NSS株式会社 サービスサイト

各種ISO取得、運用サイト【ISOプロ】

Yahoo検索ランキング1位 イプロスカタログランキング1位

ISMS認証とISO27001は一緒なのか?

ISOプロ担当者

3

この記事は2018年1月25日に更新されました。

情報セキュリティマネジメントシステムを構築する時、このような疑問を持たれる方も少なくないでしょう。

「よく情報セキュリティの認証規格としてISMSとISO27001という言葉が出てきますが、マネジメントシステムとしては同じものですか?」という疑問です。

実際に、Googleなどでこの言葉(ISMS)を入力して検索してみると、ISO27001に関する解説が出てきます。

結論から申し上げますと、この情報セキュリティに関わる2つの言葉はほぼ一緒の意味です。ここからは、情報セキュリティに関する2つの言葉の意味を解説していきます。

ISMS認証とは何?

「Information Security Management System」の頭文字を取った略称で、日本語にすると「情報セキュリティマネジメントシステム」です。

近年、悪質なハッカーによる攻撃や情報漏洩などといった、企業や組織の情報セキュリティを脅かすような被害や管理上のリスクが多くなっています。ISMSは、こうした犯罪や管理上のリスクから企業を守るための情報セキュリティを管理する仕組みを規定する言葉として用いられています。

情報セキュリティ規格ISO27001とその要求事項

2005年にISO(国際標準化機構)とIEC(国際電気標準会議)が共同で定めた、情報セキュリティの管理に関する国際規格です(ISO/IEC27001:2005)。

全てのISO規格の要求事項に共通する概念として、「機密性・完全性・可用性という3つの性質を維持する」という言葉があります。

ただ、これだけではどのようにリスクの管理を実施すればいいのかが分からないという人がほとんどでしょう。

そこで、先述した「機密性・完全性・可用性という3つの性質を維持するための手順や方法(要求事項)」が定められ、それらの管理上の事項を記したものがISO27001です。

また、その他に「JIS Q 27001:2006」という名称で呼んでいるところや、「JIS Q 27001を取得」もしくは、ISOとIECを併記し「ISO/IEC27001を取得」というふうに書いている企業もあります。

これらについては、英語で書かれているか日本語で書かれているかの違いだけで、内容としてはほぼ同一のものです。

ISO規格は2005年に、ISOを日本語にした「JIS Q 27001」は2006年に誕生し、現在は「ISO/IEC27001:2013」もしくは「JIS Q 27001:2014」が基準となっています。

どうして「ほぼ一緒の意味」なのか?

先述したように、これまで築き上げてきた情報資産(紙媒体や、ハードディスクなどの電子的媒体などに保存された管理情報、ソフトウェア、特許や企業が独自に構築したノウハウなど)をリスク回避や保護を目的とする管理の仕組みを構築して、実施運用するための国際規格が、ISO/IEC27001です。

しかし、日本ではそれ以前に「ISMS適合性評価制度」という制度が設けられており、そのISO規格の要求事項などが制定されるまでは、独自の認証基準である「ISMS適合性評価制度」によって評価・審査・認証を実施してきた経緯があります。

2005年に国際規格(ISO/IEC27001)が発行されたことで、これまでの独自の認証基準はISOに吸収される形で消滅しました。

ただ、現在ではISMSを整備することで、「情報セキュリティを管理することを目的とした体制を構築している」ことにつながることから、2つの言葉は同じ意味として用いられています。

人材派遣業での現状

日本では、全業界で約5,000社も企業や組織がISO27001の要求事項に沿った組織管理をしています(登録企業ベース)。その中で、人材派遣業を登録範囲としている企業は300社以上あります。

この業界では、人材派遣大手企業や組織の多くがすでに取得していて、現在は中小企業や組織が取得のための審査を実施しているのが現状です。

人材派遣業の特徴としては、管理する全組織を挙げて取得作業を進めているところと、本社のみもしくは支社のみ、本社と数支店のみ、本社の特定部門のみなどのように組織の一部分で取得している企業に分けて利用されている点が挙げられます。

企業規模で見ると、全社・全部門で取得しているのは大手の企業や組織に多く、中小の企業や組織については部分取得にとどまっているところが多いようです。

人材派遣業では、企業ノウハウやソフトウェア、これまでに登録や管理をした労働者の個人情報など、情報資産が多く蓄積されています。これは、大手・中小企業ともに共通で、情報資産の把握や管理システムの構築が広範囲に及びます。

そのため、会社業務の中の一部分だけ取得して、個人情報保護や管理を目的にするという部分ではISO27001ではなく、Pマークを取得するところが多いようです。

人材派遣業の場合、個人情報保護法や情報セキュリティに関し管理すべき事項を定めている法律を遵守することはもちろんのこと、その他にも労働者派遣法など遵守しなければならない法律があります。

マネジメントシステムを構築する際は、業界を規制する法律やその目的を踏まえた上で構築することが大切です。

実際の社内システムについては、1から自社のみで構築する場合と、コンサルタントを招いてアドバイスをいただきながら構築する場合があります。

どちらを選択するにしても、従業員にとって分かりやすいセキュリティのシステム、かつ利用するお客様(企業もしくは個人)にとって、安心できるようなセキュリティのシステム作りが求められます。

関連する記事・ページ

TOP