【初心者向け】ISO27001とは?ISMS・Pマークとの違いや取得メリットを徹底解説!

- ISO27001は、ISOとIECが共同で定めた情報セキュリティの管理に関する規格
- ISMSは情報セキュリティを管理する仕組み、その仕組みの国際的ルールを定めたのがISO27001
- Pマークは個人情報のみを対象とした日本の規格、ISO27001はすべての情報を対象とした国際規格
「よく情報セキュリティの認証 規格 として ISMS と ISO27001 という言葉が出てきますが、マネジメントシステム規格としては同じものなの?」という疑問を持たれる方は多いのではないでしょうか?
この記事ではISMSとISO27001を中心に解説しつつ、混同されやすいPマークについても言及します。
目次
ISO27001とは?わかりやすく解説
ここでは、ISO27001の成り立ちや目的、内容などを詳しく解説します。
ISO27001の概要
ISO27001とは、2005年にISO(国際標準化機構)とIEC(国際電気標準会議)が共同で定めた、情報セキュリティの管理に関する国際規格です。
ITが普及した現代においては、どのような事業を行っていたとしても、ほとんどの企業がサーバーやパソコンなどのITシステムに、売上情報や顧客情報などの情報資産を保有しているでしょう。そのため、こうした情報資産を管理する必要性が求められるようになったのです。
ISO27001の目的
ISO27001の要求事項 として、「機密性 ・完全性 ・可用性という3つの性質を維持する」という言葉があります。
ISO27001の目的としては、これら3つの要素を維持し、企業の情報セキュリティ管理体制を強化することにあります。「機密性」「完全性」「可用性」の具体的な内容は、次のようにまとめられます。
ISO27001の内容
「機密性」「完全性」「可用性」の具体的な内容は、次のようにまとめられます。
- 「機密性」:アクセス許可された者だけが情報にアクセス出来るようにし、情報がもれないようにすること
- 「完全性」:情報および処理方法が正確かつ最新の状態で管理されていること
- 「可用性」:認可された利用者が、必要な時に情報及び関連する資産にアクセスできる状態で管理をすること
ISO27001取得には審査が必要
ISO27001を取得するためには、ISO27001の審査機関である認証機関による登録審査に受かることが必要です。自社の構築・運用している情報セキュリティマネジメントシステムが要求事項を満たし、有効に機能しているかを、審査員によって確認されます。
また、取得後においても認証を継続するには定期的に審査を受けること必要があります。維持審査や更新審査により、登録証の有効期限を更新していくことで、マネジメントシステムを継続的に発展させていくことを目指しているのです。
審査や認証機関の詳細は、以下の記事をご覧く
ISO27001のその他名称
ISO27001は、他にも「JIS Q 27001:2006」という表記や、「JIS Q 27001を取得」もしくは、ISOとIECを併記し「ISO/IEC27001を取得」というふうに書かれることもあります。
これらについては、英語で書かれているか日本語で書かれているかの違いだけで、内容としてはほぼ同一のものです。
ISO規格は2005年に、ISOを日本語にした「JIS Q 27001」は2006年に誕生し、現在は「ISO/IEC27001:2013」もしくは「JIS Q 27001:2014」が基準となっています。
2022年のISO27001改訂について
2022年10月にISO27001が10年ぶりに改訂されました。主に管理策に関する改訂が行われ、2023年より順次2022年版での審査が開始されます。

ISMS(情報セキュリティマネジメントシステム)とは?
ここでは、ISMSの成り立ちや目的、内容などを詳しく解説します。
ISMSとは、「Information Security Management System」の頭文字を取ったもので、情報セキュリティマネジメントシステムのことです。組織における情報セキュリティ管理を定め、運用していきます。
ISMSの成り立ち
情報通信技術の普及に伴い、安全性の問題が社会的に重要な問題であるという認識が高まる中で、イギリスのBSI(イギリス規格協会)が1993年に、後にISMSに関する国際規格となる「BS7799:1995」を作成しました。
これらの規格をもとに、2001年にISMSが登場したのです。
ISMSの目的
ISMSの目的は、組織における情報の「機密性 」、「完全性 」、「可用性」を確保・改善し、リスクマネジメントを行うことで、対外的な信頼につなげることです。
悪質なハッカーによる攻撃や情報漏洩などといった、企業や組織の情報セキュリティを脅かすような被害や管理上のリスクが多くなっている現代では、より情報資源のセキュリティ強化が重要であり、多くの企業に導入されています。
ISMSの内容
具体的には、ISO27001の要求事項を満たしたルールを構築していくことが求められています。
情報セキュリティを保つために、規格要求事項に記載されている4項〜10項に沿って、組織にとって適切なルールを構築していくことが第一歩となります。
マネジメントシステムの構築ができた後、規格要求事項の附属書Aに記載されている93項目について管理策を定めることが必要となります。
例えば、「営業マンが外出先で利用するノートパソコンは公共の無線LANへの接続はせず、会社支給のモバイルWi-Fiルーターのみを使用する」のようなルールを設定していくことです。
詳細は以下の記事をご確認ください。
ISO27001とISMSの違いとは
ISO27001は、これまで築き上げてきた情報資産(紙媒体や、ハードディスクなどの電子的媒体などに保存された管理情報、ソフトウェア、特許や企業が独自に構築したノウハウなど)をリスク回避や保護を目的とする管理の仕組みを構築し、運用するための国際規格です。
一方でISMSとは、企業や組織の情報を守るための仕組みのことを指します。日本では、ISO規格が制定されるまでは、独自の認証基準である「ISMS適合性評価制度」によって評価・審査・認証を実施してきた経緯があります。
しかし、2005年に国際規格が発行されたことで、これまでの独自の認証基準はISOに吸収される形で消滅しました。ただ、現在ではISMSを整備することで、「情報セキュリティを管理する体制を構築している」ことにつながることから、2つの言葉はほぼ同じ意味として用いられています。また、ISMS認証としてISO27001を指していることもあります。
つまり、ISMSが情報セキュリティを管理する仕組みで、その仕組みについての国際的なルールを定めた規格がISO27001となるのです。

ISMSとPマークの違いとは
ISMSと混同される言葉のひとつとして、Pマークも挙げられます。
Pマークとは、個人情報の保護体制に対する第三者認証 制度のことで、日本工業規格の「JIS Q 15001」に基づいたシステム構築をすることで取得できます。
ISMSとPマークはどちらを取得すべき?
ISMSとPマークは、どちらも情報を扱うという点は共通していますが、大きな違いとして保護する情報資産の対象が挙げられます。
Pマークは個人情報のみが保護対象となる一方で、ISMSは個人情報を含むすべての情報資産が保護対象となるのです。
そのため、個人情報を多く保有する場合はPマークを取得、社内外で機密情報のやり取りが多い場合はISMSを取得というように、両者の違いを考慮した上でどちらを取得すべきなのかを検討する必要があるでしょう。
ISO27001取得のメリット
ISO27001を取得すると、下記の5つのメリットを受けられます。
- 対外的な信頼性の向上
- 情報セキュリティリスクの低減
- 情報の管理体制の管理・従業員のモラル向上
- 業務効率の向上
- 事業継続性の向上
1つずつ詳しく解説しますので、ISO27001を取得すべきか検討する上での参考にしてください。
対外的な信頼性の向上
まず、ISO27001を取得すると対外的な信頼性の向上が期待できます。
国際認証であるISO27001の取得は、国際機関が定めた水準で情報セキュリティの管理に取り組んでいる証のため、取引先や顧客からの信頼につながります。
昨今では、情報漏洩などの問題が多く取り上げられています。ISO27001を認証取得し、セキュリティ対策の徹底をアピールすることで、自社のブランディングの向上も見込めます。
情報セキュリティリスクの低減
2つ目のメリットは、情報セキュリティリスクの低減です。ISO認証の審査通過は、マネジメントシステムの運用における条件クリアを意味します。
ISO27001の認証取得にあたり、リスクを洗い出し、各リスクに対して対策を決めていくプロセスを経るため、セキュリティリスクを低減できる管理体制が整っているといえます。
ただしどこまで管理するかは組織が規定するため、必ずしもセキュリティレベルが向上するというわけではありません。
情報の管理体制の整理・従業員のモラル向上
3つ目のメリットは、情報の管理体制の整理と従業員のモラル向上ができる点です。ISO27001を取得する際に、具体的なルールや数値目標を設定するため、情報の管理体制の整理ができます。
また、数値目標を達成するには、情報セキュリティ対策のルールやマニュアルを組織内へ周知することが必要です。ルールやマニュアルを実施し、定期的に管理体制をレビューすることで、従業員のセキュリティ対策への責任感やモラル向上を期待できます。
業務効率の向上
4つ目のメリットは、業務効率が向上する点です。ISO27001を取得し、マネジメントシステムを構築していくことで、情報資産の効率的な管理や運用ができます。
情報資産の管理体制を整えるためには、整理整頓が不可欠となります。所在や役職によるアクセス権の有無などが明確になることで、必要な情報資産へのアクセスが容易になります。
その結果、従業員は業務に伴う情報資産の処理の時間を短縮することができ、業務効率の向上につながります。
事業継続性の向上
最後に、事業継続性を向上できる点もメリットとして挙げられます。
事業継続性とは、災害などの不測の事態が発生した場合にも、事業を稼働できる状態を指します。
不測の事態に備えるために、ISO27001を取得する過程でBCP(事業継続計画)を設定する必要があります。予測されるリスクを洗い出し、対策を決定し、手順などをマニュアルに落とし込んでいきます。
万が一の事態に事業を守るためには、事前に具体的な計画を立てる必要があるのです。
このように一度構築された情報管理体制は、長期に渡って企業のIT運用基盤を守り、事業継続性の向上に貢献するでしょう。
ISO27001の取得によって企業のセキュリティ体制が強固になり、ブランディングの向上につながります。ISO27001は、さらなる企業活動の土台づくりに役立つのです。

ISO27001の要求事項
組織のセキュリティ性を高め、有効なISMSを構築・運用するために、ISO27001では以下の要求事項が定められています。以下のうち、1~3はISO27001の説明となっているため、4~10の項目において、企業は実現することが必要です。
- 1.適用範囲
- 2.引用規格
- 3.用語及び定義
- 4.組織の状況
- 5.リーダーシップ
- 6.計画
- 7.支援
- 8.運用
- 9.パフォーマンス評価
- 10.改善
ISO27001の要求事項では、自社の情報資産や情報セキュリティリスクを明らかにし、それらへの対策を策定し、実践していくことが求められています。要求事項の詳細については、以下の記事をご覧ください。
ISO27001取得のための流れ・期間・費用
次に、ISO27001取得のための流れ・期間・費用について解説します。
取得に向けて動き出す前に把握しておくべき情報のため、自社で取得する場合を想定しつつご覧ください。
ISO27001取得にかかる主な期間
一般的に、ISO27001の取得にかかる期間は6ヵ月~数年ほどです。ただし、会社規模や認証を受ける範囲などによって取得までにかかる期間は大きく異なります。
ISO27001取得にかかる費用
ISO27001取得にかかる費用には、認証取得費用として、ISOの認証登録料、文書審査料、実地審査料があります。金額は、最低規模の審査でも50万円~100万円ほどの費用が必要です。
ただし、利用する審査会社や、申請を行う会社の規模によっても料金設定に幅がありますので、おおよその目安として覚えておきましょう。
また、審査費用だけではなく、コンサルティング会社にサポートを依頼する場合は、その費用の捻出も必要です。
ISO27001取得における費用については、下記の記事に詳細を記載していますので、ぜひご覧ください。
ISO27001取得の流れ
ISO27001を取得する流れは、主にシステムの構築と運用の2つのフェーズに分かれています。
システム構築段階では、情報セキュリティの方針や目的を策定し、マニュアルの作成や帳票の整備を行います。
システム運用段階では、内部監査
やマネジメントレビューを実施して2度の認証審査を受け、最終的に認証取得となります。
取得の流れについては、下記の記事で詳しく解説していますので、ぜひ参考にして下さい。

ISO27001の取得企業は?
情報漏えいやサイバー攻撃といったリスク回避のため、情報セキュリティへの重要性が高まっている現代では、ISO27001を取得する企業が増加傾向にあります。
ISO27001の取得企業数は、ISMSを管轄している「情報マネジメントシステム認証センターのホームページで確認することができます。なお、2023年4月26日現在、ISO27001取得企業登録数は7,315社、実際にISO27001の取得を公表している会社は6,917社となっています。
情報セキュリティは、情報を取り扱うすべての業種において欠かせませんが、特に、ISO27001の取得が求められている業種は以下になります。
- 情報サービス業
- 人材派遣業
- 金融業
最も多くISO27001を取得しているのは、さまざまな企業や個人の重要な情報を取り扱う情報サービス業です。人材派遣業や金融業も同様に重要度の高い情報を保有しているため、情報セキュリティの向上が求められています。
ISO27001の取得企業の詳細は、以下の記事をご覧ください。
まとめ
ISO27001は、情報セキュリティマネジメントシステムの国際規格です。取得することで、対外的な信頼の獲得や情報セキュリティリスクの低減などのメリットが期待できるでしょう。
混同しやすいISMSとの違いは「仕組み」であり、ISO27001は「規格」です。また、Pマークは、個人情報保護に特化した国内規格になっています。これらの規格とは成り立ちの違いもありますが、いずれも情報セキュリティのマネジメントシステムの強化が目的という共通点があります。
ISMSを構築するための規格であるISO27001は、さまざまな形で情報を発信・共有することができるようになった現在では、特に必要性が増している規格です。
情報セキュリティに課題を感じている企業は、取得を検討してみてはいかがでしょうか?

ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

こんな方に読んでほしい