【基本】ISO27001（ISMS）とは？メリットや要求事項を解説

「よく情報セキュリティの認証規格としてISMSとISO27001という言葉が出てきますが、マネジメントシステム規格としては同じものなの？」という疑問を持たれる方は多いのではないでしょうか？

この記事ではISMSやISO27001の概要やメリット・デメリットなどを中心に解説しつつ、混同されやすいPマークについても解説します。

ISO27001とは？わかりやすく解説

ISO27001とは、2005年にISO（国際標準化機構）とIEC（国際電気標準会議）が共同で定めた、情報セキュリティの管理に関する国際規格です。

ITが普及した現代においては、業種に関わらずほとんどの企業がサーバーやパソコンなどのITシステムに、売上情報や顧客情報などの情報資産を保有しているでしょう。そのため、情報資産を管理する必要性が求められるようになったのです。

ISO27001は「JISQ27001:2006」「JISQ27001」「ISO/IEC27001」と書かれることもありますが、表記している言語の違いだけで、内容としてはほぼ同一のものです。
ISO規格である「ISO27001」は2005年に、ISOを日本語に翻訳した「JISQ27001」は2006年に誕生しました。現在は「ISO/IEC27001:2022」もしくは「JISQ27001:2023」が最新版となっています。

ISO27001の目的

ISO27001の要求事項には「機密性・完全性・可用性という3つの性質を維持する」という言葉があります。

ISO27001の目的は、「機密性」「完全性」「可用性」の3つの要素を維持し、企業の情報セキュリティ管理体制を強化することにあります。具体的な内容は、次のようにまとめられます。

機密性

アクセス許可された者だけが情報にアクセス出来るようにし、情報がもれないようにすること

完全性

情報および処理方法が正確かつ最新の状態で管理されていること

可用性

認可された利用者が、必要な時に情報及び関連する資産にアクセスできる状態で管理をすること

ISO27001とISMS（情報セキュリティマネジメントシステム）の違い

ISO27001とよく混同しやすいISMSの概要やISO27001との違いについてまとめました。

ISMSとは

ISMS（Information Security Management System：情報セキュリティマネジメントシステム）とは、「企業や組織の情報資産を守るための仕組み」のことです。
組織における情報セキュリティの「機密性」、「完全性」、「可用性」をバランスよく向上する仕組みを構築・運用します。

ISO27001とISMSとの違い

ISMSの詳細は以下の記事をご確認ください。

ISMSとPマークの違い

ISMSと混同されやすいPマークの概要やISMSとの違いについてまとめました。

Pマークとは

Pマーク（プライバシーマーク）とは、個人情報保護マネジメントシステムに対する第三者認証制度のことです。日本工業規格である「JIS Q 15001」に基づいたシステム構築することで取得できます。
日本国内でのみ有効な規格で、個人情報の漏えいや紛失、改ざんなどの情報セキュリティリスクを低減することを目的としています。

ISMSとPマークとの違い

ISMSが情報セキュリティを管理する「仕組み」である一方、Pマークは日本国内で有効な個人情報セキュリティに関する規格です。

Pマークの概要やISMSとの違いの詳細は、以下の記事をご覧ください。

ISO27001取得のメリット

ISO27001を取得すると、下記の5つのメリットが期待できます。

• 対外的な信頼性の向上
• 情報セキュリティリスクの低減
• 情報の管理体制の管理・従業員のモラル向上
• 業務効率の向上
• 事業継続性の向上

1つずつ詳しく解説しますので、ISO27001を取得すべきか検討する上での参考にしてください。

対外的な信頼性の向上

ISO27001を取得すると、取引先や顧客などからの信頼性の向上が期待できます。国際認証であるISO27001の取得は、国際機関が定めた水準で情報セキュリティの管理に取り組んでいる証のためです。

昨今では、情報漏洩などの問題が多く取り上げられています。ISO27001を認証取得し、セキュリティ対策の徹底をアピールすることで、自社のブランディングの向上も見込めます。

情報セキュリティリスクの低減

ISO認証の審査通過は、マネジメントシステムの運用における一定条件をクリアしたことを意味します。そのため、情報セキュリティリスクの低減につながります。

ISO27001の認証取得にあたり、リスクを洗い出し、各リスクに対して対策を決めていくプロセスを経るため、セキュリティリスクを低減できる管理体制を整備できるのです。

ただしどこまで管理するかは組織が規定するため、必ずしもセキュリティレベルが向上するというわけではありません。

情報の管理体制の整理・従業員のモラル向上

ISMSを構築・運用する中で、情報管理体制の整理と従業員のモラル向上が期待できます。ISO27001を取得する際に、具体的なルールや数値目標を設定するため、情報の管理体制を整理できます。

また、数値目標を達成するには、情報セキュリティ対策のルールやマニュアルを組織内へ周知することが必要です。取り組みを継続することで従業員のセキュリティ対策への責任感やモラル向上につながるでしょう。

業務効率の向上

ISO27001を取得し、マネジメントシステムを構築していくことで、情報資産の効率的な管理や運用ができます。

情報資産の管理体制を整えるためには、整理整頓が不可欠となります。所在や役職によるアクセス権の有無などが明確になることで、必要な情報資産へのアクセスが容易になります。

その結果、従業員は業務に伴う情報資産の処理の時間を短縮でき、業務効率の向上につながります。

事業継続性の向上

事業継続性とは、災害などの不測の事態が発生した場合にも、事業を稼働できる状態を指します。

不測の事態に備えるために、ISO27001を取得する過程でBCP（事業継続計画）を設定する必要があります。予測されるリスクを洗い出し、対策を決定し、手順などをマニュアルに落とし込んでいきます。万が一の事態が発生した際に、事業を守るためには、事前に具体的な計画を立てる必要があるのです。

このように一度構築された情報管理システムは、長期に渡って企業のIT運用基盤を守り、事業継続性の向上に貢献するでしょう。

ISO27001取得のデメリット

続いて、ISO27001取得において考えられる「費用や手間の発生」「新しいルールが増える」「取得後も審査を受ける必要がある」という3つのデメリットについて解説します。

費用や手間が発生する

ISO27001を取得するには、ISMSを構築・運用して審査を受ける必要があります。組織の規模によっては1年以上の期間をかけて取り組む可能性もあるため、その期間には通常の業務以外の人件費や手間が発生します。

具体的な手間の例は、これまで口頭で済ませていた確認を、書面に記録として残したり、業務工程もデータとして残したりすることが考えられます。

ルールが新たに増える

自社が保有する情報資産を管理するには、利用方法や管理方法の抱えるリスクを明確にし、セキュリティを保つための方法を取らなければなければなりません。

その過程で、これまでにはなかった新しいルールが増えることがあります。しかし、あまりに手間がかかると日常業務に悪影響が出る可能性もあるため、実情に合ったルールを策定することが大切です。

取得後も審査を受ける必要がある

ISO規格は、取得時だけでなく取得後も認証機関による審査を受けなければなりません。そのため、審査にかかる費用や手間が毎年発生することも覚えておきたいところです。

また、ISO規格は改訂されることもしばしばあります。改訂があった場合には、改訂後の要求事項に沿ったマネジメントシステムが構築されているか確認し、再度認証を受ける必要があります。

ISO27001の要求事項とは

ここでは、ISO27001の要求事項について解説します。

そもそも要求事項とは

要求事項とは、「企業が実現すべき基本的な要件」のことです。ISO27001の取得審査の際には、企業が要求事項に記載されている内容に適合しているかどうかが評価されます。

ISO27001では、組織のセキュリティ性を高め、有効なISMSを構築・運用するために、ISO以下の要求事項が定められています。

1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 組織の状況
5. リーダーシップ
6. 計画
7. 支援
8. 運用
9. パフォーマンス評価
10. 改善

上記のうち1～3はISO27001の説明であり、実際に企業が実現すべき項目は、4～10です。
4～10の項目においては、自社の情報資産や情報セキュリティリスクを明らかにし、それらへの対策を策定し、実践していくことが求められています。

ISO27001の要求事項の詳細やポイントは、以下の記事をご覧ください。

2022年の改訂内容

2022年10月にISO27001が10年ぶりに改訂されました。
今回の改訂の大部分は、セキュリティリスク対応を実施する際に参考となる管理策をまとめた「附属書A」の内容です。管理策（附属書A）の主な変更点は以下のとおりです。

• 114の管理策が93に減少
• 58の管理策が更新
• 24の管理策が統合
• 11の新しい管理策が導入
• 管理策のカテゴリーが14分類から4分類に変更

管理策の数は減少しているものの、統合による減少であるため、純粋に管理策の数が減ったわけではありません。そのため、自社で対応すべき管理策について見直す必要があります。

2023年より順次2022年版での審査が開始されています。すでにISO27001を取得済みの企業は、2025年10月31日までに2022年版への対応が必要です。詳細については、以下の記事をご覧ください。

ISO27001取得の手順・流れ

一般的にISO27001の取得には、約6か月～数年がかかります。これだけの長期間にわたり、企業はどのような手順を踏む必要があるのでしょうか。

ここでは、ISO27001取得の手順・流れを解説します。

1.取得の準備

ISO27001の取得を決めたら、まず取得の準備として以下の内容を行います。

• ISO担当者やISO事務局にあたるメンバーを選定する
• ISOコンサルタントへの取得サポートを依頼する
• ISO27001の適用範囲を決定する
• ISO27001の取得に向けて動き出すことをキックオフ宣言する

自社だけで決定することが不安な場合は、まずISOコンサルタントに相談するところからはじめることがおすすめです。経験豊富なコンサルタントが自社の状況を把握したうえで提案してくれます。

2.ISMSの構築

ISO27001の要求事項に則って、ISMSを構築します。
自社にある情報セキュリティリスクの洗い出しや評価、マニュアル・ルールの見直し、必要な書類作成などのISMSを運用するために必要な作業を行います。

3.ISMSの運用

構築したISMSを実際に運用します。
実際に運用することで、構築時にはわからなかった是正点が発見される場合があります。そのため、運用記録を取ることが欠かせません。
また内部監査やマネジメントレビューの実施により、ISMSが要求事項に適合しているかどうか、有効に機能しているかどうかについて評価します。その後、改善点があれば対策を行います。

4.取得審査を受ける

審査機関による取得審査を受けます。
取得審査は、「第一段階審査（文書審査）→第二段階審査（実地審査）」と2段階で行われます。問題がなければ認証され、不適合があった場合には是正処置をしたのちに再度審査が行われます。

審査や認証機関の詳細は、以下の記事をご覧ください。

5.取得後の運用

認証を継続するには、ISMSの運用を続けるとともに定期的に審査を受ける必要があります。
維持審査や更新審査により、登録証の有効期限を更新していくことで、マネジメントシステムを継続的に発展させていくことを目指します。

ISO27001の取得方法の詳細は、以下の記事をご覧ください。

ISO27001取得にかかる費用相場

ISO27001取得にかかる費用には、以下の3つがあります。

認証取得費用

ISO27001取得にかかる認証取得費用には、「ISOの認証登録料」「文書審査料」「実地審査料」があり、費用相場は最低規模の審査でも約50万円～100万円です。

ただし、利用する審査会社や、申請を行う会社の規模によっても料金設定に幅がありますので、おおよその目安として覚えておきましょう。
昨今では、ISO27001の審査料を値上げする認証機関が増えてきています。

人件費

人件費は新たに増える費用ではないものの、本業にかけられる時間をISOに費やすことで、発生している費用です。

例えば、月収30万円のISO担当者1名が6か月間、ISO取得に時間を費やした場合には、180万円の人件費がかかっているといえるのです。

コンサルティング費用

コンサルティング会社にサポートを依頼する場合は、その費用の捻出も必要です。
会社規模や依頼するサポート内容によりますが、年間で45万円～150万円がコンサルティング費用の相場です。

ISO27001取得における費用については、下記の記事に詳細を記載しています。ぜひご覧ください。

ISO27001の取得企業の主な業種

情報漏えいやサイバー攻撃といったリスク回避のため、情報セキュリティへの重要性が高まっている現代では、ISO27001を取得する企業が増加傾向にあります。
ISO27001の取得企業数は、ISMSを管轄している「情報マネジメントシステム認証センター」のホームページから確認できます。2024年11月13日現在、ISO27001取得企業登録数は7,958社、ISO27001の取得を公表している会社は7,552社です。

情報セキュリティは、情報を取り扱うすべての業種において欠かせませんが、特に、ISO27001の取得が求められている業種は以下になります。

• 情報サービス業
• 人材派遣業
• 金融業

最も多くISO27001を取得しているのは、さまざまな企業や個人の重要な情報を取り扱う情報サービス業です。人材派遣業や金融業も同様に重要度の高い情報を保有しているため、情報セキュリティの向上が求められています。
ISO27001の取得企業の詳細は、以下の記事をご覧ください。

ISO27001の取得事例

実際のISO27001を取得し、自社のセキュリティ体制の強化や対外的なPRにつなげられた
取得事例を紹介します。

オーラン株式会社

オーラン株式会社は、IT企業向けに「人」というソリューションを提供する会社です。
ISO27001取得を検討したきっかけは、顧客から情報セキュリティに関する規約や契約書などが増え始めたことと、ISO27001の取得について聞かれることが増えたことでした。

ISO27001を取得したことで、顧客と契約を結ぶ際に締結する情報セキュリティに関する契約書を省略できるようになったなど、対外的な信頼の向上につながりました。また情報の取り扱いに関するルールを統一したことで、従業員の情報セキュリティに対する認識も向上したと実感しているとのことです。

オーラン株式会社の事例の詳細は、以下のインタビュー記事をご覧ください。

PCらいふパソコンレンタルサービス株式会社

PCらいふパソコンレンタルサービス株式会社は、全国各地にパソコンを提供しているパソコンレンタル業の会社です。
ISO27001取得を検討したきっかけは、大手企業や官公庁から見積り依頼をされた際に記入するセキュリティチェックシートに、ISO27001の取得有無の項目が増えたことでした。

競合他社はすでにISO27001を取得している企業が多かったとのことで、取得したことにより競合他社に取り残されることがなくなったことが大きいと実感されています。

PCらいふパソコンレンタルサービス株式会社の事例の詳細は、以下のインタビュー記事をご覧ください。

ハイキス株式会社

ハイキス株式会社は、半導体の部品製造や各種機能部品の製造などを行う製造業の会社です。
ハイキス株式会社は、ISO27001の他にISO9001（品質マネジメントシステム）も同時取得されました。取得を検討したきっかけは、営業におけるPR効果や、社員教育の一環になると感じられたことでした。

ISO27001・ISO9001を取得したことで、曖昧になっていたルールや仕組みが明確になり、業務がより円滑に進むようになりました。今後は、営業時に自社の体制をPRしていく予定だということです。

ハイキス株式会の事例の詳細は、以下のインタビュー記事をご覧ください。

まとめ

ISO27001は、情報セキュリティマネジメントシステムの国際規格です。取得することで、対外的な信頼の獲得や情報セキュリティリスクの低減などのメリットが期待できるでしょう。
混同しやすいISMSとの違いは「仕組み」であり、ISO27001は「規格」です。また、Pマークは、個人情報保護に特化した国内規格になっています。これらの規格とは成り立ちの違いもありますが、いずれも情報セキュリティのマネジメントシステムの強化が目的という共通点があります。

ISMSを構築するための規格であるISO27001は、さまざまな形で情報を発信・共有することができるようになった現在では、特に必要性が増している規格です。

情報セキュリティに課題を感じている企業は、取得を検討してみてはいかがでしょうか？

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。