ISMS認証とは?取得するメリット・デメリットや取得企業数、導入方法も解説
- ISMSとは、企業の情報資産を保護するための仕組み
- ISMS認証を取得することで、取引先からの要求に応え、顧客からの信頼性の向上などのメリットを得られる
昨今、情報漏えいなどのさまざまな重大問題が発生しています。そのため、情報セキュリティレベルを向上させるためにも、ISMS
認証
は非常に有効であるといえるでしょう。
しかし、一部では情報セキュリティレベルさえ向上できれば、「わざわざISMS認証を取得する必要はないのでは」という意見もあるようです。
では、ISMS認証を取得するメリット・デメリットはどのようなものがあるのでしょうか。この記事では、ISMS認証のメリット・デメリットを中心に、取得企業数、導入方法なども解説します。
目次
情報セキュリティを向上させる「ISMS認証」とは
ISMSとは、情報セキュリティマネジメントシステム
(Information Security Management System)の略称です。ISMSでは情報セキュリティを構築している「機密性
」・「完全性
」・「可用性」をバランスよく高めることで、情報セキュリティリスクを低減する仕組みづくりを目指します。
ISMS認証とは
ISMS認証制度とは、ISO27001
やPマークなど要求事項に則った情報セキュリティマネジメントシステムを構築・運用し、認証機関の認定
審査を受けることで取得できる認証のことです。
つまり、認証取得すると、組織単位で
リスクアセスメント
を行い、「情報セキュリティ向上の仕組みを運用できている」ということを対外的にアピールできます。
ISO27001とは
ISO 27001はISMSに関する国際規格 です。国際標準化機構(ISO)が運営しており、情報セキュリティ全般を網羅したISMSを構築・運用するためのフレームワークとなっています。
日本のISO27001の認定機関
は「一般社団法人情報マネジメントシステム認定センター(ISMS-AC)」です。ISMS-ACの認定を受けた認証機関の審査を受け、要求事項を満たしていると判断されればISMSの認証登録がされます。ただし、審査は1度きりではなく、1年に1回の継続審査、そして3年に1回の再認証審査を受ける必要があります。
また海外の認定機関から認定を受けている認証機関でも審査が可能です。
ISO27001の詳細は以下の記事をご覧ください。
Pマーク(プライバシーマーク)とは
Pマークとは、個人情報保護マネジメントシステムにおける日本国内の認証制度です。個人情報保護のための管理体制を構築・運用している組織に、Pマークを付与しています。
Pマークは「日本情報経済社会推進協会(JIPDEC)」が付与機関です。
また、Pマークの有効期間は2年間となっているため、有効期間が終了する8カ月前~4カ月前の間に、更新申請を行う必要があります。
Pマークの詳細は、以下の記事をご覧ください。
ISMS認証を取得する必要性
ISMS認証の概要を解説しましたが、そもそもなぜISMS認証を取得した方が良いのでしょうか。ここでは、ISOプロを運営するNSSスマートコンサルティング株式会社が実施した実態調査をもとに、ISMS認証の必要性を解説します。
取引拡大にISMS認証取得の有無が影響を与える
従業員数300人以下のIT系中小企業経営者を対象にした「自社の情報セキュリティ管理の課題」に関する実態調査によると、ISMS認証の有無が新規取引の際にも大きく影響すると考えられます。
実態調査の中でも、以下の4つの質問への回答では特にISMS認証の取得の必要性が感じられます。
| 質問内容 | 「はい」と答えた割合 | 「いいえ」と答えた割合 |
|---|---|---|
| 新規取引の際、セキュリティチェックシートの提出を求められたことがあるか? | 50.5% | 49.5% |
| (上記ではいと答えた方のうち)上記の際にスムーズに対応できたか? | 49.4% | 50.6% |
| ISO27001取得により、取引先や顧客からセキュリティに関する信頼が得られると思うか? | 84.3% | 15.7% |
| ISO27001などの認証がないことで、実際に契約に至らなかったことはあるか? | 65.2% | 34.8% |
新規取引の際、セキュリティチェックシートの提出を求められることも増えてきました。このとき、スムーズに対応するにはISMS認証に沿ったマネジメントシステムを構築・運用するなどして自社のセキュリティ体制が適切に管理していることが求められます。
また、ISO27001取得により、対外的な信頼を得られると回答した経営者は8割以上、取得していないことで契約できなかったことも6割以上にのぼります。これほど多くの経営者自身が実感しているほど、新規取引を契約するかどうかを決める要素として、ISMS認証の取得は重要であるといえるでしょう。
実態調査の詳細は、以下の記事をご覧ください。
SaaS系ツールはISO27001の取得が重視される
IT系企業の経営陣・経営幹部を対象に実施した「IT系企業経営陣がSaaS系ツール導入の際に重視すること」に関する調査によると、SaaS系ツールの選定にはISO27001の取得が重視されると考えられます。
実態調査の中でも、以下の4つの質問への回答では特にセキュリティ対策やISMS認証の取得の必要性が感じられます。
| 質問内容 | 強く重視する | まあ重視する | あまり重視しない | まったく重視しない |
|---|---|---|---|---|
| SaaS系ツールの導入において、高いセキュリティレベルであることをどれほど重視するか? | 36.9% | 46.3% | 11.4% | 5.4% |
| 質問内容 | 「はい」と答えた割合 | 「いいえ」と答えた割合 | ||
| 「ISO27001認証(ISMS)」を取得していないSaaS系ツールの導入は消極的になるか? | 66.5% | 33.5% | ||
SaaS系ツールにおいては、高いセキュリティレベルを望むという声が約8割にもなるという回答結果になりました。
また、その中でもISMS認証であるISO27001を取得しているかどうかは、SaaS系ツールを選定する際の基準になっていることがうかがえます。今回の調査ではSaaS系ツールに限定した調査でしたが、システム化が推進されている昨今では、セキュリティ体制を証明する手段としてISMS認証の必要性が高まっているといえるでしょう。
SaaS系ツールに関する実態調査の詳細は、以下の記事をご覧ください。
ISMS認証(ISO27001)の取得企業数
最新のISMS認証(ISO27001)の取得企業数は、「情報マネジメントシステム認証センター」から確認できます。2023年12月20日現在では、取得企業登録数は7,625社、ISO27001の取得を公表している会社は7,230社にのぼっています。
IT技術の進歩や普及により、情報セキュリティを重視する動きは加速しており、ISO27001の取得企業数は毎年増加傾向です。
そのため、ITサービス業や人材派遣業、金融業、その他個人情報や機密情報を扱う企業であれば、業種問わずに取得がおすすめといえます。
ISO27001取得企業数や取得が多い業種については以下の記事をご覧ください。
ISMS認証取得のメリット
ISMS認証を受けるメリットとしては、対外的なものと社内的なものの2種類あります。対外的なメリットとしては、次の通りです。
対外的なメリット
- 顧客からの信頼性の向上
- 他社との差別化
- 情報セキュリティに関する説明責任
- 取引条件のクリア
最も大きな対外的なメリットは、顧客からの信頼性向上です。ISMS認証をしていることで、情報セキュリティに対して一定のレベルを有していることがアピールできます。
つまり、顧客からの信頼性を高めるだけではなく、他社との差別化によるアピールポイントとなるでしょう。
また、言葉で「情報セキュリティ対策について取り組んでいる」といっても、説明としては十分とはいえません。国際基準に基づいた第三者評価の認証を受けているということで、情報セキュリティへの取り組みについての信用度が高まります。
官公庁の入札案件のなかには、ISMS認証を取得していることを参加条件に課しているケースもあります。
また、取引企業から認証の取得を求められることもあるでしょう。そのため、ISMS認証を取得することで、売上機会に恵まれる可能性があります。
社内的なメリット
一方、社内的なメリットとしては、次のようなものが考えられます。
- 情報セキュリティリスクの低減
- 従業員の意識やモラルの向上
- 業務効率の向上
最も大きな社内的なメリットは、情報セキュリティリスクの低減です。
顧客の個人情報や企業情報といった重大な企業機密を、マネジメントシステムによって適切に扱うことができるようになります。
また、従業員の情報セキュリティ意識やモラルの向上に役立ってくれることでしょう。
さらに、誰がどの情報を有しているのかを業務フローに組み込むことで、業務の効率化による労働生産性の向上が期待できます。つまり、情報セキュリティを高めることが、結果として企業の利益へとつながるというメリットがあるのです。
ISMS認証取得のデメリット
ISMS認証取得には、もちろんデメリットもあります。主なデメリットとしては、次の通りです。
- 業務負荷の増大
- コストの増大
- マニュアルや文書が増える
ISMS認証の取得リスクとして最も大きいのが、業務負荷とコストです。
ISMS認証取得のためには、93個の管理策に対応するために、さまざまなマニュアルや記録文書が必要となります。こうした変化に対応する従業員の負担は大きくなるでしょう。自社に適していないマネジメントシステムを構築してしまうと、特に負担が大きくなる可能性があります。
さらに、ISMS認証を継続するためには、毎年審査費用を支払う必要があります。似たような情報セキュリティに関する認証であるPマークと比べても、企業規模によってはコストがかかるでしょう。
ISMSを導入する方法
ISMS認証を取得するには、審査の前にISMSを構築・運用する必要があります。ここでは、ISMS認証の審査を受ける前に行う準備について解説します。
1.ISMSの構築フェーズ
構築フェーズでは、まず取得における認証範囲を決定します。例えば、「全社での取得か」「特定の部署や支店で取得するのか」という点です。
また、社内における情報資産の洗い出しと、それらにおけるリスクアセスメントを実施し、起こりえるリスクを整理していきます。対策すべき点においては手順やルールについて文書化することが必要です。
2.ISMSの運用フェーズ
運用フェーズでは、構築フェーズにおいて決めた方針や目標、ルール・マニュアルに沿って運用していきます。そのためには社員に理解してもらうために社員教育を実施することが必要です。
また、運用において的確に評価・改善していくために日々の運用記録をつけることも欠かせません。運用における問題点を把握するには内部監査 、マネジメントレビューなどを通じて、構築したISMSをより有効なシステムに改善していくことが求められています。
3.ISMSの審査フェーズ
審査フェーズでは、審査を受けるISMS認証機関を選定する必要があります。認証機関によって得意な分野や費用などが異なるため、見積もりを取りましょう。選定基準は、自社のISMSの発展のために最も適していると納得した機関にすることがおすすめです。
認証機関の違いについての詳細は以下の記事をご覧ください。
より詳しい認証取得の方法は、以下の記事をご覧ください。
ISMS認証を取得する期間と費用相場
最後にISMS認証を取得する期間と費用相場を解説します。ただし、取得するISMS認証やコンサルに依頼するかどうか、適用範囲、組織の規模などによって大きく異なるため、あくまで目安として参考にしてください。
取得までにかかる期間
ISMS認証の取得にかかる期間は、自社取得の場合には1年以上かかることもあります。コンサル取得の場合には半年程度が目安です。
取得するには、各ISMS認証の要求事項を満たすISMSを構築し、実際に運用することが求められます。内部監査やマネジメントレビューをし、その後、審査機関の審査員による審査に通過することで取得できます。
取得にかかる費用相場
ISMS認証を取得する際に、必ずかかるのが審査費用と、ISMS構築・運用にかかる人件費です。コンサルを依頼すると別途コンサルティング料がかかりますが、自社で行う工数を抑えられるため、自社の人件費を大きく減らせる可能性があります。
審査費用は審査機関や適用範囲により異なりますが、50~100万円程度の金額が費用相場です。
以下の記事で、iSO27001とPマークの取得費用を詳しく解説しています。
まとめ
ISMS認証を取得することで、顧客からの信頼度の向上や差別化、そして説明責任を果たすことができます。
何よりも、第三者の評価を受けていることから信用性が高いといえるでしょう。また、取引条件として提示されることも増えているので、取得することで売上機会の向上が期待できます。
ただし、業務負荷やコストの増加などのデメリットも忘れてはなりません。これからISMS認証の取得を考えているのであれば、メリット・デメリット双方を考慮して検討をしましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい