ISO27001とは?ISMS・Pマークとの違いや要求事項を解説!
- ISO27001は、ISOとIECが共同で定めた情報セキュリティの管理に関する規格
- ISMSは情報セキュリティを管理する仕組み、その仕組みの国際的ルールを定めたのがISO27001
- Pマークは個人情報のみを対象とした日本の規格、ISO27001はすべての情報を対象とした国際規格
「よく情報セキュリティの認証 規格 として ISMS と ISO27001 という言葉が出てきますが、マネジメントシステム規格としては同じものなの?」という疑問を持たれる方は多いのではないでしょうか?
この記事ではISMSやISO27001の概要やメリット・デメリットなどを中心に解説しつつ、混同されやすいPマークについても解説します。
目次
ISO27001とは?わかりやすく解説
ISO27001とは、2005年にISO(国際標準化機構)とIEC(国際電気標準会議)が共同で定めた、情報セキュリティの管理に関する国際規格です。
ITが普及した現代においては、業種に関わらずほとんどの企業がサーバーやパソコンなどのITシステムに、売上情報や顧客情報などの情報資産を保有しているでしょう。そのため、情報資産を管理する必要性が求められるようになったのです。
ISO27001は「JISQ27001:2006」「JISQ27001」「ISO/IEC27001」と書かれることもありますが、表記している言語の違いだけで、内容としてはほぼ同一のものです。
ISO規格である「ISO27001」は2005年に、ISOを日本語に翻訳した「JISQ27001」は2006年に誕生しました。現在は「ISO/IEC27001:2022」もしくは「JISQ27001:2023」が最新版となっています。
ISO27001の目的
ISO27001の要求事項 には「機密性 ・完全性 ・可用性という3つの性質を維持する」という言葉があります。
ISO27001の目的は、「機密性」「完全性」「可用性」の3つの要素を維持し、企業の情報セキュリティ管理体制を強化することにあります。具体的な内容は、次のようにまとめられます。
機密性
アクセス許可された者だけが情報にアクセス出来るようにし、情報がもれないようにすること
完全性
情報および処理方法が正確かつ最新の状態で管理されていること
可用性
認可された利用者が、必要な時に情報及び関連する資産にアクセスできる状態で管理をすること
【2022年】ISO27001の改訂内容
2022年10月にISO27001が10年ぶりに改訂されました。
今回の改訂の大部分は、セキュリティリスク対応を実施する際に参考となる管理策をまとめた「附属書A」の内容です。管理策(附属書A)の主な変更点は以下のとおりです。
- 114の管理策が93に減少
- 58の管理策が更新
- 24の管理策が統合
- 11の新しい管理策が導入
- 管理策のカテゴリーが14分類から4分類に変更
管理策の数は減少しているものの、統合による減少であるため、純粋に管理策の数が減ったわけではありません。そのため、自社で対応すべき管理策について見直す必要があります。
2023年より順次2022年版での審査が開始されています。すでにISO27001を取得済みの企業は、2025年10月31日までに2022年版への対応が必要です。詳細については、以下の記事をご覧ください。
ISO27001とISMS(情報セキュリティマネジメントシステム)の違い
ISO27001について検索すると、必ずISMSという言葉を目にすることになります。ここでは、ISMSの概要やISO27001との違いを解説します。
そもそもISMSとは
ISMSとは、「Information Security Management System」の頭文字を取ったもので、情報セキュリティマネジメントシステムのことです。わかりやすくいうと、「企業や組織の情報資産を守るための仕組み」のことです。
具体的には、組織における情報セキュリティの「機密性」、「完全性」、「可用性」をバランスよく向上する仕組みを構築・運用します。
悪質なハッカーによる攻撃や情報漏洩などの情報セキュリティを脅かすような被害やリスクが多くなっているため、より情報資源のセキュリティ強化が重要であり、多くの企業がISMSを導入しています。
ISMSの詳細は以下の記事をご確認ください。
ISO27001とISMSの違い
ここまで、ISO27001とISMSの概要を解説しましたが、ここで両者の違いを理解しておきましょう。
ISMSが情報セキュリティを管理する「仕組み」である一方、その仕組みについての国際的なルールを定めた「規格」がISO27001です。
わかりやすくいうと、「自社の情報資産を保護できるようにISMSを構築しよう」と思ったときに、有効なISMSを構築するための具体的な方法を示したガイドラインがISO27001というイメージです。
ISMSとPマークの違い
ISMSと混同される言葉のひとつとして、Pマークも挙げられます。
Pマークとは
Pマークとは、個人情報保護マネジメントシステムに対する第三者認証制度のことです。日本工業規格の「JISQ15001」に基づいたシステム構築をすることで取得できます。
Pマークは日本国内でのみ有効な規格で、個人情報の漏えいや紛失、改ざんなどの情報セキュリティリスクを低減することを目的としています。
ISMSとPマークはどちらを取得すべき?
ISMSとPマークは、どちらも情報を扱うという点は共通していますが、大きな違いには「保護する情報資産の対象」が挙げられます。
Pマークは個人情報のみが保護対象となる一方で、ISMSは個人情報を含むすべての情報資産が保護対象となるのです。
そのため、個人情報を多く保有する場合はPマークを、社内外で機密情報のやり取りが多い場合はISMSを取得するというように、両者の違いを考慮したうえでどちらを取得すべきかを検討しましょう。
ISO27001取得のメリット
ISO27001を取得すると、下記の5つのメリットが期待できます。
- 対外的な信頼性の向上
- 情報セキュリティリスクの低減
- 情報の管理体制の管理・従業員のモラル向上
- 業務効率の向上
- 事業継続性の向上
1つずつ詳しく解説しますので、ISO27001を取得すべきか検討する上での参考にしてください。
対外的な信頼性の向上
ISO27001を取得すると、取引先や顧客などからの信頼性の向上が期待できます。国際認証であるISO27001の取得は、国際機関が定めた水準で情報セキュリティの管理に取り組んでいる証のためです。
昨今では、情報漏洩などの問題が多く取り上げられています。ISO27001を認証取得し、セキュリティ対策の徹底をアピールすることで、自社のブランディングの向上も見込めます。
情報セキュリティリスクの低減
ISO認証の審査通過は、マネジメントシステムの運用における一定条件をクリアしたことを意味します。そのため、情報セキュリティリスクの低減につながります。
ISO27001の認証取得にあたり、リスクを洗い出し、各リスクに対して対策を決めていくプロセスを経るため、セキュリティリスクを低減できる管理体制を整備できるのです。
ただしどこまで管理するかは組織が規定するため、必ずしもセキュリティレベルが向上するというわけではありません。
情報の管理体制の整理・従業員のモラル向上
ISMSを構築・運用する中で、情報管理体制の整理と従業員のモラル向上が期待できます。ISO27001を取得する際に、具体的なルールや数値目標を設定するため、情報の管理体制を整理できます。
また、数値目標を達成するには、情報セキュリティ対策のルールやマニュアルを組織内へ周知することが必要です。取り組みを継続することで従業員のセキュリティ対策への責任感やモラル向上につながるでしょう。
業務効率の向上
ISO27001を取得し、マネジメントシステムを構築していくことで、情報資産の効率的な管理や運用ができます。
情報資産の管理体制を整えるためには、整理整頓が不可欠となります。所在や役職によるアクセス権の有無などが明確になることで、必要な情報資産へのアクセスが容易になります。
その結果、従業員は業務に伴う情報資産の処理の時間を短縮でき、業務効率の向上につながります。
事業継続性の向上
事業継続性とは、災害などの不測の事態が発生した場合にも、事業を稼働できる状態を指します。
不測の事態に備えるために、ISO27001を取得する過程でBCP(事業継続計画)を設定する必要があります。予測されるリスクを洗い出し、対策を決定し、手順などをマニュアルに落とし込んでいきます。万が一の事態が発生した際に、事業を守るためには、事前に具体的な計画を立てる必要があるのです。
このように一度構築された情報管理システムは、長期に渡って企業のIT運用基盤を守り、事業継続性の向上に貢献するでしょう。
ISO27001取得のデメリット
続いて、ISO27001取得において考えられる「費用や手間の発生」「新しいルールが増える」「取得後も審査を受ける必要がある」という3つのデメリットについて解説します。
費用や手間が発生する
ISO27001を取得するには、ISMSを構築・運用して審査を受ける必要があります。組織の規模によっては1年以上の期間をかけて取り組む可能性もあるため、その期間には通常の業務以外の人件費や手間が発生します。
具体的な手間の例は、これまで口頭で済ませていた確認を、書面に記録として残したり、業務工程もデータとして残したりすることが考えられます。
ルールが新たに増える
自社が保有する情報資産を管理するには、利用方法や管理方法の抱えるリスクを明確にし、セキュリティを保つための方法を取らなければなければなりません。
その過程で、これまでにはなかった新しいルールが増えることがあります。しかし、あまりに手間がかかると日常業務に悪影響が出る可能性もあるため、実情に合ったルールを策定することが大切です。
取得後も審査を受ける必要がある
ISO規格は、取得時だけでなく取得後も認証機関による審査を受けなければなりません。そのため、審査にかかる費用や手間が毎年発生することも覚えておきたいところです。
また、ISO規格は改訂されることもしばしばあります。改訂があった場合には、改訂後の要求事項に沿ったマネジメントシステムが構築されているか確認し、再度認証を受ける必要があります。
ISO27001の要求事項を実施するポイント
組織のセキュリティ性を高め、有効なISMSを構築・運用するために、ISO27001では以下の要求事項が定められています。以下のうち、1~3はISO27001の説明であるため、4~10の項目を企業は実現することが必要です。
- 1.適用範囲
- 2.引用規格
- 3.用語及び定義
- 4.組織の状況
- 5.リーダーシップ
- 6.計画
- 7.支援
- 8.運用
- 9.パフォーマンス評価
- 10.改善
ISO27001の要求事項では、自社の情報資産や情報セキュリティリスクを明らかにし、それらへの対策を策定し、実践していくことが求められています。
ここでは要求事項を実施するポイントとなる、PDCAサイクルでの運用、リスクマネジメント ・管理策の3つについて解説します。
PDCAサイクルで運用する
ISO規格は、PDCAサイクルを回すことで継続的な改善を目指しています。というのも、技術の進歩や新たに発生するリスクなどの要因により、アップデートし続ける必要があるためです。
そのためISMSを構築・運用したら、定期的に内部監査 を実施することが求められます。是正点や新たな課題が発見されたら、トップマネジメントに報告して対策を講じるのです。
このようにPDCAサイクルで運用することが、ISO27001において重要なポイントの一つです。
リスクアセスメントをもとにセキュリティ強化を行う
ISMSでは、サイバー攻撃や情報漏えい、紛失などさまざまな情報セキュリティリスクから、組織の情報資産を保護することが必要です。
そのためにはリスクマネジメントが重視されますが、その中でも「自社で保護すべき情報資産はどれか」「どのような情報セキュリティリスクがあるのか」を洗い出し、対応すべき重要度や優先度を分析・評価するリスクアセスメントは欠かせないプロセスです。
リスクアセスメントを十分に行うことで、セキュリティ体制の強化につながることを意識して、慎重に取り組みましょう。
具体的な対策はISMS管理策を確認する
ISMS管理策とは、ISO27001の附属書Aに記載されている情報セキュリティ管理策のことです。要求事項に記載された内容のさまざまなシチュエーションを想定して、対策すべき内容が記載されています。
要求事項は基本要件で必ず対応しないといけない一方、管理策は自社に必要かどうかを決めて選択できます。適用すべき管理策においては、よく確認して参考にしてください。
要求事項の詳細については、以下の記事をご覧ください。
ISO27001取得のための流れ・期間・費用
次に、ISO27001取得のための流れ・期間・費用について解説します。
取得に向けて動き出す前に把握しておくべき情報のため、自社で取得する場合を想定しつつご覧ください。
ISO27001取得にかかる主な期間
一般的に、ISO27001の取得にかかる期間は6ヵ月~数年ほどです。ただし、会社規模や認証を受ける範囲などによって取得までにかかる期間は大きく異なります。
ISO27001取得にかかる費用
ISO27001取得にかかる費用には、認証取得費用として、ISOの認証登録料、文書審査料、実地審査料があります。金額は、最低規模の審査でも50万円~100万円ほどの費用が必要です。
ただし、利用する審査会社や、申請を行う会社の規模によっても料金設定に幅がありますので、おおよその目安として覚えておきましょう。
また、審査費用だけではなく、コンサルティング会社にサポートを依頼する場合は、その費用の捻出も必要です。
ISO27001取得における費用については、下記の記事に詳細を記載していますので、ぜひご覧ください。
ISO27001取得の流れ
ISO27001を取得する流れは、マネジメントシステムの構築・運用、審査、取得後という4つのフェーズに分かれています。
1.マネジメントシステムの構築
情報セキュリティの方針や目的を策定し、マニュアルの作成や帳票の整備を行います。
2.マネジメントシステムの運用
内部監査やマネジメントレビューを実施します。
3.取得審査を受ける
認証機関による登録審査を受けましょう。自社の構築・運用している情報セキュリティマネジメントシステムが要求事項を満たし、有効に機能しているかが、審査員によって確認されます。
4.取得後
認証を継続するには定期的に審査を受ける必要があります。維持審査や更新審査により、登録証の有効期限を更新していくことで、マネジメントシステムを継続的に発展させていくことを目指しているのです。
審査や認証機関の詳細は、以下の記事をご覧ください。
また、取得の詳しい流れについては、下記の記事を参考にしてください。
ISO27001の取得企業の主な業種
情報漏えいやサイバー攻撃といったリスク回避のため、情報セキュリティへの重要性が高まっている現代では、ISO27001を取得する企業が増加傾向にあります。
ISO27001の取得企業数は、ISMSを管轄している「情報マネジメントシステム認証センター」のホームページから確認できます。2024年5月16日現在、ISO27001取得企業登録数は7,814社、ISO27001の取得を公表している会社は7,403社です。
情報セキュリティは、情報を取り扱うすべての業種において欠かせませんが、特に、ISO27001の取得が求められている業種は以下になります。
- 情報サービス業
- 人材派遣業
- 金融業
最も多くISO27001を取得しているのは、さまざまな企業や個人の重要な情報を取り扱う情報サービス業です。人材派遣業や金融業も同様に重要度の高い情報を保有しているため、情報セキュリティの向上が求められています。
ISO27001の取得企業の詳細は、以下の記事をご覧ください。
ISO27001の取得事例
実際のISO27001を取得し、自社のセキュリティ体制の強化や対外的なPRにつなげられた
取得事例を紹介します。
オーラン株式会社
オーラン株式会社は、IT企業向けに「人」というソリューションを提供する会社です。
ISO27001取得を検討したきっかけは、顧客から情報セキュリティに関する規約や契約書などが増え始めたことと、ISO27001の取得について聞かれることが増えたことでした。
業種 | WEB制作、人財サービス |
---|---|
規模 | 21~50名以下 |
ISO27001取得前の課題 | 社内の情報を取り扱うルールが曖昧だった。 |
ISO27001取得後の効果 |
|
ISO27001を取得したことで、顧客と契約を結ぶ際に締結する情報セキュリティに関する契約書を省略できるようになったなど、対外的な信頼の向上につながりました。また情報の取り扱いに関するルールを統一したことで、従業員の情報セキュリティに対する認識も向上したと実感しているとのことです。
オーラン株式会社の事例の詳細は、以下のインタビュー記事をご覧ください。
PCらいふパソコンレンタルサービス株式会社
PCらいふパソコンレンタルサービス株式会社は、全国各地にパソコンを提供しているパソコンレンタル業の会社です。
ISO27001取得を検討したきっかけは、大手企業や官公庁から見積り依頼をされた際に記入するセキュリティチェックシートに、ISO27001の取得有無の項目が増えたことでした。
業種 | パソコンレンタル業 |
---|---|
規模 | 20名以下 |
ISO27001取得前の課題 | 見積り時にISO取得の有無を確認されることが増え、競合他社も取得していた。 |
ISO27001取得後の効果 | ISOの取得をPRできるようになり、従業員たちのセキュリティ意識も高まった。 |
競合他社はすでにISO27001を取得している企業が多かったとのことで、取得したことにより競合他社に取り残されることがなくなったことが大きいと実感されています。
PCらいふパソコンレンタルサービス株式会社の事例の詳細は、以下のインタビュー記事をご覧ください。
ハイキス株式会社
ハイキス株式会社は、半導体の部品製造や各種機能部品の製造などを行う製造業の会社です。
ハイキス株式会社は、ISO27001の他にISO9001
(品質マネジメントシステム)も同時取得されました。取得を検討したきっかけは、営業におけるPR効果や、社員教育の一環になると感じられたことでした。
業種 | 製造業 |
---|---|
規模 | 21~50名以下 |
ISO27001取得前の課題 | 営業面でのPRや社員教育を強化し、事業をステップアップさせたかった。 |
ISO27001取得後の効果 | ISOの取得過程を通じて社員の意識が高まった。 |
ISO27001・ISO9001を取得したことで、曖昧になっていたルールや仕組みが明確になり、業務がより円滑に進むようになりました。今後は、営業時に自社の体制をPRしていく予定だということです。
ハイキス株式会の事例の詳細は、以下のインタビュー記事をご覧ください。
まとめ
ISO27001は、情報セキュリティマネジメントシステムの国際規格です。取得することで、対外的な信頼の獲得や情報セキュリティリスクの低減などのメリットが期待できるでしょう。
混同しやすいISMSとの違いは「仕組み」であり、ISO27001は「規格」です。また、Pマークは、個人情報保護に特化した国内規格になっています。これらの規格とは成り立ちの違いもありますが、いずれも情報セキュリティのマネジメントシステムの強化が目的という共通点があります。
ISMSを構築するための規格であるISO27001は、さまざまな形で情報を発信・共有することができるようになった現在では、特に必要性が増している規格です。
情報セキュリティに課題を感じている企業は、取得を検討してみてはいかがでしょうか?
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい