違いをまとめました。
| ISO27001 | Pマーク | |
|---|---|---|
| 運営団体 | ISO(国際標準化機構) | 一般財団法人日本情報経済社会推進協会(JIPDEC) |
| 有効範囲 | 国際的に有効 | 日本国内でのみ有効 |
| 対象の情報資産 | すべての情報資産 | 個人情報 |
| 適用範囲の選択 | 自社で選択可能(本社、支社、部署単位など) | 全社のみ |
ISO27001は、組織全体の情報セキュリティ管理を重視する規格であるのに対し、Pマークは個人情報保護に特化した国内制度という点が大きな違いです。目的や有効範囲などに違いがあるため、事業内容や取引先の要求に応じてどちらを取得するか判断する必要があります。
Pマークの概要やISMSとの違いの詳細は、以下の記事をご覧ください。
ISO27001とISMS認証との違い
「ISO27001は規格そのもの」「ISMS認証はその規格に基づく認証制度」という関係にあります。
一方で、「ISO27001を取得する」「ISMS認証を取得する」という表現は、実務上はほぼ同じ意味で使われることが多く、内容に大きな違いはありません。
ただし、以下の点を理解しておくと、用語で混乱することを防げます。
- ISO27001:ISMSに関する規格・ルール
- ISMS:情報セキュリティ管理の仕組み
- ISO27001認証:ISO27001に適合しているISMSであることを証明する認証制度(ISMS認証のひとつ)
- ISMS認証:ISMS規格に適合していることを証明する認証制度
ISO27001の要求事項一覧
そもそも要求事項とは、「企業が実現すべき基本的な要件」のことです。
ISO27001の取得審査の際には、企業が要求事項に記載されている内容に適合しているかどうかが評価されます。
ISO27001では、組織のセキュリティ性を高め、有効なISMSを構築・運用するために、10項目の要求事項が定められています。
| 1.適用範囲 | ISO27001の概要や使用される用語の定義などを説明している部分。 |
|---|---|
| 2.引用規格 | |
| 3.用語及び定義 | |
| 4.組織の状況 | 組織の内部・外部の状況理解を行い、適用範囲を定める。 |
| 5.リーダーシップ | ISMSに関するトップマネジメントによるコミットメントを実証する。またISMSの方針を示すために、情報セキュリティ方針を確立する。 |
| 6.計画 | ISMS全体の活動や情報セキュリティ目的を定め、リスク対応計画などを作成する。 情報セキュリティ方針や目的に沿って、ISMSの情報セキュリティのリスク基準を確立し、リスクアセスメントを実施する。 |
| 7.支援 | ISMSに必要な資源を明確にしたうえで、資源を配分する。 また、文書管理やISMS運用に関わる者に必要な力量を決定し、教育訓練を策定したうえで実施する。 |
| 8.運用 | 6.計画で立てた内容を実際に運用する。 |
| 9.パフォーマンス評価 | 内部監査・マネジメントレビューを行い、ISMSの有効性や適合性を評価する。 |
| 10.改善 | 不適合が発覚した場合の是正処置の実施やそのフォローを行う。 |
ISO27001の要求事項の詳細やポイントは、以下の記事をご覧ください。
2022年の改訂内容
2022年10月にISO27001が10年ぶりに改訂されました。改訂の大部分は、セキュリティリスク対応を実施する際に参考となる管理策をまとめた「附属書A」の内容です。
管理策(附属書A)の主な変更点は以下のとおりです。
- 114の管理策が93に減少
- 58の管理策が更新
- 24の管理策が統合
- 11の新しい管理策が導入
- 管理策のカテゴリーが14分類から4分類に変更
管理策の数は減少しているものの、統合による減少であるため、純粋に管理策の数が減ったわけではありません。そのため、自社で対応すべき管理策について見直す必要がありました。(※ISO27001:2013は、2025年10月31日をもって失効となっています)
2023年より順次2022年版での審査が開始されています。すでにISO27001を取得済みの企業は、2025年10月31日までに2022年版への対応が必要です。詳細については、以下の記事をご覧ください。
ISO27001取得の手順・流れ
ISO27001を取得するまでの一般的な手順・流れは、以下のとおりです。
- 取得の準備
- ISMSの構築
- ISMSの運用
- 取得審査を受ける
- 取得後の運用
ISO27001の取得には、一般的に6か月〜数年程度かかります。取得までにはいくつかの段階があり、それぞれで必要な準備や対応が異なります。
ここでは、はじめてISO27001を取得する企業でも全体像を把握できるよう、基本的な流れを解説します。
1.取得の準備
ISO27001の取得を決めたら、最初に行うのが社内体制の整備です。
ISO担当者や事務局メンバーを選定し、誰が中心となって進めるのかを明確にします。あわせて、認証の対象とする拠点や部署などの適用範囲を決定します。
社内だけで判断が難しい場合は、この段階でISOコンサルタントに相談することがおすすめです。取得目的や課題などをヒアリングしたのち、スケジューリングや取得プロセスを提案してくれるため、全体像を整理しやすくなります。
2.ISMSの構築
ISO27001の要求事項に基づいてISMSを構築します。
具体的には、自社が保有する情報資産を洗い出し、想定されるリスクを評価したうえで、必要な管理策やルールを定めていきます。
3.ISMSの運用
構築したISMSは、一定期間、実際の業務の中で運用する必要があります。
実際に運用することで、ルールの不備や現場とのズレなどの改善点が発見される場合があるため、記録を残しながら改善を重ねていくことが重要です。
また内部監査やマネジメントレビューの実施により、ISMSが要求事項に適合しているかどうか、有効に機能しているかどうかについて評価します。
4.取得審査を受ける
ISMSを運用したら、審査機関による取得審査を受けます。
審査は、「第一段階審査(文書審査)→第二段階審査(実地審査)」と2段階で行われます。
問題がなければ認証され、不適合があった場合には是正処置をしたのちに再度審査が行われます。
審査や認証機関の詳細は、以下の記事をご覧ください。
5.取得後の運用
ISO27001は、取得後も継続的な運用が求められます。
認証を維持するためには、日常的にISMSを運用しながら、毎年の維持審査や3年ごとの更新審査を受ける必要があります。
これらの審査を通じて仕組みを見直し、改善を続けることで、情報セキュリティレベルの維持・向上につながります。
ISO27001の取得方法の詳細は、以下の記事をご覧ください。
ISO27001取得にかかる費用相場
ISO27001の取得にかかる費用の相場は、約50万円~150万円です。しかし、コンサルティング会社を利用する場合は、別途依頼料の負担が発生します。
ISO27001を取得する際には、主に以下3つの費用が必要になります。費用項目や内容、費用相場をまとめました。
| 費用項目 | 内容 | 費用相場 |
|---|---|---|
| 認証取得費用 | 認証登録料、文書審査料、実地審査料など | 約50万円~150万円 |
| 人件費 | ISO担当者がISOの作業に充てる工数分 | 人数・工数により変動 |
| コンサルティング費用 | 取得・運用サポートを専門コンサルタントに依頼する場合 | 年間約50万円~200万円 |
費用相場に大きく幅があるのは、企業規模や適用範囲、審査機関などの要素によって金額が変動するためです。
ISO27001取得における費用については、下記の記事に詳細を記載しています。ぜひご覧ください。
【調査】なぜ今ISO27001が求められるのか?
ISO27001が求められるのは、情報漏洩やサイバー攻撃のリスクが高まる一方で、取引先からのセキュリティ要求が年々厳しくなっているためです。
企業規模や業種を問わず、情報セキュリティ対策を「個別対応」ではなく「組織全体で管理する体制」が求められるようになっています。
ここでは、今、あらゆる組織にISO27001が求められている背景について解説します。
増加する情報漏洩・サイバー攻撃リスク
ISO27001が求められる理由として、情報漏洩やサイバー攻撃が、企業の信用や経営に深刻な影響を与えることが挙げられます。
クラウドサービスの普及やリモートワークの拡大により、設定不備や不正アクセスによる情報漏洩リスクが高まっています。加えて、ランサムウェアや内部不正など、多様化する脅威に備えなければなりません。
中小企業の経営層など約1,000人を対象に、ISOプロが行ったアンケート調査でも、「直近の大手企業を狙ったランサムウェアによるサイバー攻撃のニュースを見て、『自社にも起こり得る』と不安を感じますか?」という質問を行ったところ、『とても不安(33.0%)』『やや不安(46.6%)』と約8割の方が不安を感じていることがわかりました。
こうしたさまざまなリスクに対応するには、場当たり的な対策では不十分であり、組織全体で情報セキュリティを管理する体制が求められます。
ISO27001は、組織全体で情報セキュリティを管理する仕組みを構築・運用できるため、包括的なリスク対策として取得が求められているのです。
取引先からのセキュリティ要求の高まり
ISO27001が求められるのは、取引先からのセキュリティ要求の高まりも影響しています。近年、企業間取引ではセキュリティ体制の確認が当たり前になりつつあります。
特に大手企業や海外企業との取引では、サプライチェーン全体の安全性を確保するため、ISO27001の取得を条件とするケースも増えています。
そのためISO27001はリスク対策だけでなく、信頼性向上や取引機会の拡大につながる認証として、取得する企業が増えているのです。
実際の企業は、ISO27001の必要性についてどのように感じているのでしょうか。ここでは、従業員300人以下のIT系中小企業経営者約1,000人を対象に、ISOプロが行ったアンケート調査から紹介します。
「ISO27001を取得することで、取引先や顧客からセキュリティに関する信頼が得られると思いますか?」と質問したところ、8割以上の方が『はい(84.3%)』と回答しました。
また、「ISO27001などの認証がないことで実際に契約に至らなかったことはありましたか?」と質問したところ、6割以上の方が『はい(65.2%)』と回答しました。
このように、多くの企業が自社の情報セキュリティ体制における信頼度向上や取引への影響から、ISO27001の取得の必要性を実感しています。
ISO27001取得のメリット・デメリット
ISO27001の取得は、企業にとって情報セキュリティを強化するだけでなく、経営や取引にさまざまな影響をもたらします。取得の意義を理解するために、まずメリットとデメリットを整理します。
メリット
ISO27001を取得することで、具体的には以下のようなメリットがあります。
- 対外的な信頼性の向上:取引先や顧客からの信頼を得やすくなる
- 情報セキュリティリスクの低減:体系的な管理により漏洩や改ざんのリスクを抑制
- 情報の管理体制の管理・従業員のモラル向上:情報管理意識が浸透し、業務意識の向上にもつながる
- 業務効率の向上:管理プロセスの整理により作業のムダを削減
- 事業継続性の向上:万一のインシデント発生時も迅速に対応可能
これらのメリットにより、ISO27001は単なるセキュリティ認証にとどまらず、企業の競争力や業務運営の安定性を高める重要な手段となります。
ISO27001を取得すれば、企業は情報セキュリティの強化だけでなく、組織全体の信頼性や業務効率の向上にもつなげることが可能です。
デメリット
ISO27001を取得する際には、以下のデメリットが想定されます。
- 費用や手間が発生する:認証取得には準備や書類作成、内部監査などの業務が発生するため、担当者の負担が増えます。また、審査を受ける必要があるため、審査費用もかかります。
- ルールが新たに増える:ISO27001に沿った管理体制を整える際に、従業員の業務フローや手順に新たなルールが追加される可能性があります。
- 取得後も審査を受ける必要がある:認証取得後も、定期的な外部審査や内部監査による維持管理が求められます。
これらのデメリットは、事前に計画的に取り組むことで影響を最小限に抑えることが可能です。メリットと照らし合わせながら、取得の可否を検討することが大切です。
ISO27001の取得企業数・主な業種
情報漏えいやサイバー攻撃といったリスク回避のため、情報セキュリティへの重要性が高まっている現代では、ISO27001を取得する企業が増加傾向にあります。
ここでは、ISO27001の取得企業数や取得が多い業種について解説します。
最新の取得企業数
ISO27001の取得企業数は、ISMSを管轄している「情報マネジメントシステム認証センター」のホームページから確認できます。
2025年12月20日現在、ISO27001取得企業登録数は8,323社、ISO27001の取得を公表している会社は8,050社です。
取得が多い主な業種
情報セキュリティは、情報を取り扱うすべての業種において欠かせませんが、特に、ISO27001の取得が求められている業種は以下になります。
- 情報サービス業
- 人材派遣業
- 金融業
最も多くISO27001を取得しているのは、さまざまな企業や個人の重要な情報を取り扱う情報サービス業です。人材派遣業や金融業も同様に重要度の高い情報を保有しているため、情報セキュリティの向上が求められています。
ISO27001の取得企業の詳細は、以下の記事をご覧ください。
ISO27001の取得事例
実際のISO27001を取得し、自社のセキュリティ体制の強化や対外的なPRにつなげられた
取得事例を紹介します。
オーラン株式会社
オーラン株式会社は、IT企業向けに「人」というソリューションを提供する会社です。
ISO27001取得を検討したきっかけは、顧客から情報セキュリティに関する規約や契約書などが増え始めたことと、ISO27001の取得について聞かれることが増えたことでした。
| 業種 | WEB制作、人財サービス |
|---|---|
| 規模 | 21~50名以下 |
| ISO27001取得前の課題 | 社内の情報を取り扱うルールが曖昧だった。 |
| ISO27001取得後の効果 |
|
ISO27001を取得したことで、顧客と契約を結ぶ際に締結する情報セキュリティに関する契約書を省略できるようになったなど、対外的な信頼の向上につながりました。また情報の取り扱いに関するルールを統一したことで、従業員の情報セキュリティに対する認識も向上したと実感しているとのことです。
オーラン株式会社の事例の詳細は、以下のインタビュー記事をご覧ください。
PCらいふパソコンレンタルサービス株式会社
PCらいふパソコンレンタルサービス株式会社は、全国各地にパソコンを提供しているパソコンレンタル業の会社です。
ISO27001取得を検討したきっかけは、大手企業や官公庁から見積り依頼をされた際に記入するセキュリティチェックシートに、ISO27001の取得有無の項目が増えたことでした。
| 業種 | パソコンレンタル業 |
|---|---|
| 規模 | 20名以下 |
| ISO27001取得前の課題 | 見積り時にISO取得の有無を確認されることが増え、競合他社も取得していた。 |
| ISO27001取得後の効果 | ISOの取得をPRできるようになり、従業員のセキュリティ意識も高まった。 |
競合他社はすでにISO27001を取得している企業が多かったとのことで、取得したことにより競合他社に取り残されることがなくなったことが大きいと実感されています。
PCらいふパソコンレンタルサービス株式会社の事例の詳細は、以下のインタビュー記事をご覧ください。
ハイキス株式会社
ハイキス株式会社は、半導体の部品製造や各種機能部品の製造などを行う製造業の会社です。
ハイキス株式会社は、ISO27001の他にISO9001(品質マネジメントシステム)も同時取得されました。取得を検討したきっかけは、営業におけるPR効果や、社員教育の一環になると感じられたことでした。
| 業種 | 製造業 |
|---|---|
| 規模 | 21~50名以下 |
| ISO27001取得前の課題 | 営業面でのPRや社員教育を強化し、事業をステップアップさせたかった。 |
| ISO27001取得後の効果 | ISOの取得過程を通じて社員の意識が高まった。 |
ISO27001・ISO9001を取得したことで、曖昧になっていたルールや仕組みが明確になり、業務がより円滑に進むようになりました。今後は、営業時に自社の体制をPRしていく予定だということです。
ハイキス株式会社の事例の詳細は、以下のインタビュー記事をご覧ください。
【ISO27001関連規格】情報セキュリティを高める「ISO27000シリーズ」
ISO27001と併せて取得されるISO27000シリーズには、ISO27001を補強する目的で、さまざまな関連規格がISO27001のアドオン規格(追加規格)として制定されています。
アドオン規格であるため、ISO27001と関連規格の両方を取得する必要があるものの、自社の実情に合った情報セキュリティ体制を強化したい企業には「ISO27001+ISO27000シリーズの関連規格」の統合運用がおすすめです。
ここでは、ISO27001と併せて取得される代表的なアドオン規格や、ISMSの形骸化を防ぐポイントについて解説します。
ISO27001と併せて取得されるアドオン規格
ISO27001と併せて取得されるISO27000シリーズには、ISO27001を補強する目的で、さまざまな関連規格がISO27001のアドオン規格(追加規格)として制定されています。
アドオン規格であるため、ISO27001と関連規格の両方を取得する必要があるものの、自社の実情に合った情報セキュリティ体制を強化したい企業には「ISO27001+ISO27000シリーズの関連規格」の統合運用がおすすめです。
以下に、ISO27001の関連規格とその対象となる情報資産についてまとめました。
ISO27017
ISO27017とは、「クラウドサービスにおける情報セキュリティに関する国際規格」です。
クラウドサービスを「利用」もしくは「提供」、「利用と提供の両方」をしている事業者を対象とした規格です。
ISO27017は、インターネット上でデータやソフトウェア・アプリなどを利用するクラウドサービスを管理対象としています。例えば、SNSやオンラインストレージ、MicrosoftやGoogleなどのオンラインソフトウェアなどがクラウドサービスに挙げられます。
ISO27018
ISO27018とは、「クラウドサービスにおける個人情報セキュリティに関する国際規格」です。
ISO27017がクラウドサービス全般を対象にしているのに対し、ISO27018はさらに対象を絞って、クラウドサービスにおける個人情報に特化しています。
ISO27701
ISO27701とは、「プライバシー情報マネジメントシステムに関する国際規格」です。
組織が扱う個人情報におけるプライバシーが管理対象となっており、世界各国のプライバシー法規制に対し、包括的に対応する仕組みを構築・運用します。
まとめ
ISO27001は、情報セキュリティマネジメントシステムの国際規格です。取得することで、対外的な信頼の獲得や情報セキュリティリスクの低減などのメリットが期待できるでしょう。
混同しやすいISMSとの違いは「仕組み」であり、ISO27001は「規格」です。また、Pマークは、個人情報保護に特化した国内規格になっています。これらの規格とは成り立ちの違いもありますが、いずれも情報セキュリティのマネジメントシステムの強化が目的という共通点があります。
ISMSを構築するための規格であるISO27001は、さまざまな形で情報を発信・共有することができるようになった現在では、特に必要性が増している規格です。
情報セキュリティに課題を感じている企業は、取得を検討してみてはいかがでしょうか?
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい