【2026最新】ISO27001改訂内容を徹底解説!最新の追補対応は?
FAQISO27001の改訂に関するよくある質問
ISO27001っていつ改訂されたの?
ISO27001は2022年10月25日に改訂されました。
ISO27001の改訂で何が変わったの?
改訂により、管理策の数が114個→93個に減少しました。ただし内容の近い管理策が統合されるなどされているため、行うべき管理策の数が単純に減少したわけではありません。
2013年版はいつまで有効だったの?
2013年版は、2025年10月31日で失効。それまでに審査を受ける必要がありました。
2022年10月25日(スイス時間)に、情報セキュリティに関する国際規格であるISO/IEC27001:2013の改訂版であるISO/IEC27001:2022が発行されました。約10年ぶりの改訂となります。今回の改訂は、2022年2月に改訂されたISO27002の改訂内容との整合性をもたせる目的で実施されたものです。
本改訂は、すでにISMS(情報セキュリティマネジメントシステム)を構築・運用している企業はもちろん、ISO27001や関連規格の取得を検討されている企業にも影響があると考えられます。
そこで、この記事ではISO27001の改訂内容概要の一部や移行スケジュール、移行審査、移行後の対応における注意点について解説します。
目次
ISO27001とは?
ISO27001とは、国際標準化機構(ISO)が定めた情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
企業が保有する情報資産を、不正アクセスやウイルス攻撃などの情報セキュリティリスクから保護し、適切に管理するための仕組みづくりを目的としています。
近年、DXの進展やテレワークの普及により、企業を取り巻くリスクは複雑化しています。これに伴い2022年にISMS規格改訂が行われ、現在はISO/IEC 27001:2022が最新版となっています。
ISO27001の認証を取得・維持することは、ルールを作るだけでなく、組織全体で継続的にセキュリティ水準を向上させていくISMSを運用している証となります。
情報セキュリティマネジメントシステム(ISMS)とは?
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、組織が情報セキュリティを適切に管理するための仕組みのことです。
ISMSでは情報を保護するだけでなく、情報を有効に活用できる状態をつくることを重視しています。そのために、以下の「情報セキュリティの3要素(CIA)」をバランスよく高めることを求めています。
- 機密性(Confidentiality):許可された人だけが情報にアクセスできる状態(情報漏洩の防止)
- 完全性(Integrity):情報が、常に最新かつ正確に保たれている状態
- 可用性(Availability):必要な時にいつでも情報が利用できること(システムダウンの防止など)
ISO27001では、これら3要素を高めるために、ISMSを構築・運用する手順や方法をまとめた「要求事項」を定めています。つまり、ISO27001は情報資産を適切に管理する体制を構築・運用していくフレームワークといえるのです。
完全性は、求められる正確性や完全性の程度(編集や復旧の容易さ)。
可用性は、使用頻度や利用頻度の程度
ISO27001、ISO27002、JIS Q 27001の関係性
ISO27001とISO27002やJIS Q 27001との関係性は、以下のとおりです。
| 規格名 | 概要 | 備考 |
|---|---|---|
| ISO27001 | ISMSの要求事項を定めた国際規格 | 2022年に改訂。管理策の構成が大きく変更された。 |
| ISO27002 | ISO27001内の管理策を、具体的に実施するための手引き | ISO27001取得に向けた参考資料として利用可能。 |
| JIS Q 27001 | ISO27001を日本語に翻訳し、日本産業規格として制定した規格 | ISO27001と整合性が取れているため、「ISO27001=JIS Q 27001」として扱われている。 |
これらはいずれもISMSに関連している規格ですが、認証の対象となるのはISO27001(JIS Q 27001)です。ISO27002は管理策を具体的に運用するためのガイドラインとして活用するものです。それぞれの規格の違いを正しく理解したうえで、ISMSを構築することが重要になります。
2026年現在のISO27001の最新版は?
2026年1月現在、ISO27001の最新規格は「ISO/IEC27001:2022」(国内規格では JIS Q 27001:2023)です。
ここでは、2026年1月現在のISO27001の最新版の情報を解説します。
直近の改訂は2022年!改訂の背景とは?
ISO27001が2022年に改訂された背景には、サイバー攻撃の高度化やクラウドサービス・テレワークの普及により、従来の情報セキュリティ管理策では最新のリスクに十分対応できなくなった影響があります。前バージョンであるISO/IEC27001:2013から約9年ぶりに行われた2022年の改訂は、このようなIT技術の急激な変化に対応するためのものでした。具体的には、以下の3点が挙げられます。
- クラウドサービスが普及したこと
- サイバー攻撃が巧妙化したこと
- 個人情報保護に対する必要性が高まったこと
つまり、今回の改訂は「最近のIT環境に即した、より実践的な規格へのアップデート」を目的としたものといえます。
改訂の対応期限は2025年10月31日
最新規格であるISO/IEC 27001:2022への移行は、2025年10月31日をもって終了しています。
ISMS認証を維持、あるいは新規取得を目指す組織にとって、現在は旧規格からの移行が完了し、「最新規格に基づいた運用」を行っているフェーズです。
【2025最新】「気候変動への考慮」が追補
2022年の大規模な改訂に加え、2024年2月にはISO認証全体の共通要件として「気候変動への配慮」に関する追補が行われました。今回の追補により、自社の状況を理解するうえで、気候変動が関連する課題であるかどうかを決定する必要が出てきています。
| 該当箇所 | 追加された要求事項の内容 | 対応ポイント |
|---|---|---|
| 箇条 4.1 | 組織の外部・内部課題として、気候変動が関連するかどうかを決定する。 | 異常気象による拠点の損壊や、電力供給不安など、セキュリティに関する環境リスクを検討する。 |
| 箇条 4.2 | 関連する利害関係者が、気候変動に関連する要求事項を持っているかを確認する。 | 取引先や顧客から、気候変動を考慮した事業継続計画(BCP)の制定などが求められていないかを確認する。 |
2026年現在では、環境活動の実施を強制するものではなく、あくまで「気候変動を自社の課題として検討したか」「そのプロセスを記録として残しているか」の2点を行うことが求められています。
ISO27001改訂による変更点
旧規格(2013年版)から最新規格(2022年版)への改訂において、主な変更点は3つあります。
| 1 | 本文(要求事項)の一部修正 | 6.1.3c)において、「管理目的」という用語が「情報セキュリティ管理策」へ変更されるなど、表現の適正化が行われました。実質的な運用に大きな影響はありませんが、内部規定の用語統一が求められます。 |
|---|---|---|
| 2 | 潜在的な曖昧さの排除 | 規格の解釈のズレを防ぐため、6.1.3d)がより明確な記述に修正されました。 |
| 3 | 附属書Aの刷新 | 今回の改訂における最大の変更点です。情報漏洩やサイバー攻撃の手口の変化に合わせ、管理項目が全面的に再編されました。 |
「附属書A」とは、組織が情報セキュリティのリスクアセスメントを行った結果、セキュリティリスク対応の実施に必要な管理策を定めたものです。
管理策(附属書A)における変更点
最新規格(2022年版)では、管理策の数だけでなく「分類の考え方」も大きく変わりました。変更の要点を以下にまとめます。
| 変更点 | 旧規格(2013年版) | 最新規格(2022年版) |
|---|---|---|
| 管理策の総数 | 114項目 | 93項目 |
| 分類数 | 14カテゴリ | 4カテゴリ |
| 構成の変化 | 詳細な細分化 | 統合・整理および新規追加 |
管理策の数が114個→93個に減少しています。ただし、内容の近い管理策が統合されるなどして減少したものの、行うべき管理策の数が単純に減少したというわけではありません。
また今回の改訂は、2022年2月に先行して改訂されたISO27002(管理策の実践の手引き)との整合性を図るために行われました。
ここからは、特に管理策(附属書A)における変更点について詳しく解説します。
カテゴリーの分類・項目数の絞り込み
ISO/IEC27001:2013からISO/IEC27001:2022への改訂に伴い、管理策のカテゴリーと項目数が変更されました。
管理策はISO27001の附属書Aに記載されていることから、今回の改訂では附属書Aが変更されています。また管理策の具体的な方法はISO27002に示されており、ISO27001よりも前に改訂されています。
そこで、ここではISO/IEC27002:2013からISO/IEC27002:2022への改訂により変更された管理策のカテゴリーと管理策数を以下にまとめました。
【改訂前】ISO/IEC27001:2013の管理策のカテゴリーと管理策数(計:114)
| 管理策のカテゴリーと管理策の数() | |
|---|---|
| 5.情報セキュリティのための方針群(2) | 12.運用のセキュリティ(14) |
| 6.情報セキュリティのための組織(7) | 13.通信のセキュリティ(7) |
| 7.人的資源のセキュリティ(6) | 14.システムの取得、開発及び保守(13) |
| 8.資産の管理(10) | 15供給者関係(5) |
| 9.アクセス制御(14) | 16.情報セキュリティインシデント管理(7) |
| 10.暗号(2) | 17.事業継続マネジメントにおける情報セキュリティの側面(4) |
| 11.物理的及び環境的セキュリティ(15) | 18.順守(8) |
【改訂後】ISO/IEC27001:2022の管理策のカテゴリーと管理策数(計:93)
| 管理策のカテゴリーと管理策の数() |
|---|
| 5.Organisational controls(組織的管理策)(37) |
| 6.People controls(人的管理策)(8) |
| 7.Physical controls(物理的管理策)(14) |
| 8.Technical controls(技術的管理策)(34) |
今回の規格改訂により、管理策のカテゴリーは「組織的」管理策、「人的」管理策、「物理的」管理策、「技術的」管理策の4つに整理されたことがわかります。
2022年10月に行われたISO27001改訂は、2025年10月末までに審査を終えなければいけません。本改訂は主に管理策の変更が行われているため、改訂内容に合わせた管理策を策定する必要があります。
ISOプロでは、改訂前後の管理策の対照表などを分かりやすくまとめています。ぜひ対照表をご活用いただき、改訂対応にお役立てください。無料でお渡しできますので、ぜひ下記から資料請求ください。
管理策の新規追加
今回の改訂では、クラウド利用の一般化やサイバー攻撃の巧妙化を反映し、新たに11の管理策が追加されました。これらは、現代のビジネス環境において実効性の高い情報セキュリティ体制を構築するために不可欠な要素です。
組織的管理策
- 5.7:脅威インテリジェンス
- サイバー攻撃など新たに発生する情報セキュリティの脅威に関連する情報を収集及び分析して、いち早く適切なリスク低減処置を講じることを求めています。
- 5.23:クラウドサービス利用における情報セキュリティ
- クラウドサービスプロバイダーの対策やクラウドサービスカスタマの対策が求められています。
- 5.30:事業継続のためのICT(情報通信技術)の備え
- 附A.5.29の対象となる事業継続を困難にする状況の中のICT継続の備えについての計画、実施、維持、試験を要求しています。
物理的管理策
- 7.4:物理的セキュリティの監視
- 警備員や侵入センサー、監視カメラなどによる敷地内を物理的に監視することを要求しています。
技術的管理策
- 8.9:構成管理
- システムを構成するハードウェアやソフトウェアが稼働する環境の情報を常に最新の状態で管理していくことです。
- 8.10:情報の削除
- 情報システム、装置またはその他の記憶媒体の保存している取り扱いに慎重を要する情報の不必要な漏洩を防止し、情報の削除に関する法令、規制及び契約上の要求事項を順守することを要求しています。
- 8.11:データマスキング
- 個人情報など取り扱いに重要を要するデータの開示を制限し、法令、規制を順守するため、データマスキング、仮名化、匿名化などの手法を用いて使用することを要求しています。
- 8.12:データ漏えい防止
- 重要データの漏洩防止対策を実施することを要求しています。
- 8.16:監視活動
- 異常な行動・動作及び潜在する情報セキュリティインシデントを検出して、情報セキュリティインシデントの可能性がある事象を評価するためにネットワーク、システム及びアプリケーションについて異常な行動・動作がないかを監視し、適切な処置を講じることを要求しています。
- 8.23:ウェブ・フィルタリング
- 特定のWebサイトやドメインにアクセス(閲覧)できないように制御する対策です。
- 8.28:セキュリティに配慮したコーディング
- ソフトウェアがセキュリティに配慮して開発され、それによってソフトウェアの潜在的な情報セキュリティのぜい弱性の数を減らすことを確実にすることを要求しています。
クラウドサービスやICTといったIT用語についての管理策が追加されるなど、最新のITサービスに対応するための追加であると考えられます。
ISO27001改訂が企業に与える影響
今回のISO27001改訂が企業に与える影響について解説します。
クラウドサービス利用におけるセキュリティ強化
ISO27001の改訂による企業への影響として、クラウドサービス利用におけるセキュリティ強化が挙げられます。近年、クラウドサービスを利用する企業が増え、データやシステムの一部がクラウド上で管理されるようになっています。この変化を受け、ISO27001の改訂では、クラウド環境を含めた情報資産の管理やクラウドサービス提供者との責任範囲が明確化されました。
その結果、企業はクラウド利用に伴う管理体制や運用ルールを見直す必要が生じますが、クラウド上の情報資産の管理が従来よりも明確になり、組織全体の情報セキュリティ体制が強化されるという前向きな影響も期待できます。
リモートワーク普及に伴う新たなリスク対応
リモートワーク普及に伴う新たなリスクへの対応が必要になるのも、ISO27001の改訂が企業に与える影響の一つです。リモートワークや在宅勤務の普及により、従来オフィス内に限定されていた情報資産の管理範囲が広がっています。今回のISO27001の改訂では、こうしたリモート環境での情報管理の重要性がより明確になりました。
企業はリモート環境でのアクセス管理や情報保護の運用方針を見直す必要がありますが、この見直しを通じて、従業員の情報セキュリティ意識が向上すれば、リモート環境における業務運用の信頼性が高まります。
その結果、リモートワークの利便性を維持しつつ、情報漏えいや不正アクセスといったリスクをより効果的に管理できる体制の整備につながるといった好影響が期待できます。
ISO27001改訂で組織が対応すべき3つのポイント
ISO27001改訂で組織が対応すべきポイントは、以下の3点です。
- ISMS適用宣言書の改訂
- 対応が必要な変更点の分析
- 必要に応じたマニュアルの見直し
組織によって対応すべき点は異なりますが、主に対応が必要となる3つの点について解説します。
ISMS適用宣言書の改訂
適用宣言書とは、ISO27001附属書Aの管理策のうち、自社に適用する項目・除外する項目とその理由を記載した文書のことです。
今回の改訂により管理策の構成が変更されたため、適用宣言書も改訂することが求められます。
管理策の内容自体に大きな変更はありませんが、「管理策の項目と組織の運用ルールを再適合させること」に取り組むことは忘れずに行いましょう。
- 必要な管理策
- それらの管理策を含めた理由
- それらの管理策を実施しているか否か
- 附属書Aに規定する管理策を除外した理由
対応が必要な変更点の分析
これまでのISO27001:2013と改訂後のISO27001:2022の要求事項を確認し、改訂された部分を洗い出しましょう。
大幅な変更はないものの、追加された管理策や対象範囲が広がった管理策もあるため、修正が必要な点について対応の方針を立ててください。
特にクラウドサービスの利用における情報セキュリティやサイバー攻撃への備えになる脅威インテリジェンスなどは、対応の必要性について十分に検討すると良いでしょう。
必要に応じたマニュアルの見直し
変更点を分析し、「対応が必要である」と判断した変更点については、必要に応じてマニュアル・ルールの見直しを実施します。
変更後は、実際に更新したISMSを運用しましょう。内部監査やマネジメントレビューを経て、是正点があればさらに対応します。
改訂後の対応についてもPDCAサイクルで運用することで、新たな自社の運用ルールとして根付いていくでしょう。
ISO27001の改訂に伴う移行審査とは?
ISO27001の改訂に伴う移行審査とは、規格が改訂された際に、旧版で認証を受けている組織が新版規格へ切り替えるために受ける審査のことです。
ISO/IEC27001:2013の取得企業がISO/IEC27001:2022に移行するには、移行審査を受ける必要があります。
定期審査(サーベイランス審査)や更新審査(再認証審査)の際に、併せて移行審査も受けることで、工数を減らせるのでおすすめです。
以下に、移行審査に関する内容をまとめました。
| 工数 | 定期審査(サーベイランス審査)や更新審査と同時に受ける場合:0.5人日程度かかる |
|---|---|
| 費用 | 数万~数十万円(※事業規模や業種、審査機関によって異なる) |
| 実施場所 | 現地もしくはリモート(※審査機関によって異なる) |
ISO27001の移行審査を受ける必要がある理由
移行審査を受けるべき理由は、形式的な「旧規格の失効(2025年10月末)」への対応はもちろんのこと、組織の継続的な発展とISMSの実効性の向上にあります。
そもそも規格が改訂したのは、クラウド利用や巧妙化するサイバー攻撃など、2013年版ではカバーしきれなくなった現代の脅威に対応するためです。そのため、自社の管理体制をアップデートすることで、事業継続性の向上につながります。
また、常に最新の国際基準に準拠し続ける姿勢を示すことで、取引先や顧客に対し、組織としての高い信頼性と持続的な成長性を証明できます。
ISO27001移行審査で確認される主な審査内容
移行審査では、主に「旧規格との変更点」が適切に運用されているかが確認されます。以下に、主な審査内容についてまとめました。
| 審査内容 | 概要 |
|---|---|
| 適用宣言書の更新 | 管理策の再編(114→93項目)に伴い、適用範囲や除外理由が正しく更新されているか。 |
| リスクアセスメントの再実施 | 11の新規管理策を含めた全93項目に基づき、リスク分析を再度行っているか。 |
| 管理策の運用対応 | 脅威インテリジェンスやクラウド利用など、新たに追加された対策が機能しているか。 |
| ISMS関連文書の見直し | 管理策の4カテゴリ化(組織・人・物理・技術)に合わせ、社内規程が整理されているか。 |
ISO27001移行審査の実施期限と対応が遅れた場合のリスク
最新規格(ISO/IEC 27001:2022)への移行期限は、2025年10月31日をもって終了しました。すでに期限を過ぎているため、対応状況によっては以下のリスクに直面することになります。
| 認証の失効 | 期限までに審査を完了できなかった場合、旧規格の認証は自動的に失効します。 |
|---|---|
| 対外的な信頼失墜 | 認証失効により、名刺やWebサイトなどでISMS認証取得と掲示できなくなり、対外的な証明力を失います。 |
| 契約上のペナルティ | 取引条件や入札要件に「ISMS認証の取得・維持」が含まれる場合、取引条件の変更や入札参加資格への影響が生じる可能性があります。 |
認証を失効してしまった組織は、新規取得と同様の手順で審査を受ける必要があります。
ISMSコンサルタントにサポートを依頼すると、速やかな再取得につながります。再度ISMS認証を取得したいという企業担当者の方は、一度ご相談ください。
ISO27001改訂への対応を効率化する方法
ISO27001改訂への対応を効率化する方法を解説します。
ISOコンサルタントにサポートを依頼
ISO27001改訂への対応は、改訂内容を正しく理解したうえで、自社の管理体制や運用ルールに反映させる必要があるため、ISO27001に関する知識が欠かせません。また、自社の業務を行いながら対応する必要があるため、業務量が増えて社員の負担も大きくなりがちです。
ISOコンサルタントは、要求事項や改訂内容に精通しており、自社に適した管理策の提案や文書整備の支援、審査対応の準備まで幅広くサポートしてくれます。
そのため、サポートを依頼することで改訂対応の負担を軽減しつつ、自社に合ったISMSの再構築が可能です。
ISMS管理ツールの導入
ISO27001改訂への対応では、情報資産の管理やリスク評価、運用ルールの文書化など、多くの作業が発生します。こうした業務を効率化する手段として、ISMS管理ツールの導入が有効です。
ツールを利用することで、リスクアセスメントや文書管理の自動化などが可能になります。
ISO27001改訂に向けたよくある質問
ISO27001改訂に向けたよくある質問について回答します。
Q:旧規格のままではどうなる?
ISO27001の改訂に対応しないと「失効」となり、現在の認証登録が取り消される可能性があります。
認証の失効により、情報セキュリティへの取り組みが不足していると判断され、取引先や顧客からの信頼の低下につながることも考えられます。
Q:中小企業でも対応可能か?
はい、企業規模に関わらず、ISO27001改訂は対応可能です。
規格に精通した人材がいない場合や自社負担を軽減したい場合には、ISOコンサルタントのサポートを依頼することがおすすめです。
Q:改訂対応にかかる期間はどのくらい?
企業の規模や現行のISMS運用状況によりますが、改訂後のISMSを約3か月運用する必要があるため、審査を受ける約1年前から対応することがおすすめです。余裕をもって準備することで、スムーズな改訂対応につながります。
まとめ
ISO/IEC27001:2013が約10年ぶりに改訂され、移行スケジュールも明らかになりました。
改訂は、時代のニーズや変化に適応した規格であり続けるために行われます。だからこそ、ISOは「過去の産物」ではなく、今もなお取得され続けているといえます。
情報セキュリティの重要性がより高まってきた今、新たに追加された管理策などを用いて、リスクへの対策を進めていきましょう。
新規認証取得、継続に関わらず、改訂の内容で構築する必要が出てきますので、時間に余裕をもって進めましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
2007年3月より製造業・建築業においてISO(9001・14001)構築運用業務に携わる。コンサル業の傍ら2013年から2019年迄は、梱包資材メーカーのISO(9001・14001)事務局及び品質保証担当として上場一部メーカーなどとの折衝業務などにも従事。2021年12月よりISOプロのコンサルとして活動をスタート。