【完全版】ISMS認証とは？Pマークとの違いや取得の流れを解説

ISMSを取得するにはプロのコンサルティング業者にサポート依頼するのがおすすめ
ISMS取得には、情報セキュリティマネジメントシステムの構築と運用をしたのち、審査を受ける必要がある

ISMSという言葉をニュースなどで耳にしたことはあるでしょうか。
ISMSとは情報セキュリティを管理する仕組みのことで、正式名称は「Information Security Management System」です。情報セキュリティの管理を適切に行っているという信頼を対外的に得るために、このISMSの取得を目指す中小企業が増えています。ISMS取得のために、ある日突然担当者に任命されるなんてことも起きてしまうかもしれません。

ここでは、ISMS認証のメンバーに任命されてから、認証取得を受けるまでの必要な基本的な流れや認証するメリット・デメリット、取得にかかる費用相場について、詳しく解説していきます。

関連記事：【初心者向け】ISMSとは？規格やISOとの違いを徹底解説

ISMS認証とは
- 情報セキュリティの三要素
情報セキュリティの必要性
ISMSとISO27001・Pマークとの違い
- ISO27001との違い
- Pマーク（プライバシーマーク）との違い
ISMS認証取得の流れ
ISMS認証取得にかかる費用・期間
- ISMS認証取得にかかる費用
- ISMS認証取得にかかる期間
ISMS認証を取得する方法
- 自社取得
- コンサルタントに依頼
ISMS認証を取得するポイント
- 要求事項をよく理解する
- 社内の連携を高める
ISMS認証を取得するメリット・デメリット
- メリット
- ISMS認証を取得するデメリット
ISMS認証の取得企業
まとめ

ISMS認証とは

ISMS認証とは、「情報セキュリティマネジメントシステムにおける要求事項が決められている規格や評価制度」のことです。

情報セキュリティ認証のうち代表的な規格の一つとして、国際規格であるISO27001が挙げられます。ISO27001を取得するためには、定められているISMSに関する要求事項を満たすことが必要です。

情報セキュリティの三要素

ISO27001の要求事項を満たしたISMSを構築・運用することで、情報セキュリティの三要素である「機密性」・「完全性」・「可用性」をバランスよく高められます。

機密性：特定の社員だけが情報へアクセスできるように許可されている状態
完全性：情報資産が常に正確で最新の状態で維持できている状態
可用性：必要なときに、必要な人が、いつでも情報資産を使用できる状態

情報セキュリティの必要性

それでは、実際の企業は情報セキュリティの必要性を感じているのでしょうか。
従業員数300人以下のIT系中小企業経営者を対象にした「自社の情報セキュリティ管理の課題」に関する実態調査を実施したところ、約30％の経営者が「自社の情報セキュリティ対策は万全か？」という回答に「いいえ」と回答しました。

さらに、「いいえ」と回答した経営者に情報セキュリティ体制が万全でないと考える理由を質問したところ、以下のような回答が得られました。

データや書類の保管・破棄に関するルールが明確に定まっていないため（36.3％）
オフィス以外にデータを持ち出せる状態のため（35.0％）
実際に問題が発生したことがあるため（26.8％）
データへのアクセス権を適切に設定できていないため（24.3%）
会社としてセキュリティリスクへの対応方針を策定していないため（22.4%）

こうした理由から、情報セキュリティリスクである情報の流出やサイバー攻撃、不正アクセスなどのリスクに対し、低減するシステムを築くことが求められているのです。

また、「ISO27001などの認証を取得していないことで、契約に至らなかった」と回答した方が、65.2%もいました。

この結果からわかるように、今後はIT業界以外でも情報を多く取り扱う企業であれば、ISMS認証などの認証を取得することが情報セキュリティ体制の信頼性を得るために重要であるといえるでしょう。

詳しい調査結果は下記からご覧いただけます。

ISMSとISO27001・Pマークとの違い

ISMSと混同しやすい認証規格にISO27001とPマークがあります。ここでは、ISMSとISO27001・Pマークとの違いを解説します。

ISO27001との違い

ISO27001は、ISO（国際標準化機構）が発行している国際規格の一つです。情報セキュリティリスクに対し、有効なISMSを構築・運用するための要求事項を示しています。

そのため、ISMSとISO27001の違いとは、「仕組み」か「規格」かという点です。わかりやすくまとめると、「機密性・完全性・可用性をバランスよく高めていくために、どのようにISMSを構築・運用していけばよいのか」を示しているのがISO27001と覚えておきましょう。

Pマーク（プライバシーマーク）との違い

Pマークとは、個人情報保護マネジメントシステムに関する日本国内で有効な認証制度です。個人情報を保護する体制を構築・運用している組織を認証し、Pマークを付与しています。

ISMSとPマークには、ISO27001と同様に「仕組み」か「規格」かという点に加えて、「保護対象」と「取得範囲の対象」の違いがあります。
Pマークの保護対象が個人情報に限定されているのに対し、ISMSは個人情報だけでなく、組織が保有する情報資産すべてです。
また、Pマークの取得範囲の対象が法人ごとの取得であるのに対し、ISMSでは取得範囲を組織ごとに決められます。例えば、本社や営業部など、支社や部門単位でも取得が可能です。

ISMS認証取得の流れ

ISMS認証を取得するための流れとして、まず組織としてどのような情報セキュリティを構築するのか検討する必要があります。

1.ISMS認証取得・適用範囲の決定

はじめに決めることは、ISMS（ISO27001）の認証取得をする適用範囲です。
ISMSでは、全社での取得以外にも、特定の部署や支店などで限定的に取得することもできます。例えば、顧客からの要望や入札条件などによりISMS認証が必要な場合、対象の拠点や部署だけが認証されていればよい場合もあります。全社で導入する負担が大きい場合は、必要な範囲のみで取得しましょう。

また、ISMS認証取得に向けて、自社の方針や目標を明らかにするために、情報セキュリティ方針と情報セキュリティ目的を決めます。企業によっては情報セキュリティポリシーとしてホームページ上に掲載している場合もあります。

2.現状の情報資産の洗い出し・対策方法の確認

社内には、情報資産というものが非常に多く存在しています。個別の担当者レベルでしか把握できていないものもあるかもしれません。
現状、社内にある情報資産をすべて洗い出して、情報資産管理台帳に書き出しましょう。ISMS取得のためには、それら資産がもつリスクや、リスクに対する管理・情報セキュリティ対策方法について確認を行う必要があります。

3.リスクアセスメント（リスクの予測、見積もり、評価の過程）

続いては、リスクアセスメントについて説明します。リスクアセスメントは上記で洗い出した情報資産に対して、職場内において想定される危険をピックアップして、情報セキュリティレベルの評価、除去・低減を行うことです。情報資産それぞれに起こり得るリスクを、台帳に取りまとめましょう。

そして、それぞれのリスクに見積もり・点数をつけて評価し、優先度を設けます。点数化は必ずしもやる必要はありませんので、組織のやり方に合わせて実施すればよいです。優先度に沿ってリスク低減を実施していきましょう。
また、リスクアセスメントは一度きりではなく、定期的な対策の追跡や、新たに生まれたリスクなどについて検討をしていく必要があります。

4.ISMS文書の作成

ここまで議論や評価を行ってきたものを踏まえて、社内で情報セキュリティマネジメントシステムを運用するための規定や手順などの各種マニュアル文書を作成していきます。これは、認証審査での要求事項も踏まえて作成していく必要があるでしょう。

また、適切な情報セキュリティ管理・運用を行うために、記録類の様式なども同時に作成が必要です。そしてISMSを取得する際に、組織の状況に合わせて適用除外が認められている項目もあります。適用除外を明確にするための、「適用宣言書」が必要なので忘れないようにしましょう。

関連記事：ISO27001で作成すべきマニュアル文書一覧

5.ISMSの運用・社内教育

規定やマニュアルなどにまとめた内容に沿って、実際に社内で運用してみましょう。
ただし、いきなり運用を始めても社員は理解できません。
社内教育などを通して自社のISMSへの理解を深めさせたうえで、運用していく必要があります。
実務でマネジメントシステムを一巡させられれば、概ね社員の理解は高まるでしょう。

6.内部監査

社内で内部監査員を選任して構成した内部監査チーム、もしくは外部の専門家に依頼することで、内部監査を行います。
社内でISMSの規定やルールに沿った運用が行われているか、適用範囲内の社員が情報セキュリティの知識が周知しているかなどを判定するためです。
内部監査によって問題点が指摘された場合、該当部署は対策を行ったうえで報告しなければなりません。

7.マネジメントレビュー

社長など会社の代表者は、内部監査による報告や実際の運用状況を確認したうえで、マネジメントレビューを行います。
マネジメントレビューでは、単なる規格に沿った事実を述べるだけではいけません。リーダーシップにもとづいてトップ自らの責任による判断を下し、マネジメントレビューをアウトプットしましょう。

関連記事：マネジメントレビューとは？規格や実施メリット、注意点などを解説

8.認証審査

ISMS認証の認定審査は二段階です。

第一段階審査

文書審査がメインで、マニュアルや手順書などの情報セキュリティマネジメントシステムを規定した文書が、「ISO27001の規格要求事項に適合しているか」審査します。また、規格要求事項に則していても、組織に適した文書になっていないと意味がありません。規格、組織両方にマッチした文書となっているか、念入りに確認されます。

第二段階審査

認証審査員が取得範囲の部署の社員に対して、マネジメントシステムの実際の運用状況を確認します。運用に不備があるとISMS認証機関から是正の指摘を受けるので、それらを対応して審査終了です。
第一段階審査、第二段階審査を経て認証登録がされるまでの期間は、3ヵ月程度が目安となっています。

関連記事：ISMSの取得審査とは？費用、期間、不適合の条件を解説

ISMS認証取得にかかる費用・期間

ISMS認証取得にかかる費用や期間の相場について紹介します。

ISMS認証取得にかかる費用

ISMS認証取得には、必ず審査費用がかかります。審査費用は、取得する事業規模や審査機関によって異なりますが、相場は50～100万円程度です。
また、取得のサポートをコンサルティング会社に依頼する場合には、審査費用にコンサルティングの依頼料がかかってきます。

ただし、コンサルタントに依頼した方が、自主取得よりも費用総額を抑えられることが多くあります。それは、自主取得の場合には自社の人員がISMS認証にかかる作業をすべて行わなければならず、取得にかかるおよそ1年以上の間、本業に集中できなくなるためです。その結果、目に見えにくい人件費コストが肥大化し、コンサルティング会社に依頼するよりも高額になることが多いのです。

ISMS認証取得にかかる期間

ISMS認証取得にかかる期間は、会社の規模やISMSの適用範囲、自社取得かコンサル取得かによって異なるため、あくまで目安になりますが一般的に自社取得の場合には1年～数年程度の期間がかかります。
一方、コンサルティング業者に依頼する場合には、一般的に6か月程度です。

ISMS認証取得までは、以下のようなスケジュールを目安として進めます。

ISMS認証取得の準備：約1か月～2か月
ISMSの構築・運用：約4か月～1年
審査から認証取得：約3か月～4か月

ISMS認証を取得する方法

ISMS認証を取得する方法には、「自社取得」と「コンサル取得」があります。ここではそれぞれの特徴を解説します。

自社取得

自社取得とは、自社の従業員の中からISO担当者を選定し、社内ですべての工程を行って取得することです。
すべての工程を社内で完結させるため、大きな労力と負担がかかります。特にISO規格やISMSに関する知識や経験、スキルがない場合には1年～数年以上の時間がかかる場合もあります。

そのため、「はじめてISO規格を取得する」「最小限の負担で取得したい」「確実な取得を目指したい」といった場合には、コンサルに依頼することがおすすめです。

コンサルタントに依頼

コンサル取得とは、ISO27001やPマークにおけるプロのコンサルティング業者に認証取得支援サポートを依頼して取得することです。

ISMS認証を取得する場合には、規格要求事項をよく理解したうえで、自社の実情に合わせてISMSを構築・運用しなければなりません。そのため、ISMS認証におけるノウハウがない場合には、コンサルに取得サポートを依頼することがおすすめです。

一般的にコンサル依頼料として月額料金がかかりますが、ISMS認証取得にかかる業務の多くを請け負ってもらうことが可能です。外注費が月数万円というコンサルティング会社もあるため、月数十万円の人件費を支払うよりも安価に収まるケースも少なくありません。

また、認証取得コンサルティング業者に依頼することで、ISMS認証の審査通過の確実性が増すだけでなく、依頼先に拠っては自社の実情に適したマネジメントシステムの構築が期待できます。

取得するためだけでなく、取得後に機能するマネジメントシステムを構築するために、「コンサル取得」がおすすめなのです。またコンサルタント選びも非常に重要となります。

自社取得とコンサル依頼の詳細は、以下の記事をご覧ください。

ISMS認証を取得するポイント

ISMS認証を取得する際のポイントを解説します。

要求事項をよく理解する

ISMS認証を取得する場合には、ISO27001やPマークの要求事項をしっかりと理解することが必要です。というのも、どちらの規格も要求事項を満たした情報セキュリティマネジメントシステムを構築・運用しなければ取得審査で認証されないためです。

ISO27001の場合には、要求事項と管理策がセットになっています。そのため、管理策についても確認し、自社に適した管理策を選定して実施します。深い理解がなければ、思ったような効果につながらない可能性があるため、まずはしっかりと要求事項の内容を把握しましょう。

社内の連携を高める

ISMS認証を取得する際、全社的に取得するのではなく部署や事業所などの範囲を決めて取得する企業も多いでしょう。その場合にも対象部署や事業所だけでなく、関連部署の協力が必要になることがあります。

取得後もISMSを運用する中で、継続的な社内の連携が求められるでしょう。そのため、ISMS認証を取得する重要性を周知し、教育することが大切です。

ISMS認証を取得するメリット・デメリット

ISMS認証を取得するメリット・デメリットについて解説します。

メリット

ISMS認証を取得することにより、主に以下のようなメリットを受けられます。

対外的な信頼の醸成

情報セキュリティ体制を構築することは、企業の社会的な役割の一つになっています。ISMS認証を取得すると、自社の情報セキュリティにおける取り組みを第三者から評価されていることになるため、対外的な信頼を獲得することにつながるでしょう。

情報セキュリティリスクの低減

社内の情報資産において、どのようなリスクがあるのかを洗い出し、評価するリスクマネジメントを実施します。把握したリスクにおいて、リスク対策を行うことで、不正アクセスやサイバー攻撃、情報漏えい、改ざんといった情報セキュリティリスクを低減できます。

業務効率化につながる

情報セキュリティマネジメントシステムを構築・運用する過程で情報セキュリティを構成する三要素をバランスよく高められます。
完全性は「情報資産の正確さと最新状態の維持」を指しているため、情報が整理整頓されている状態となり、業務効率化につながるでしょう。

社員の情報セキュリティリテラシーの向上

情報セキュリティ体制の構築・運用において、社員への情報セキュリティ教育が実施します。情報管理に必要な能力を培ったり、情報セキュリティ意識が高まったりすることで、情報セキュリティリテラシーの向上が見込めます。

ISMS認証を取得するデメリット

ISMS認証を取得にあたり、発生する可能性があるデメリットについても把握しておきましょう。

マニュアルやルール、文書が増える

ISMS認証を取得するためには、基本的に93個の管理策に対応することが必要です。そのため、新たなマニュアル・ルールの策定や記録文書の作成が求められることがあります。

従業員の業務負荷が増加する

ISMS運用がうまくいかないと、管理が煩雑になるとともに運用する従業員の業務負荷が増加する可能性があります。

取得後にも費用がかかる

ISMS認証の初回認証審査前には、審査費用や人件費、コンサルティング費用などがかかります。しかし、審査に通過したあとも、毎年、維持審査や更新審査を受けることが必要なため、審査費用が必要です。

ISMS認証を取得するメリット・デメリットの詳細は以下の記事をご覧ください。

関連記事：ISMS認証を取得するメリット・デメリット

ISMS認証の取得企業

ISMS認証のうち、ISO27001の認証取得組織情報を確認するには、日本国内のISMSを管轄する「情報マネジメントシステム認定センター」のホームページにある「ISMS認証取得組織検索」からチェックできます。2024年10月22日現在では、取得企業登録数は7,968社、実際にISO27001の取得を公表している会社は7,561社です。