【完全版】ISO27001(ISMS)とは?メリットや要求事項を簡単に解説
- ISO27001は、ISOとIECが共同で定めた情報セキュリティの管理に関する規格
- ISMSは情報セキュリティを管理する仕組み、その仕組みの国際的ルールを定めたのがISO27001
- Pマークは個人情報のみを対象とした日本の規格、ISO27001はすべての情報を対象とした国際規格
「よく情報セキュリティの認証規格としてISMS とISO27001 という言葉が出てきますが、マネジメントシステム規格としては同じものなの?」という疑問を持たれる方は多いのではないでしょうか?
この記事ではISMSやISO27001の概要やメリット・デメリットなどを中心に解説しつつ、混同されやすいPマークについても解説します。
目次
ISO27001とISMS(情報セキュリティマネジメントシステム)の違い
ISO27001とは、「情報セキュリティの管理に関する国際規格」です。2005年にISO(国際標準化機構)とIEC(国際電気標準会議)が共同で制定しました。
「JIS Q 27001:2006」「JIS Q 27001」「ISO/IEC27001」と書かれることもありますが、表記している言語の違いだけで、内容はほぼ同一のものです。
ISO27001の目的は、「機密性」「完全性」「可用性」の3つの要素を維持し、企業の情報セキュリティ管理体制を強化することにあります。
| 機密性 | アクセス許可された者だけが情報にアクセス出来るようにし、情報がもれないようにすること |
|---|---|
| 完全性 | 情報および処理方法が正確かつ最新の状態で管理されていること |
| 可用性 | 認可された利用者が、必要な時に情報及び関連する資産にアクセスできる状態で管理をすること |
ISMSとは
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、「企業や組織の情報資産を守るための仕組み」のことです。
組織における情報セキュリティの「機密性」、「完全性」、「可用性」をバランスよく向上する仕組みを構築・運用します。
ISMSが情報セキュリティを管理する「仕組み」である一方、その仕組みについての国際的なルールを定めた「規格」がISO27001です。
ISMSの詳細は以下の記事をご確認ください。
ISO27001の必要性
ITが普及した現代においては、業種に関わらずほとんどの企業がサーバーやパソコンなどのITシステムに、売上情報や顧客情報などの情報資産を保有しています。そのため、情報資産を管理する必要性が増しているのです。
その際、各企業が「どのような情報セキュリティ対策を実施しているのか」「対策は効果的なものか」を判断するためには、情報セキュリティに関する基準が必要です。そして、国際的な基準となっているのがISO27001なのです。
実際の企業は、ISO27001の必要性についてどのように感じているのでしょうか。ここでは、従業員300人以下のIT系中小企業経営者約1,000人を対象に行ったアンケート調査から紹介します。
「ISO27001を取得することで、取引先や顧客からセキュリティに関する信頼が得られると思いますか?」と質問したところ、8割以上の方が『はい(84.3%)』と回答しました。
また、「ISO27001などの認証がないことで実際に契約に至らなかったことはありましたか?」と質問したところ、6割以上の方が『はい(65.2%)』と回答しました。
このように、多くの企業が自社の情報セキュリティ体制における信頼度向上や取引への影響から、ISO27001の取得の必要性を実感しています。
ISO27001とPマークの関係性
ISO27001と混同されやすいPマークの概要やISMSとの違いについてまとめました。
Pマークとは
Pマーク(プライバシーマーク)とは、「個人情報保護マネジメントシステムに対する第三者認証制度」のことです。
日本国内でのみ有効な規格で、個人情報の漏えいや紛失、改ざんなどの情報セキュリティリスクを低減することを目的としています。
Pマークを取得するには、日本工業規格であるJIS Q 15001に基づいたシステム構築することが必要です。
ISO27001とPマークとの違い
ISO27001とPマークはどちらも情報セキュリティに関する規格ではあるものの、運営団体や有効範囲、取り組みの内容など多くの点が異なります。
以下に、ISO27001とPマークの主な違いをまとめました。
| ISO27001 | Pマーク | |
|---|---|---|
| 運営団体 | ISO(国際標準化機構) | 一般財団法人日本情報経済社会推進協会(JIPDEC) |
| 有効範囲 | 国際的に有効 | 日本国内でのみ有効 |
| 対象の情報資産 | すべての情報資産 | 個人情報 |
| 適用範囲の選択 | 自社で選択可能(本社、支社、部署単位など) | 全社のみ |
Pマークの概要やISMSとの違いの詳細は、以下の記事をご覧ください。
ISO27001取得のメリット
ISO27001を取得すると、下記の5つのメリットが期待できます。
- 対外的な信頼性の向上
- 情報セキュリティリスクの低減
- 情報の管理体制の管理・従業員のモラル向上
- 業務効率の向上
- 事業継続性の向上
1つずつ詳しく解説しますので、ISO27001を取得すべきか検討する上での参考にしてください。
対外的な信頼性の向上
ISO27001を取得すると、取引先や顧客などからの信頼性の向上が期待できます。国際認証であるISO27001の取得は、「国際機関が定めた水準で情報セキュリティの管理に取り組んでいる」という証明になるためです。
昨今では、情報漏洩などの問題が多く取り上げられています。ISO27001を認証取得し、セキュリティ対策の徹底をアピールすることで、自社のブランディングの向上も見込めます。
情報セキュリティリスクの低減
ISO認証の審査通過は、マネジメントシステムの運用における一定条件をクリアしたことを意味するため、情報セキュリティリスクの低減につながります。
ISO27001の認証取得にあたり、情報セキュリティリスクを洗い出し、各リスクに対して対策を決めていきます。そのため、セキュリティリスクを低減できる管理体制を整備できるのです。
情報の管理体制の整理・従業員のモラル向上
ISMSを構築・運用する中で、情報管理体制の整理と従業員のモラル向上が期待できます。ISO27001を取得する際に、具体的なルールや数値目標を設定するため、情報の管理体制を整理できます。
また、数値目標を達成するには、情報セキュリティ対策のルールやマニュアルを組織内へ周知することが必要です。取り組みを継続することで従業員のセキュリティ対策への責任感やモラル向上につながるでしょう。
業務効率の向上
ISO27001を取得し、マネジメントシステムを構築していくことで、情報資産の効率的な管理や運用ができます。
情報資産の管理体制を整えるためには、整理整頓が不可欠となります。所在や役職によるアクセス権の有無などが明確になることで、必要な情報資産へのアクセスが容易になります。
その結果、従業員は業務に伴う情報資産の処理の時間を短縮でき、業務効率の向上につながります。
事業継続性の向上
事業継続性とは、災害などの不測の事態が発生した場合にも、事業を稼働できる状態を指します。
不測の事態に備えるために、ISO27001を取得する過程でBCP(事業継続計画)を設定する必要があります。予測されるリスクを洗い出し、対策を決定し、手順などをマニュアルに落とし込んでいきます。万が一の事態が発生した際に、事業を守るためには、事前に具体的な計画を立てる必要があるのです。
このように一度構築された情報管理システムは、長期に渡って企業のIT運用基盤を守り、事業継続性の向上に貢献するでしょう。
ISO27001取得のデメリット
続いて、ISO27001取得において考えられる「費用や手間の発生」「新しいルールが増える」「取得後も審査を受ける必要がある」という3つのデメリットについて解説します。
費用や手間が発生する
ISO27001を取得するには、ISMSを構築・運用して審査を受ける必要があります。組織の規模によっては1年以上の期間をかけて取り組む可能性もあるため、その期間には通常の業務以外の人件費や手間が発生します。
具体的な手間の例は、これまで口頭で済ませていた確認を、書面に記録として残したり、業務工程もデータとして残したりすることが考えられます。
ルールが新たに増える
自社が保有する情報資産を管理するには、利用方法や管理方法の抱えるリスクを明確にし、セキュリティを保つための方法を取らなければなりません。
その過程で、これまでにはなかった新しいルールが増えることがあります。しかし、あまりに手間がかかると日常業務に悪影響が出る可能性もあるため、実情に合ったルールを策定することが大切です。
取得後も審査を受ける必要がある
ISO規格は、取得時だけでなく取得後も認証機関による審査を受けなければなりません。そのため、審査にかかる費用や手間が毎年発生することも覚えておきたいところです。
また、ISO規格は改訂されることもしばしばあります。改訂があった場合には、改訂後の要求事項に沿ったマネジメントシステムが構築されているか確認し、再度認証を受ける必要があります。
ISO27001の要求事項とは
そもそも要求事項とは、「企業が実現すべき基本的な要件」のことです。
ISO27001の取得審査の際には、企業が要求事項に記載されている内容に適合しているかどうかが評価されます。
ISO27001では、組織のセキュリティ性を高め、有効なISMSを構築・運用するために、10項目の要求事項が定められています。
| 1.適用範囲 | ISO27001の概要や使用される用語の定義などを説明している部分。 |
|---|---|
| 2.引用規格 | |
| 3.用語及び定義 | |
| 4.組織の状況 | 組織の内部・外部の状況理解を行い、適用範囲を定める。 |
| 5.リーダーシップ | ISMSに関するトップマネジメントによるコミットメントを実証する。またISMSの方針を示すために、情報セキュリティ方針を確立する。 |
| 6.計画 | ISMS全体の活動や情報セキュリティ目的を定め、リスク対応計画などを作成する。 情報セキュリティ方針や目的に沿って、ISMSの情報セキュリティのリスク基準を確立し、リスクアセスメントを実施する。 |
| 7.支援 | ISMSに必要な資源を明確にしたうえで、資源を配分する。 また、文書管理やISMS運用に関わる者に必要な力量を決定し、教育訓練を策定したうえで実施する。 |
| 8.運用 | 6.計画で立てた内容を実際に運用する。 |
| 9.パフォーマンス評価 | 内部監査・マネジメントレビューを行い、ISMSの有効性や適合性を評価する。 |
| 10.改善 | 不適合が発覚した場合の是正処置の実施やそのフォローを行う。 |
ISO27001の要求事項の詳細やポイントは、以下の記事をご覧ください。
IS27001の適用範囲と対象
ISO27001は、適用範囲内の情報資産全般がすべて保護・管理対象です。
しかし、対象範囲が幅広いがゆえに、情報資産の種類に応じた対策を強化したいという要望が高まったことで、ISO27001をより強化するISO27000シリーズとして関連規格が設けられました。
ISO27001を補強する目的であることから、関連規格はISO27001のアドオン規格(追加規格)として、ISO27001と関連規格の両方を取得する必要があります。以下に、ISO27001の関連規格とその対象となる情報資産についてまとめました。
ISO27017
ISO27017とは、「クラウドサービスにおける情報セキュリティに関する国際規格」です。
クラウドサービスを「利用」もしくは「提供」、「利用と提供の両方」をしている事業者を対象とした規格です。
ISO27017は、インターネット上でデータやソフトウェア・アプリなどを利用するクラウドサービスを管理対象としています。例えば、SNSやオンラインストレージ、MicrosoftやGoogleなどのオンラインソフトウェアなどがクラウドサービスに挙げられます。
ISO27018
ISO27018とは、「クラウドサービスにおける個人情報セキュリティに関する国際規格」です。
ISO27017がクラウドサービス全般を対象にしているのに対し、ISO27018はさらに対象を絞って、クラウドサービスにおける個人情報に特化しています。
ISO27701
ISO27701とは、「プライバシー情報マネジメントシステムに関する国際規格」です。
組織が扱う個人情報におけるプライバシーが管理対象となっており、世界各国のプライバシー法規制に対し、包括的に対応する仕組みを構築・運用します。
2022年の改訂内容
2022年10月にISO27001が10年ぶりに改訂されました。
今回の改訂の大部分は、セキュリティリスク対応を実施する際に参考となる管理策をまとめた「附属書A」の内容です。管理策(附属書A)の主な変更点は以下のとおりです。
- 114の管理策が93に減少
- 58の管理策が更新
- 24の管理策が統合
- 11の新しい管理策が導入
- 管理策のカテゴリーが14分類から4分類に変更
管理策の数は減少しているものの、統合による減少であるため、純粋に管理策の数が減ったわけではありません。そのため、自社で対応すべき管理策について見直す必要があります。
2023年より順次2022年版での審査が開始されています。すでにISO27001を取得済みの企業は、2025年10月31日までに2022年版への対応が必要です。詳細については、以下の記事をご覧ください。
ISO27001取得の手順・流れ
一般的にISO27001の取得には、約6か月~数年がかかります。これだけの長期間にわたり、企業はどのような手順を踏む必要があるのでしょうか。
ここでは、ISO27001取得の手順・流れを解説します。
1.取得の準備
ISO27001の取得を決めたら、まず取得の準備として以下の内容を行います。
- ISO担当者やISO事務局にあたるメンバーを選定する
- ISOコンサルタントへの取得サポートを依頼する
- ISO27001の適用範囲を決定する
- ISO27001の取得に向けて動き出すことをキックオフ宣言する
自社だけで決定することが不安な場合は、まずISOコンサルタントに相談するところからはじめることがおすすめです。経験豊富なコンサルタントが自社の状況を把握したうえで提案してくれます。
2.ISMSの構築
ISO27001の要求事項に則って、ISMSを構築します。
自社にある情報セキュリティリスクの洗い出しや評価、マニュアル・ルールの見直し、必要な書類作成などのISMSを運用するために必要な作業を行います。
3.ISMSの運用
構築したISMSを実際に運用します。
実際に運用することで、構築時にはわからなかった是正点が発見される場合があります。そのため、運用記録を取ることが欠かせません。
また内部監査やマネジメントレビューの実施により、ISMSが要求事項に適合しているかどうか、有効に機能しているかどうかについて評価します。その後、改善点があれば対策を行います。
4.取得審査を受ける
審査機関による取得審査を受けます。
取得審査は、「第一段階審査(文書審査)→第二段階審査(実地審査)」と2段階で行われます。問題がなければ認証され、不適合があった場合には是正処置をしたのちに再度審査が行われます。
審査や認証機関の詳細は、以下の記事をご覧ください。
5.取得後の運用
認証を継続するには、ISMSの運用を続けるとともに定期的に審査を受ける必要があります。
維持審査や更新審査により、登録証の有効期限を更新していくことで、マネジメントシステムを継続的に発展させていくことを目指します。
ISO27001の取得方法の詳細は、以下の記事をご覧ください。
ISO27001取得にかかる費用相場
ISO27001取得にかかる費用には、以下の3つがあります。
認証取得費用
ISO27001取得にかかる認証取得費用には、「ISOの認証登録料」「文書審査料」「実地審査料」があり、費用相場は最低規模の審査でも約50万円~100万円です。
ただし、利用する審査会社や、申請を行う会社の規模によっても料金設定に幅がありますので、おおよその目安として覚えておきましょう。
昨今では、ISO27001の審査料を値上げする認証機関が増えてきています。
人件費
人件費は新たに増える費用ではないものの、本業にかけられる時間をISOに費やすことで、発生している費用です。
例えば、月収30万円のISO担当者1名が6か月間、ISO取得に時間を費やした場合には、180万円の人件費がかかっているといえるのです。
コンサルティング費用
コンサルティング会社にサポートを依頼する場合は、その費用の捻出も必要です。
会社規模や依頼するサポート内容によりますが、年間で45万円~150万円がコンサルティング費用の相場です。
ISO27001取得における費用については、下記の記事に詳細を記載しています。ぜひご覧ください。
ISO27001の取得企業数・主な業種
情報漏えいやサイバー攻撃といったリスク回避のため、情報セキュリティへの重要性が高まっている現代では、ISO27001を取得する企業が増加傾向にあります。
ここでは、ISO27001の取得企業数や取得が多い業種について解説します。
最新の取得企業数
ISO27001の取得企業数は、ISMSを管轄している「情報マネジメントシステム認証センター」のホームページから確認できます。
2025年4月16日現在、ISO27001取得企業登録数は8,077社、ISO27001の取得を公表している会社は7,716社です。
取得が多い主な業種
情報セキュリティは、情報を取り扱うすべての業種において欠かせませんが、特に、ISO27001の取得が求められている業種は以下になります。
- 情報サービス業
- 人材派遣業
- 金融業
最も多くISO27001を取得しているのは、さまざまな企業や個人の重要な情報を取り扱う情報サービス業です。人材派遣業や金融業も同様に重要度の高い情報を保有しているため、情報セキュリティの向上が求められています。
ISO27001の取得企業の詳細は、以下の記事をご覧ください。
ISO27001の取得事例
実際のISO27001を取得し、自社のセキュリティ体制の強化や対外的なPRにつなげられた
取得事例を紹介します。
オーラン株式会社
オーラン株式会社は、IT企業向けに「人」というソリューションを提供する会社です。
ISO27001取得を検討したきっかけは、顧客から情報セキュリティに関する規約や契約書などが増え始めたことと、ISO27001の取得について聞かれることが増えたことでした。
| 業種 | WEB制作、人財サービス |
|---|---|
| 規模 | 21~50名以下 |
| ISO27001取得前の課題 | 社内の情報を取り扱うルールが曖昧だった。 |
| ISO27001取得後の効果 |
|
ISO27001を取得したことで、顧客と契約を結ぶ際に締結する情報セキュリティに関する契約書を省略できるようになったなど、対外的な信頼の向上につながりました。また情報の取り扱いに関するルールを統一したことで、従業員の情報セキュリティに対する認識も向上したと実感しているとのことです。
オーラン株式会社の事例の詳細は、以下のインタビュー記事をご覧ください。
PCらいふパソコンレンタルサービス株式会社
PCらいふパソコンレンタルサービス株式会社は、全国各地にパソコンを提供しているパソコンレンタル業の会社です。
ISO27001取得を検討したきっかけは、大手企業や官公庁から見積り依頼をされた際に記入するセキュリティチェックシートに、ISO27001の取得有無の項目が増えたことでした。
| 業種 | パソコンレンタル業 |
|---|---|
| 規模 | 20名以下 |
| ISO27001取得前の課題 | 見積り時にISO取得の有無を確認されることが増え、競合他社も取得していた。 |
| ISO27001取得後の効果 | ISOの取得をPRできるようになり、従業員たちのセキュリティ意識も高まった。 |
競合他社はすでにISO27001を取得している企業が多かったとのことで、取得したことにより競合他社に取り残されることがなくなったことが大きいと実感されています。
PCらいふパソコンレンタルサービス株式会社の事例の詳細は、以下のインタビュー記事をご覧ください。
ハイキス株式会社
ハイキス株式会社は、半導体の部品製造や各種機能部品の製造などを行う製造業の会社です。
ハイキス株式会社は、ISO27001の他にISO9001(品質マネジメントシステム)も同時取得されました。取得を検討したきっかけは、営業におけるPR効果や、社員教育の一環になると感じられたことでした。
| 業種 | 製造業 |
|---|---|
| 規模 | 21~50名以下 |
| ISO27001取得前の課題 | 営業面でのPRや社員教育を強化し、事業をステップアップさせたかった。 |
| ISO27001取得後の効果 | ISOの取得過程を通じて社員の意識が高まった。 |
ISO27001・ISO9001を取得したことで、曖昧になっていたルールや仕組みが明確になり、業務がより円滑に進むようになりました。今後は、営業時に自社の体制をPRしていく予定だということです。
ハイキス株式会社の事例の詳細は、以下のインタビュー記事をご覧ください。
まとめ
ISO27001は、情報セキュリティマネジメントシステムの国際規格です。取得することで、対外的な信頼の獲得や情報セキュリティリスクの低減などのメリットが期待できるでしょう。
混同しやすいISMSとの違いは「仕組み」であり、ISO27001は「規格」です。また、Pマークは、個人情報保護に特化した国内規格になっています。これらの規格とは成り立ちの違いもありますが、いずれも情報セキュリティのマネジメントシステムの強化が目的という共通点があります。
ISMSを構築するための規格であるISO27001は、さまざまな形で情報を発信・共有することができるようになった現在では、特に必要性が増している規格です。
情報セキュリティに課題を感じている企業は、取得を検討してみてはいかがでしょうか?
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい