【基礎知識】ISMS認証とは?意味やメリット、取得の流れを解説
FAQISMS認証のメリット・デメリットに関するよくある質問
そもそもISMSって何ですか?
ISMSとは、企業の情報資産を保護するための仕組みです。
ISMS認証のメリットを教えて?
ISMS認証を取得することで、取引先からの要求に応え、顧客からの信頼性の向上などのメリットを得られます。
ISMS認証のデメリットってあるの?
認証の取得にあたって初期コストや維持費がかかる点、書作成やルール整備の負担がかかる点がデメリットとして挙げられます。
昨今、情報漏えいやサイバー攻撃などの情報セキュリティに関するさまざまな事故や事件が増えてきました。そのため、ISMS認証の取得を検討されている企業も多いでしょう。
しかし、一部では情報セキュリティレベルを向上できれば、「わざわざISMS認証を取得する必要はないのでは」という意見もあります。
そこで、この記事ではISMS認証のメリット・デメリットを中心に、取得企業数や導入方法、認証取得にかかる費用の目安について解説します。
目次
情報セキュリティを向上させる「ISMS認証」とは?
ISMS認証制度とは「ISMSが国際規格に基づいて正しく構築・運用されていることを、第三者機関(認証機関)が審査し、客観的に証明する制度」のことです。
そもそもISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは「組織の情報資産を、情報セキュリティリスクから保護する仕組み」を指します。
つまり、ISMSの国際的な認証を取得することで、社内の情報管理ルールが明確になり、リスク対応力が向上する仕組みです。取得によって、取引先や顧客に対して「情報セキュリティを重視している企業」であることを示すことができ、信頼性の向上にもつながります。
以下にISMSとISMS認証の違いをまとめました。まずは両者の意味を整理しましょう。
| ISMS | ISMS認証 | |
|---|---|---|
| 意味 | 情報セキュリティを管理するための仕組み | ISMSが規格に適合していることを第三者が証明する制度 |
| 対外的な証明 | なし(自己宣言) | あり(認証書が発行される) |
| 規格との関係 | 規格に基づかなくても、自社基準で構築可能 | ISO/IEC 27001への適合が前提 |
ISMS認証は情報セキュリティ体制を強化し、国際規格への適合によって企業価値を高めるための重要な仕組みといえます。
ISO27001との関係性
ISO27001とISMS認証には、ISO27001がISMS認証の一種であるという関係性があります。ISO27001は、国際標準化機構(ISO)が制定したISMS認証の代表的な国際規格の一つです。
この規格では、情報資産を適切に管理するためのISMSを構築・運用するための仕組みづくりの手順や方法をまとめています。つまり、「どのようにISMSを構築し、継続的に改善していくか」を具体的に示したルールブックのような存在です。
日本では、「一般社団法人情報マネジメントシステム認定センター(ISMS-AC)」がISO27001の認定機関です。
ISMS-ACから認定を受けた認証機関(審査機関)の審査を受け、規格の要求事項を満たしていると判断されれば、ISMS認証を取得できます。また、海外の認定機関から認定を受けている認証機関でも審査が可能です。
つまり、ISO27001は「組織の情報セキュリティ管理が国際的に認められた水準にあることを証明するための規格」であり、国内外の取引先や顧客に対して自社のISMSの信頼性を示す重要な指標であるといえます。
ISO27001の詳細は以下の記事をご覧ください。
なぜ今、ISMS認証が求められているのか?
近年、ISMS認証取得の重要性が増している理由は、「ISMS認証が自社サービスの安全性を客観的に証明できる仕組みだから」です。
ISMS認証は、国際規格であるISO/IEC 27001に基づいて情報セキュリティ体制を構築・運用し、その適合性を審査によって証明する制度です。そのため、客観的な裏付けをもって安全性を示すことができます。
ここでは、ISMS運用において客観的な裏付けが必要になっている背景を、2つの観点から解説します。
情報漏えいリスクが深刻化しているため
ISMS認証が求められている背景には、情報漏洩リスクの深刻化が挙げられます。ランサムウェアや不正アクセスなど、サイバー攻撃は年々高度化し、増加している状況です。
さらに、DXの推進やクラウド利用の拡大、リモートワークの普及により、情報資産の管理はより複雑になっています。パソコンやスマートフォンの紛失、災害によるシステム停止などもリスクの一つです。
情報漏えいが発生すれば、企業の信用低下や損害賠償につながる可能性があります。
そのため、組織全体で情報資産を管理する仕組みが求められるようになり、ISMS認証の取得が求められるようになってきたのです。
取引先選定の判断材料になるため
現在では、大手企業や公共機関との取引において、ISMS認証の有無が条件になるケースも増えています。情報を安全に扱える企業かどうかを判断するための、わかりやすい基準になるからです。
ISMS認証を取得していれば、第三者によって情報管理体制が確認されていることになります。そのため、取引先に安心感を与え、商談や契約を有利に進められる可能性が高まります。
このように、ISMS認証はただのセキュリティ対策ではなく、企業の信頼性を高め、事業機会を広げるための取り組みとして求められているのです。
ISMS認証で重視される「情報セキュリティの三要素」
情報セキュリティリスクを低減するISMSを構築・運用するためには、情報セキュリティの三要素(CIA)をバランスよく高めることが必要です。
そこで、ここでは情報セキュリティの三要素と呼ばれている「機密性」「完全性」「可用性」について解説します。
機密性(Confidentiality)
機密性(Confidentiality)とは、「アクセス権限をもつ者だけが情報にアクセスできる状態」のことです。一般的に情報セキュリティといえば思い浮かぶのは機密性で、「見せないようにする」という意味の要素です。
情報の流出や不正アクセスを防止する対策を取ることで、機密性は高まります。
機密性が重視される情報資産には、顧客や従業員などの個人情報や機密情報、企業秘密などが挙げられます。
完全性(Integrity)
完全性(Integrity)とは、「情報が最新かつ正確性を保ち、保護されている状態」のことです。古いデータや間違ったデータがなく、利用できる状態に保たれていることを指す要素です。
また、情報が改ざんや削除されないように維持することも大切です。
データ編集時に変更履歴の追跡・監査ができるシステムを導入したり、データのバックアップを定期的に行ったりする対策を取ることで、完全性は高まります。
完全性が重視される情報資産には、顧客情報や金融情報、製品・サービスに関する情報、法規制やコンプライアンスに関する情報などが挙げられます。
可用性(Availability)
可用性(Availability)とは、「アクセス権限をもつ者が、いつでも確認したい情報を利用できる状態」のことです。情報がどこにあるのかわからなかったり、都度上長の承認が必要であったりすることなく、いつでも情報を確認できることを指す要素です。
クラウドシステムやワークフローシステムの導入、データの定期的なメンテナンスの実施などの対策を取ることで、可用性は高まります。
可用性が重視される情報資産には、ワークフローに関する社内文書や製品・サービス情報データベースなどが挙げられます。
ISMS認証を取得するメリット
ISMS認証を取得するメリットは、以下のとおりです。
- 顧客や取引先からの信頼が高まる
- 入札・契約条件で有利になる
- 情報漏洩リスクを減らせる
- 社員のセキュリティ意識が向上する
ここでは、ISMS認証を取得するこれらのメリットについて、認証を取得しない場合と比べた変化や取得後の効果について解説します。
顧客や取引先からの信頼が高まる
最も大きな対外的メリットは、顧客からの信頼性向上です。ISMS認証を取得していることで、情報セキュリティに対して高いレベルの管理体制を有していることをアピールできます。
ISMS認証であれば、国際基準に基づいた第三者評価による認証を受けていると証明することが可能です。顧客や取引先に対して大きな安心感を与え、新規取引の獲得や長期的な関係性の構築においても優位性を担保できます。
入札・契約条件で有利になる
官公庁や大手企業の入札案件では、ISMS認証の取得が参加条件になっているケースがあります。また、取引先から取得を要請されることも少なくありません。
ISMS認証を取得していることで、契約上の要件を満たしやすくなり、新たなビジネスチャンスにつながります。
情報漏洩リスクを減らせる
最も大きな社内的メリットは、情報セキュリティリスクの低減です。ISMS認証の運用を通じて、組織内において情報資産を適切に管理する体制が整備されます。
その結果、顧客の個人情報や企業情報といった重大な企業機密が、不正アクセスや内部不正などによって流出するリスクを大幅に低減できます。
社員のセキュリティ意識が向上する
ISMS認証の要求事項には、従業員教育やセキュリティに関するルール整備が求められます。これまで曖昧な認識で取り扱ってきた情報資産において、適切なルールが明確化することで、社員のセキュリティ意識やモラルが自然と高まり、組織全体の情報セキュリティ文化の形成に役立ちます。
ISMS認証取得のデメリット
ISMS認証は多くのメリットをもたらしますが、一方でコストや運用上の負担といったデメリットも存在します。
- 初期コストと維持費用がかかる
- 文書作成やルール整備の負担がかかる
- 維持には審査が必須
ここでは、代表的な注意点を整理して解説します。
初期コストと維持費用がかかる
ISMS認証を取得する際には、以下のようなコストが発生します。
- 初期費用:審査費用、人件費、コンサルティング費用(任意)など
- 維持費用:毎年の維持審査、3年ごとの更新審査に伴う費用
特に中小企業においてはコスト面でのハードルを感じる企業も少なくありません。費用対効果を検討したうえで、ISMS認証の取得を目指しましょう。
また、上記の費用以外にも、設備やシステムの導入が必要になった場合はさらに費用がかかります。
文書作成やルール整備の負担がかかる
ISMS認証取得のために、規格要求事項に則ったISMSを整備する必要があります。その過程で、マニュアルや記録文書の作成や管理体制の運用、従業員への教育といったさまざまな準備が求められます。
こうした変化に対応する従業員の負担は大きくなるでしょう。自社に適していないマネジメントシステムを構築してしまうと、特に負担が大きくなる可能性があります。
維持には審査が必須
ISMS認証を維持するには、「最低年1回の維持審査」と「3年ごとの更新審査」を受ける必要があります。
これらの審査には費用がかかるだけでなく、審査対応のための準備や社内調整といった工数も発生するため、維持にはコストだけでなく人的な負担もかかることは留意しておきましょう。
ISMS認証とPマークの違い
Pマーク(プライバシーマーク)とは、個人情報保護マネジメントシステムにおける日本国内の認証制度です。日本情報経済社会推進協会(JIPDEC)が運営しており、個人情報保護のための管理体制を構築・運用している組織に、Pマークを付与しています。
ここでは、ISMS認証とPマークの違いについて解説します。
Pマークとの違い
ISMS認証とPマークは、どちらも情報管理に関する認証制度ですが、対象範囲や目的が大きく異なります。
まずISMS認証は、ISO/IEC 27001に基づき「組織が保有するすべての情報資産」を対象に、情報セキュリティ全般をカバーする点が特徴です。
一方、Pマークは、一般財団法人日本情報経済社会推進協会(JIPDEC)が運営する日本国内の認証制度で、個人情報の適切な取り扱いに特化しています。
【比較表】どちらを選ぶべきか?
ISMS認証の代表規格であるISO27001とPマークの違いについて、以下にまとめました。
| ISMS認証(ISO27001) | Pマーク | |
|---|---|---|
| 保護対象 | 情報資産全般(個人情報、技術情報、機密情報など) | 個人情報に特化 |
| 規格 | 国際規格(ISO27001) | 日本産業規格(JIS Q 15001) |
| 運営団体 | 国際標準化機構(ISO) | 一般財団法人日本情報経済社会推進協会(JIPDEC) |
| 認証範囲 | 組織全体だけでなく、事業所・部門単位など任意で設定可 | 企業全体 |
| 国際性 | 国際規格なので海外にもアピールできる | 日本独自の規格なので国内のみ |
どちらを選ぶべきか迷ったら、まずは「情報の保護範囲」「取引先や顧客からの要望」「事業の海外進出の有無」などの観点で判断する方法がおすすめです。
具体的には、組織全体の情報セキュリティを国際的な認証基準で証明したい場合はISMS認証、個人情報の取り扱いを国内で示したい場合はPマークが適しています。
ISMS認証は、どんな企業に向いている?
結論から言うと、顧客や取引先から「情報管理体制の信頼性」を求められる企業に向いています。
特に、ITサービス業やクラウド事業者、BtoB企業、大手企業と取引している企業、個人情報や機密情報を多く扱う企業が挙げられます。
ここでは、ISMS認証の代表規格であるISO27001を取得すべき企業タイプについて解説します。
官公庁や大企業との取引が多い企業
官公庁や大企業との取引を行う企業では、ISO27001の取得が参加条件や評価項目として設定されることが多いため、取得するケースが目立ちます。入札や契約上で、情報セキュリティ体制の信頼性を示す必要があるため、認証を取得していないと競争力が下がる場合があります。
このため、官公庁や大企業との取引機会を確保したい企業は、ISO27001の取得を検討することがおすすめです。
顧客情報・機密情報を扱う事業者
顧客情報や機密情報を多く扱う企業では、情報漏えいによる信用低下や損害リスクが事業の存続に直結します。第三者認証を取得することは、社内外に情報資産の適切な管理体制をアピールすることはもちろん、自社の長期的な事業継続においても欠かせない基盤となります。
自社の情報セキュリティ体制を強化し、自社の事業継続性を高めるために、顧客情報や機密情報を多く扱う企業はISO27001の取得が適しています。
SaaS・クラウドサービスを提供・利用する企業
クラウドサービスやSaaS事業者は、多数の顧客データを管理するため、情報セキュリティの体制が事業の信頼性に直結します。そのため、ISO27001を取得することで、自社の情報管理が国際的な基準に適合していることを示し、顧客からの信頼を確保する目的で取得する企業が多く見られます。
このあと紹介しますが、SaaS系ツールを提供する企業においては「ISMS認証の取得が契約に影響を与える可能性がある」という調査結果もあります。
SaaS・クラウドサービスを提供・利用する企業は、自社の情報セキュリティ体制の信頼性をアピールするために、ISO27001の取得は、ほぼ必須といえるでしょう。
ISO27001認証を取得している企業の特徴や実際に取得した企業の感想などは、以下の記事をご覧ください。
【1,000人の経営者に聞いた】ISMS認証は取得すべき?
ここまで、ISMS認証の概要を解説しましたが、「本当にISMS認証は情報セキュリティのために必要なのか?」と感じている方も多いでしょう。
そこで、ここでは約1,000人のIT系中小企業経営者を対象にしたISMS認証の一つであるISO27001に関するアンケート結果を紹介します。
「ISO27001がないことで、取引に失敗した経験がある」経営者が65.2%
まず、「ISMS認証の有無が新規取引の契約に与える影響」に関する質問とその回答を見てみましょう。
「ISO27001を取得することで、取引先や顧客からセキュリティに関する信頼が得られると思いますか?」と質問したところ、以下のような回答が得られました。
- はい(84.3%)
- いいえ(15.7%)
さらに、「ISO27001などの認証がないことで実際に契約に至らなかったことはありましたか?」と質問したところ、以下のような回答が得られました。
- はい(65.2%)
- いいえ(34.8%)
この調査結果から、ISO27001の取得は「対外的な信頼醸成」や「取引の拡大」に大きな影響を与えるといえるでしょう。
アンケート調査の詳細は、以下の記事をご覧ください。
関連マンガ:受注が上がらない!効率的な部門認証で、目指すは競合との差別化!
「ISO27001を取得していないSaaSツールの導入には消極的」経営者が66.5%
次に、「IT系企業経営陣がSaaS系ツール導入の際に重視すること」に関する調査結果を見てみましょう。
「SaaS系ツールの導入において、高いセキュリティレベルであることをどれほど重視しますか?」と質問したところ、以下のように約8割の方が、高いセキュリティレベルをSaaS系ツールに求めているという回答結果になりました。
- 『強く重視する(36.9%)』
- 『まあ重視する(46.3%)』
- 『あまり重視しない(11.4%)』
- 『まったく重視しない(5.4%)』
また、「ISO27001認証(ISMS)」を取得していないSaaS系ツールの導入は消極的ですか?」と質問したところ、以下のような回答が得られました。
- はい(66.5%)
- いいえ(33.5%)
今回の調査ではSaaS系ツールに限定した調査でしたが、システム化が推進されている昨今では、セキュリティ体制を証明する手段としてISMS認証の必要性が高まっているといえるでしょう。
SaaS系ツールに関する実態調査の詳細は、以下の記事をご覧ください。
ISMS認証の取得方法と流れ
ここでは、ISMS認証の準備~取得審査までの流れを解説します。
1.ISMS認証取得・適用範囲の決定
はじめに決めることは、ISMS(ISO27001)の認証を取得する適用範囲です。
ISMSでは、全社での取得以外にも、特定の部署や支店、プロジェクト単位などでも限定的に取得できます。例えば、顧客からの要望や入札条件などによりISMS認証が必要な場合、対象の拠点や部署、またはプロジェクトだけで認証する場合もあります。
全社で導入する負担が大きい場合は、まずは必要な範囲のみで取得しましょう。
また、ISMS認証取得に向けて自社の方針や目標を明らかにする「情報セキュリティ方針」と「情報セキュリティ目的」も決定します。企業によっては情報セキュリティポリシーとしてホームページ上に掲載している場合もあります。
認証を取得する組織の範囲を決定したら、プロジェクトメンバーを選定します。
ISMS認証取得時のプロジェクトメンバーは、下記のように構成されるのが一般的です。
- セキュリティ体制の構築業務担当者
- セキュリティ体制の構築に関する承認者(経営層などから選定)
- セキュリティ体制の運用実務担当者(教育責任者、システム管理者、内部監査員など)
- セキュリティ体制の運用を管理する事務局
ISMS認証では、技術情報を含むすべての情報資産が対象となるため、プロジェクトメンバーは情報システム部門から選出することをおすすめします。
2.現状の情報資産の洗い出し・対策方法の確認
現状、社内にある情報資産をすべて洗い出して、情報資産管理台帳に書き出します。ISMS認証取得のためには、情報資産に潜むリスクや、リスクに対する管理・情報セキュリティ対策方法について確認を行う必要があります。
紙の資料・書類に記載されている情報から、パソコンなどで作成してサーバーや記録媒体に保存しているデータまで、記録の形式は問わず、すべての情報が含まれます。
3.リスクアセスメント(リスクの予測、見積もり、評価の過程)
リスクアセスメントとは、「情報資産に対して、職場内において想定される危険をピックアップして、情報セキュリティレベルの評価、除去・低減を行うこと」です。
リスクアセスメントの手順を、以下にまとめました。
- 情報資産それぞれに起こり得るリスクを、情報資産管理台帳に取りまとめる。
- それぞれのリスクに見積もり・点数をつけて評価し、優先度を設ける。
- 優先度に沿ってリスク低減を実施する
リスクアセスメントは一度きりではなく、講じた対策の定期的な追跡を行い、新たに生まれたリスクについても検討する必要があります。
4.ISMS文書の作成
ここまでの工程で策定したものを規格要求事項の内容を踏まえて、社内で情報セキュリティマネジメントシステムを運用するための規定や、手順などの各種マニュアル文書を作成します。
また、適切な情報セキュリティ管理・運用を行うために、記録類の様式なども同時に作成します。
ただし、ISMSを取得する際には、組織の状況に合わせて適用除外が認められている項目もあるため確認が必要です。適用除外を明確にするための「適用宣言書」も併せて作成します。
5.ISMSの運用・社内教育
規定やマニュアルなどにまとめた内容に沿って、実際に社内で運用するには、社員への教育が欠かせません。
社内教育を通して自社のISMSへの理解を深めたうえで、業務に落とし込んで運用する必要があります。実務でマネジメントシステムを一巡させられれば、社員の理解度向上につながります。
6.内部監査
内部監査は、「社内でISMSの規定やルールに沿った運用が行われているか」「適用範囲内の社員が、情報セキュリティの知識を有しているか」などを評価するために、社内で行う監査です。
社内で内部監査員を選任して構成した内部監査チームもしくは外部の専門家に依頼することで、内部監査を行います。内部監査によって問題点が指摘された場合、対策を行ったうえで報告する必要があります。
7.マネジメントレビュー
社長や執行役員など会社の代表者は、内部監査による報告や実際の運用状況を確認したうえで、マネジメントレビューを行います。
マネジメントレビューとは、「企業が行ってきた活動を振り返り、現状の課題の整理や問題点を考察し、マネジメントシステムの見直しを行うこと」です。トップマネジメントが、自身のリーダーシップに基づいて判断を下し、マネジメントレビューを実施する必要があります。
8.認証審査
ISMS認証の認定審査は、二段階に区分されています。「第一段階審査を合格→第二段階審査を合格→認証取得」という流れになります。
第一段階審査
文書審査がメインで、マニュアルや手順書などの情報セキュリティマネジメントシステムを規定した文書が、「ISO27001の規格要求事項に適合しているか」を審査します。
また、規格要求事項に則していても、組織に適した文書になっていないと意味がありません。規格、組織両方にマッチした文書となっているか、念入りに確認されます。
近年は、文書作成が必須ではなく、必要に応じて作成するようになった影響から、第一段階審査で現地審査が実施されることもあります。
第二段階審査
認証審査員が取得範囲の部署の社員に対して、マネジメントシステムの実際の運用状況を確認する審査工程です。
運用に不備があるとISMS認証機関から是正の指摘を受けるため、それらに対応すれば審査が終了します。
認証登録されるまでの期間は、一般的に3ヵ月程度が目安です。
ISMS認証を取得する期間と費用相場
ISMS認証を取得する期間と費用相場を解説します。
ただし、取得するISMS認証やコンサルに依頼するかどうか、適用範囲、組織の規模などによって大きく異なるため、あくまで目安として参考にしてください。
取得期間
ISMS認証の取得にかかる期間は、自社取得の場合には1年以上かかることもあります。コンサル取得の場合には半年程度が目安です。
取得するには、各ISMS認証の要求事項を満たすISMSを構築し、実際に運用することが求められます。内部監査やマネジメントレビューをし、その後、審査機関の審査員による審査に通過することで取得できます。
費用相場
審査費用は審査機関や適用範囲により異なりますが、費用相場は50~100万円程度です。
ISMS認証を取得する際には、「審査費用」や「ISMS構築・運用にかかる人件費」が必須でかかります。また任意でかかる費用には、コンサルに依頼する場合の「コンサルティング料」や「設備投資費」があります。
以下の記事で、ISO27001とPマークの取得費用を詳しく解説しています。
まとめ
ISMS認証を取得することで、顧客からの信頼度の向上や差別化、そして説明責任を果たすことができます。
何よりも、第三者の評価を受けていることから信頼性が高いといえるでしょう。また、取引条件として提示されることも増えているので、取得することで売上機会の向上が期待できます。
ただし、業務負荷やコストの増加などのデメリットも忘れてはなりません。これからISMS認証の取得を考えているのであれば、メリット・デメリット双方を考慮して検討をしましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
品質保証を主体としたマネジメント業務を通じて、大企業/中小企業のISO9001/IATF16949/ISO14001/ISO27001認証取得に対応したマネジメントシステムの導入と人材育成に長年従事。 定年退職を機に、経営から現場までのマネジメント経験と知識を活かして、マネジメントシステム構築を通じてクライアント企業へ貢献すべく、ISOプロのコンサルタントとして活動をスタート。
また、JIS規格は、ISO規格の要求事項を正しく解釈して用いることができるように、注記の追加や解説を記載することができます。