ISO NEXT
ISOコンサルタント/個人情報保護士/ISO9001審査員補/ISO14001審査員補
結石 一樹 KEISHI KAZUKI
ISMS(ISO27001)認証とは、情報を安全に管理する仕組みが講じられているかの第三者認証です。
認証するためには国際標準化機構が定めるISO認証の基準に沿って仕組みを構築し、審査を受ける必要があります。ISMS(ISO27001)認証は、会社が保有する情報全般が対象ですが、Pマークの対象は個人情報に限定されます。
INDEX
ISMSとは「Information Security Management System」の略であり、「情報セキュリティマネジメントシステム」と訳されます。要は情報を安全に管理する仕組みのことです。
第三者機関の審査を受け、ISMSが適切に構築されてると判断された結果、認証されるものがISO27001となります。
ISMSを構築する上で考える必要があるのが通称「CIA」と呼ばれる概念です。
これは機密性(confidentiality)、完全性(integrity)、可用性(availavility)の頭文字をとったものです。
具体的には下記のとおりです。
①機密性とは、許可されている人だけが情報にアクセスできる状態です。
マイナンバーなどの特定の人物しかアクセスできない情報は機密性が高い情報となります。
②完全性とは、正しい情報が損なわれず維持されている状態です。
③可用性とは、許可されている人が必要なときに情報にアクセスできる状態です。
プロのコンサルタントに相談する
ISMSと比較される規格に、プライバシーマークがあります。
プライバシーマークとは日本産業規格に準拠した、個人情報を適切に保護する体制を整備している事業者を認定するマークです。
ISO27001では情報資産と呼ばれる、技術情報や会社の機密情報、取り扱う情報機器などが対象となります。
それに対し、プライバシーマークの対象は個人情報のみです。もちろん個人情報も情報資産に含まれます。
また、ISMSは世界共通の規格であるため国外でも有効ですが、プライバシーマークはあくまで日本限定の規格であるため、国内のみ有効です。
ISO27001は会社全体でも取得することができますが、会社の中のどこか一部門でも取得が可能で、自由に認証する範囲を設定することができます。
それに対し、プライバシーマークは会社全体で取得する必要があります。
ISO27001では設定した認証範囲内の情報資産全般が審査の対象です。
情報資産を保護するための仕組みや体制づくりを要求しており、定められている手順はないので企業内の情報資産に対して114項目ある審査のポイントを元に自社の体制に合わせた文書やルールを作成することができます。
一方、プライバシーマークでは企業内のすべての個人情報の取扱いが審査の対象です。
保有する個人情報を保護することを要求しているので、手順や作成する文書などが規格(JISQ15001)で定められています。
枠組みから外れた場合は認証取得することができません。
またプライバシーマークは取得してから有効期間が2年間であり、2年ごとに更新審査を受ける必要があります。
ISO27001の有効期間は3年間ですが、毎年審査があります。
審査にかかる費用についても、Pマーク取得とISMS取得では、大きな違いがあります。
1番大きな違いは、Pマークは全社での取得となることに対し、ISMSは認証の範囲を設定することにより生まれる違いです。
ISO27001は、必要な部署や事業に絞って取得できることで費用を抑えることができるケースもあります。また審査を受ける機関によっても審査費用は前後します。
Pマークの審査費用は定められた企業分類により、小規模、中規模、大規模の3つに区分され、新規取得審査時と更新審査時でも違いがありますが、どこの審査機関で受けても費用は変わりません。
ISO27001の取得企業ですが、2002年に約140社だった取得企業が、2019年で約6,000社、2023年では7,000社以上と増加しています。
この推移から、ISO27001を取得する企業は増えることが見込まれ、世間のニーズは高まっていると言えます。
ISO27001を認証取得するには、審査基準を満たすために組織のセキュリティを強化する必要があります。そのため組織のセキュリティ強化を図る事ができます。
また、世界共通の認証であるISOを取得すると、外部に対しても自社のセキュリティ性の高さを示すことができるため、セキュリティにおける信頼も獲得することができます。
取引先の選定基準や入札要件としてISO27001が必要なケースも増加しています。
ISMSを取得すると、メリットがある一方で、デメリットも存在します。
ISO27001を取得するためには、従業員へのセキュリティ教育の実施が必要となります。
そのため、定期的な教育により従業員のセキュリティ意識の向上が期待できます。
先述した通り、ISOを取得すると、外部に対しても自社のセキュリティ性の高さを示すことができるため、セキュリティにおける信頼を獲得することができます。
ISMSは情報セキュリティの継続的改善を実施する仕組みとなります。
そのため、ISMSを維持し続けることで、社内の仕組みが改善していき、リスクの低減を図ることが出来ます。
国・自治体や大手企業などでは、取引先の選定基準に ISO27001の 認証が条件になっていたり、加点ポイントになっていたりするケースもあります。
ISO27001認証をすることで顧客の獲得にもつながることがあります。
ISO27001を取得するためには必ず審査を受ける必要があるため、審査費用が発生します。
審査は毎年あるため、継続的に費用が発生することを考慮し、組織にとってメリットの方が大きいのか検討する必要があります。
ISO27001は様々な情報セキュリティルールを文書にまとめ明記する必要があるため、必然的に社内文書が多くなります。
せっかく規程を作成してもそれを常に自社のルール変更に合わせて改訂する必要があるため、維持管理にも工数が発生してきます。
先述した規定の作成はもちろん、ISO27001を認証するためには日々の活動の記録も作成する必要があります。
そういった記録の作成、見直しなどの手間も人的コストがかかり負担となりがちです。
ISMSを認証取得するためには、いくつかのステップがあります。取得を検討する際には、事前に把握しておくと良いでしょう。
ISMS認証は企業全体で取得することはもちろん、一部の組織だけの取得も可能です。
そのため、まずはISMS認証の取得範囲を決める必要があります。
従業員数や拠点数が多く対応が大変になる場合は、まずは特定の部署や拠点だけを取得範囲とし、その後範囲を拡大していく方法もあります。
取得範囲を決めたら、情報セキュリティの方針を決めます。
ISMS認証の要件を満たすよう注意しつつ、組織の情報セキュリティに対して掲げる理念を作成しましょう。
情報セキュリティ方針は業種や取り扱う情報などに合わせて、具体的な取り組みや原則を定めます。
次に、認証機関を選びましょう。
2022年3月現在、日本には27の認証機関があります。審査費用は認証機関によって異なり、また審査のやり方にもそれぞれ特色があります。
そのため、各社に見積もりを依頼して費用面で決めるのも良いですし、何のためにISMS認証をするのか一度振り返って自社に合うような認証機関を選定するのも良いでしょう。
認証機関を選んだら、ISOを推進していく体制を決めます。
取得範囲に応じて、情報セキュリティ活動を統括する情報セキュリティ管理者や、内部監査を実施する内部監査員など、取得に向けて必要な役割を決めていきましょう。
ISMS認証に向けて審査を受ける前に、文書構築が必要になります。
例えば、基本となるマニュアルや適用宣言書、セキュリティの規定などです。
ISMSは比較的、運用に関わるマニュアルや安全管理のための規程を作ることが多いので、準備するようにしましょう。
ISO27001を運用していくルールが決まり、文書ができた後は実際に決めたルールを実践していきます。実際の運用に関しては活動した結果を証拠として示せるように記録を作成します。
例えば、情報資産を一覧にした台帳や教育の記録などが該当します。審査でも必ず記録の確認をされます。
特に後述する内部監査や、マネジメントレビューの記録が無い場合は、絶対にISMS認証出来ませんし、審査が中断されるため注意しましょう。
内部監査は大きく分けて2パターンあります。
一つは作成したマニュアルなどの文書が規格要求事項を満たしているのかをチェックする「適合性監査」。
もう一つは作成したルール通りに運用を回せているか、もしくは有効的な取組になっているかをチェックする「運用及び有効性監査」です。
要は正しい文書が作成されていることを確認した上で、実際の取り組みを評価しましょうということです。
内部監査まで終われば、いよいよ最後の項目です。
マネジメントレビューはISMSの取得範囲のトップに対して、これまでのISMS活動の結果を報告し、次の運用ではどのように進めていくか、方向性を決める機会です。
マネジメントレビューでPDCAサイクルを一旦締めて、再びPDCAサイクルを回していき継続的改善を目指します。
ISMSを新規認証する場合には2回の審査があり、1回目の審査は文書類の審査です。
自社で作った文書類が、ISMS(ISO27001)の規格要求を満たしているかを確認されます。
内部監査で言う適合性監査のイメージです。
文書類を審査員に確認してもらい、次の二次審査を受けることができる状態かどうかを審査されます。
一次審査が終わると二次審査、いわゆる現地審査を迎えます。
自社で作ったルール通りに運用が行われているか、等の中身の妥当性を見る審査です。
実際の仕事内容や現場をチェックしてISMSの認証ができる状態かを見られます。
ここでは一次審査で受けた指摘の結果対応も見られますので、二次審査までに対応を終えておくようにしましょう。
二次審査を終えて審査機関のOKが出るとついに認証になります。
認定証が手元に届きます。同時に認証のマークも届きますので、名刺やホームページに掲載していくようにすると良いかと思います。
認定証が届いたら終わりではありません。
ISMS(ISO27001)は毎年審査があります。早速ですが、次年度の審査までの段取りを始めましょう。
取得できて安心し、油断をしていると何もしないうちに次の審査を迎えたといったことがないように進めるようにしましょう。
ISMS構築の開始から ISO27001認証完了まで、平均すると6ヶ月〜1年ほどかかります。
ISMSを構築する期間と、審査を受けてから審査機関が合否を判断するための時間もかかるため、長いスパンになりやすいです。
ISMS認証の有効期間は、取得から3年間です。
しかし、ISMS認証の取得を継続するためには審査を毎年受ける必要があります。
呼称は審査機関によって様々ですが、1年ごとに実施される「維持審査」と3年に1度の有効期限を更新するための「更新審査」があります。
前述の通り、審査費用は審査機関によって異なります。
また、費用は従業員人数、拠点数、業種によっても異なるため、いくつかの審査機関に見積を依頼するのが確実です。
ISO27017は、クラウドサービスに関する情報セキュリティ管理策のガイドライン規格であり、ISO27001に追加して取得できる「アドオン認証」です。
ISO27001を認証していることが前提で、通常のISMS仕組みにクラウドサービスに関する項目を盛り込んだイメージです。
情報セキュリティ全般に関するマネジメントシステム規格であるISO27001の取り組みを、ISO27017で強化することで、クラウドサービスにも対応した情報セキュリティ管理体制を構築することができます。
ISMSは、一般社会で情報セキュリティ意識が高まっていることにより、非常にニーズが伸びている規格です。
しかし、ISMSを構築するにはまずは勉強から始めてルールを整備して書類を作ったり、時間と手間がかかることも多いです。
自社だけで構築していくのも良いですが、コンサルタントと一緒に他社の事例を基に自分たちにぴったりの仕組みを構築して効率よく情報セキュリティの向上に取り組むとよいでしょう。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。