ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISMSを取得している企業には、何か共通する特徴などあるのでしょうか。
この記事では、ISMS取得企業についてまとめます。
特徴のほか、取得するメリット、取得している企業と取引するメリットについても解説していきます。
自社が取得すべきかの参考にしたい方、取引先を選ぶ際に取得しているかどうかを基準にすべきか知りたい方はご一読ください。
ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!お問い合わせフォーム
目次
ISMSとは、組織の情報セキュリティを管理するためのシステムのことです。
ISMSというアルファベットは、「情報セキュリティマネジメントシステム(Information Security Management System)」を略したものです。
情報セキュリティの国際規格「ISO27001」と同じ意味で使われることが多くあります。
また「ISMS認証取得」という言い方もよく見かけますが、これはISO27001の認証を得て情報セキュリティの管理が適切に行われている証明を受けることを指します。
認証する機関を「認証機関」「審査機関」と呼び、私どもGCERTI-JAPANもその一つです。
ISMS認証の概要は次の記事で解説しています。
ISMSの審査の全体像を把握したい!概要をISO審査員が解説します
次に、実際にISMSを取得している企業の特徴や傾向について説明します。
業種と規模に分けて解説します。
ISMS-AC(一般社団法人情報マネジメントシステム認定センター)が、2018年に「ISMS適合性評価制度に関する調査報告書」という報告書をまとめました。
その結果をもとに解説します。
参考:ISMS適合性評価制度に関する調査報告書
https://isms.jp/enquete/2017/report2017.pdf
傾向としては、BtoBの取引を行う企業と自治体との取引を行う企業が多くなっています。
具体的な業種としては、「情報技術業」いわゆるIT系が約6割を占めており最多です。
より具体的には、受注ソフトウェア業とシステムインテグレーション業です。
この2業種で、ISMSを取得している情報技術業の約2/3となっています。
IT系以外は、「その他サービス業」「建設業」「卸売・小売業」「電気/電子機器・光化学的装置製造業」「出版印刷業」などの業種の割合が比較的高くなっています。
従業員数を見ると、比較的大手企業が多い傾向があります。
全体に占める割合が高い順に、100~300人、20~50人、50~100人、300~1000人、1000人~となっており、100人以上の企業が半数以上です。
資本金ベースでも1000万円以上が全体の80%以上を占めており、1億円以上だけで約30%となっています。
認証開始より、取得企業数は着実に増えています。
2002年約140社→2010年約3,500社→2015年約4,600社→2019年約6,000社→2023年4月時点で約7,300社と約20年で50倍以上になっています。
ISMSは3年ごとに更新が必要です。
つまり取得企業数が増えているということは、新規に取得する企業が多いだけでなく取得した企業が更新していることも示していると言えるでしょう。
2022年の統計「ISO Survey 2022 results – Number of certificates and sites per country and the number of sector overall」 ( https://www.iso.org/committee/54998.html?t=KomURwikWDLiuB1P1c7SjLMLEAgXOA7emZHKGWyn8f3KQUTU3m287NxnpA3DIuxm&view=documents#section-isodocuments-top ) によると、ISMS登録の拠点数上位10か国は次の通りです。
また日本との輸出入総額が多い上位10か国(2020年)について、登録拠点数を見ると次のようになります。
登録拠点数が日本を大きく下回っている国が多いことがわかります。理由とされているのは以下の点です。
まず、世界ではCISO(最高情報セキュリティ責任者)を過半数の企業が設置しているといわれています。
また情報セキュリティ市場についても、日本市場は世界に比べて規模が小さいといわれています。
つまり日本の場合、「人材を確保できない」「サイバーセキュリティ課題をマネジメント層が認識していない」などの要因から、ISMS取得に頼っているとも言えるのです。
逆に、取得していない海外企業の情報セキュリティが低いとは必ずしも言い切れません。
海外の取引先についても、個別にどのような対策を取っているか確認した方が確実でしょう。
ISMS取得企業を検索する方法としては、ISMS-ACのサイト内にある「ISMS認証取得組織検索 ( https://isms.jp/lst/ind/ ) から確認する手段があります。
ただしすべての企業が取得状況を公開しているわけではありません。
そのため取得していてもヒットしない場合があります。
またISMS-AC以外の審査機関で認定を受けた場合も上記サイトでは確認できません。
ほかの確認方法としては、企業のコーポレートサイトやパンフレットなどを確認する方法があります。
次に、自社がISMS認証を取得するメリットについて解説します。
売上に関するマーケティング視点のメリットと、コンプライアンスなどに関わるマネジメント視点のメリットに分けてまとめます。
上述のISMS-ACによる報告書によると、回答企業の3/4がISMS認証を更新した企業です。
多くの取得企業がメリットを感じている表れと言えるでしょう。
ISMS取得のメリットについては、次の記事でも解説しています。
ISO27001(ISMS)を企業が取得する目的って?
マーケティング視点のメリットとしては、次の点が挙げられます。
上記ISMS-ACの報告書の中にISMS導入の効果についての質問があります。
その回答を見ると、これらのメリットを実感している企業が多いことが納得できるでしょう。
「顧客からの信頼確保に貢献した」は、「該当する」「やや該当する」の合計が93.3%、「企業イメージの向上に貢献した」は同合計が84.7%、「営業上、同業他社に対する優位性の確保に貢献した」は同合計72%となっています。
次に、マネジメント視点のメリットについてまとめます。以下の点が挙げられます。
上の調査では、「組織の情報セキュリティ管理体制が強化できた」「組織の情報セキュリティ対策が強化できた」「社員の情報セキュリティに関する意識向上、教育啓発に寄与した」はいずれも「該当する」「やや該当する」の合計が97%以上です。
ほとんどの取得企業がメリットを感じていることになります。
また「情報セキュリティのインシデント発生の抑制に効果があった」も同合計が88.8%です。
実際にリスク回避に役立っている企業も非常に多いと言えるでしょう。
最後に、自社ではなく取引先がISMSを取得している場合のメリットについて解説します。
以下の点が挙げられます。
順に見ていきましょう。
認証を受けている取引先の場合、先方から自社の情報が漏洩するリスクは少ないと言えます。
すでにご紹介したように、上記のISMS-ACの調査でも「情報セキュリティのインシデント発生の抑制に効果があった」と答えた企業は88.8%となっています。
そのほか記述式の回答の中にも、「ISMS取得に向けて取り組んだ結果、PC・ネットワーク関係のセキュリティが強化され、ウィルス感染等の被害を水際で防げている」「情報セキュリティ犯罪が増加する中で、ある程度の事前防護策の策定・実施に役立っている」という意見がありました。
ISMS取得により対応の方法が明文化されるため、万が一の場合も迷うことなく対処できるようになります。
上記の調査でも、効果について「情報セキュリティインシデント発生後に迅速・適切に対応できた」と回答した企業は82.5%です。
記述式の回答の中にも、「インシデント発生時の連絡体制を明文化し周知することで、問題発生時に落ち着いて行動することができた」という意見もあります。
ISMS取得企業は、生産性や業績がよい、安定していると考えられます。
情報管理が徹底されているということは、情報の保存場所が明らかで必要な情報にすぐにアクセスできるということです。
つまり情報の活用に余計な手間がかからないことになり、業務効率が高く生産性が高いと推測できます。
またマーケティング視点のISMS取得がプラスになっているということは、新たな取引獲得や取引の継続・安定化につながっていると言えます。
その結果、経営状態も安定しており倒産リスクが少ないと考えられるでしょう。
ISMS取得企業には、BtoB取引や自治体との取引がある企業が多い傾向があります。
実際に多くのケースで入札の条件となっているため、取得はビジネスチャンスにつながるでしょう。
自社で取得することにも取得企業と取引することにもメリットがあります。
ただし海外の企業については取得していないケースも少なくないため、情報管理については個々に確認した方がよいでしょう。
もしも自社で新たにISMS認証を取得することを検討中なら、私どもGCERTI-JAPANにご相談ください。
このすぐ下のお問い合わせフォームか、このページ最上部のボタンや電話番号からご連絡いただけます。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
お客様にとって分かりやすい審査を心掛けていきたいと考えております。 一審査員として、お客様に認めて頂けるように努めてまいりますので、よろしくお願い致します。
お問い合わせはこちら
0800-888-0442
取得にコンサルタントは絶対必要なの?.jpg.webp)
とは?あいまいになりがちな用語も整理して解説.png.webp)