１．ISMSとは

⑴ISMSについて

ISMSとは、Information Security Management Systemの頭文字をとった略称で、情報セキュリティマネジメントシステムのことを意味します。
情報セキュリティのための体系的な管理体制で、PDCAを回す仕組みです。

⑵ISMSと情報セキュリティ

ISMS（情報セキュリティマネジメントシステム）は、情報セキュリティを確保するための組織的なアプローチです。
ISMSは情報セキュリティのポリシーや目標を設定し、リスクアセスメントや対策、チェックや効果測定を行い、改善につなげていきます。

情報セキュリティとは、情報資産の機密性、完全性、可用性を維持することです。
具体的には後述します。

⑶ISO/IEC27001との違い

ISO/IEC27001は、情報セキュリティマネジメントシステム（ISMS）の規格のことです。
「規格要求事項」と「付属書A」で構成されています。
ISMSは、規格に沿って構築された仕組みや認証のことをいいます。

⑷ISO/IEC27001に似た規格

似た規格として、「ISO/IEC27000 ファミリー規格」と呼ばれるものがあります。
2つに分けると、①ISO/IEC27001のような要求事項を規程した規格と、②ISMSを構築する上で参考になる手引として規程した規格があります。

①は、「ISO/IEC27017」のように、クラウドサービスのための情報セキュリティ規格もあります。
②は、「ISO/IEC27000」のように、規格に出てくる難しい用語を定義したものや、「ISO/IEC27002」のように、情報セキュリティを確保するための、具体的な管理策の実践手順を規程したものもあります。

(5)ISMSとPマークの比較

Pマークは、日本国内のみを対象にし、情報の中でも個人情報を対象に漏洩を防ぐための仕組みです。
一方、ISMSは、全世界を対象にし、個人情報だけではなく企業が保有している情報まで対象は広がります。
顧客情報や人事情報はもちろん、データ、データを保管しているパソコンやサーバ、USB、スマートフォン等の記憶媒体、紙媒体も含みます。
業種業態によって、何に対しての情報セキュリティ対策を取りたいのか目的を考え、認証制度を選択すると良いと思います。
補足ですが、Pマークは、日本国内の活動拠点全てを認証する対象にする必要がありますが、ISMSは、組織全体、サービス、事業、拠点等、認証範囲を特定することができます。

２．情報のライフサイクルについて

⑴PDCAサイクルとは

ISMS（情報セキュリティマネジメントシステム）におけるPDCAサイクルは、継続的な改善を促進するための手段です。
PDCAサイクルの各ステップは以下の通りです。

• Plan（計画） ：ポリシー、目標の設定、企業の保有する情報を管理するためのプロセス構築、リスクアセスメントの仕組み作り
• Do（運用）　 ：計画に基づいて、活動やプロセスを実行します。
• Check（評価）：実施された活動やプロセスのチェックや評価を行い、セキュリティ対策の効果が出ているか確認します。
• Act（改善） ：チェック結果や評価をもとに、セキュリティ対策の改善を行い、次の計画へつなげます。

⑵情報のライフサイクル

情報には、生成→利用→保存→廃棄といったライフサイクルがあります。
これらの流れを通じて、情報セキュリティが確保されるよう、管理する必要があります。

例えば、以下が考えられます。

• 生成時： 情報が目的に沿って、正しく生成されているか
• 利用時： 必要な人のみがアクセスでき、許可された範囲での処理がされているか
• 保存時： 改ざん、消失・紛失、不正な持ち出しが起こらないように安全な場所、方法で保存されているか
• 廃棄時： 第三者に拾われたり盗み見られたりすることがないよう、確実な手段で廃棄・消去されているか

⑶情報の機密性、完全生、可用性とは

機密性、完全性、可用性は情報セキュリティを維持するための3大要素といわれています。
簡単に言うと、以下の説明となります。

• 機密性：「外部に漏れないこと」
• 完全性：「最新で間違っていないこと」
• 可用性：「いつでも使えること」

３．ISMS認証はIPOに必要なのか

⑴ISMS認証を取得する企業が増えている理由

ISMSの認証登録数は、大規模な漏洩事故や、外部によるサイバー攻撃などのニュースが世間を騒がせる中、需要が高まっているのか、右肩上がりで増加しており、7,000件を突破しております。
そんな中でも取得理由としては、以下の3つが考えられます。

• 情報セキュリティ意識、対策の向上
• 自治体や大手案件の入札等の取引条件
• IPOを目指す上でのセキュリティ対策

⑵IPOでISMS認証が必要な理由

IPO後に大規模な情報漏洩等の不祥事があると、株価に大きな影響を及ぼします。
そういった理由で、監査法人、証券会社、IPOする市場において、IPO前に情報セキュリティに関しても厳しく審査されます。
情報セキュリティを確保するためのISMSの認証をすることで規程作成や対策面において、工数削減にもつながります。

⑶IPOと情報システムの関係

IPOするに当たって、以下は必ず必要になります。

• 予実管理：売上きちんと上がって、予算と実績が狂わない
• 経理管理：売上や在庫等の出している数字が正確かどうか
• 労務管理：正確な勤怠管理により、隠れ残業をなくす

こういった様々な管理を見直す上では、アナログでは難しく、ITシステムを検討・導入することになります。
コンピュータ、ネットワーク、ソフトウェアに加え、それらを一体として機能させるための運用体制を決定する上では、情報セキュリティ対策が重要になります。

４．IPOにISMSの取得が必要な業種

機密性の高い情報や病歴やマイナンバー情報等の要配慮個人情報を扱うような業種は、特に情報セキュリティ対策は常日頃、取引先からも確認され、IPOする上でも重要視されます。

• 病院等の医療業
• 情報サービス業(システム開発・SaaS,PaaS,IaaSなどのクラウドサービス事業)
• 金融・保険業

のような業界では、ISMSは特に求められると思います。

５．ISMSの認証取得

⑴ISMS取得までの流れ

基本的な流れは、
認証機関選定→ISMSの構築→ISMSの運用→認証審査→認証登録
となります。

⑵ISMS取得にかかる費用

取得する企業の認証範囲の対象人数、対象拠点数、対象サービスによって、審査工数が計算され費用が算出されます。
日本国内の審査機関やグローバル審査機関と様々あり、費用も大きく差があるので複数見積を取得し、審査機関との面談を事前に行い、自社の求めることに審査方針が合致しているか確認するのも効果的です。

６．ISMS認証後の更新について

ISMS認証は取得から3年間で更新です。
ただし、年に1回のサーベイランス審査（更新までの間に、運用状況を確認する中間的な審査）を受ける必要があります。
そして、有効期限を更新するための審査（更新審査）を受けることになります。

７．IPOを検討している企業が知っておくべきセキュリティ対策

セキュリティ対策の例として、

• 情報システムのアクセスログの監視
• 活用・提供しているクラウドサービス/アプリケーションの2段階認証
• 通信の暗号化
• データのバックアップ
• 内部統制のためのアクセス権限の管理
• リモート促進によるBYODの仕組み

などが挙げられます。

まとめ

IPO前後に情報漏洩が発生すると上場審査や株価に影響があるため、情報セキュリティを確保するために、ISMS認証を通して構築することが重要になります。
時期としては、実は直前期のスタートでは遅く、直前々期や直前期に取得完了していた方が良いです。つまり、N-3期・直前々期にはISMS取得に向けて動き出している状態がよいかもしれません。