ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISMSの導入を検討するため情報を集めていると、「ISMSを取得しても意味がない」という意見を見かけることがあります。
そのような意見を見ると取得をためらってしまうのではないでしょうか。
ISMSは多くの企業にとって有益なものですが、確かに目的や運用によっては意味がないものになってしまいます。
この記事では、ISMSは意味がないと言われる理由、取得した方がよい/しない方がよいケース、有意義に活用する方法について解説します。
企業のご担当者様はぜひ参考にしてみてください。
ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!お問い合わせフォーム
目次
「ISMS認証」とは、一言で言うと情報セキュリティの管理が適切に行われているというお墨付きをもらうことです。
より正確に説明しましょう。
「ISMS」とは組織内における情報セキュリティのリスクを管理する仕組みのことで、「ISMS認証」とはISMSが規格通りに構築・運用されていると第三者である認証機関が認定することです。
基準となる規格が「ISO27001」です。
ISO27001はISMSを構築・運用する際の基準であり、認証を受ける際の適合基準でもあります。
厳密にはISMSは仕組みのことで規格とは別のものです。
しかしISMSとISO27001は同じ意味で使われることが非常に多くあります。
ISMSのくわしい解説は以下の記事をご参照ください。
ISMS(情報セキュリティマネジメントシステム)とは?あいまいになりがちな用語も整理して解説
ISMSにはメリットが多くありますが、運用に問題があったり目的があいまいなまま取得したりすると意味がないと言われることがあります。
具体的には、ISMSが形式的な運用になってしまっており、元来の情報セキュリティの仕組みから乖離している場合です。
あるいはセキュリティ向上やリスク削減につながっていない場合も同様です。
そのほか取得や維持の作業負担に対して、効果を実感できていないといった場合も意味がないと言われがちです。
取得する際にどのように役立てたいかが明確でない場合は、ミスマッチが起こって運用の手間ばかりかかり効果が得られないということになりかねません。
取得のデメリットなどは次の記事でくわしく解説しています。
ISO27001(ISMS)を取得するメリット・デメリット
次に、ISMSの認証取得にメリットがあるかどうか確認してみましょう。
データをもとに取得企業がメリットを感じられているのかどうかを概観し、実際に得られるメリットについて解説します。
メリットの詳しい解説とデメリットを感じるケースについては以下の記事をご参照ください。
ISO認証を返上する企業が増えているのはなぜ?メリットとデメリットを解説
取得企業は年々増えています。
2002年には約140社でしたが、2010年は約3,500社、2019年は6,000社、2023年は7,000社以上となっています。
また2018年の「ISMS適合性評価制度に関する調査報告書」のデータを確認してみましょう。
取得からの経過年数を見ると、3年超の企業、すなわち更新している企業の割合は77.2%で、3/4を超えています。
労力を使って更新・継続している企業が大部分を占めているわけで、これは取得した企業の多くがメリットを感じている表れと言えるでしょう。
ISMS認証取得のメリットとして挙げられるのは、「情報セキュリティリスクの低減」「組織外に対する信頼感や安心感の向上」「組織内の意識改革・知識向上」「業務・手順の整理とルール確立と効率アップ」「継続的な改善」などです。
官公庁の入札の条件となっていることも少なくないため、取得することが売上アップにつながることも多くあります。
メリットについては以下の記事でくわしく解説しています。
ISMS(ISO27001)認証の重要性とは?
ISO27001(ISMS)とは?要求事項や認証取得のメリットについて基本から解説します!
ISMSを取得した方がよいケースとしては、まず業務において情報資産を扱っている場合が挙げられます。
とくにおすすめなのは、外部からの情報処理により個人情報を預かることが多い場合です。
セキュリティのレベルを高めることができ、リスク削減と取引先へのアピールにつながります。
また、官公庁や大手企業と取引がある場合や取引を始めたいと考えている場合も取得のメリットを得られます。
入札や取引の条件を満たしたり加点となったりするため、売上アップの可能性が高まります。
さらに、IPO・株式上場の準備を進めている場合も有益です。
ISMS構築により、IPO・上場に必要なIT 統制にかかる工数の削減が可能となります。
ISMSを取得しない方がよいケースとしては、まず費用の捻出が難しい場合が挙げられます。
取得には審査費用やコンサル費用などが必要ですが、費用を準備するのが難しい、あるいは想定される費用対効果が低いといったケースです。
さらにマンパワーが足りない場合も同様です。
取得までの準備や取得後の運用には担当者が必要ですが、マンパワーが不足していると取得も運用も進まないでしょう。
また、取引先の取引や入札の条件になっていない場合も無理をして取得する必要はないかもしれません。
大手企業では独自の基準を設定している場合があり、必ずしもISMS取得が必要ではない場合もあります。とくに国内の企業の場合にしばしばみられるケースです。
最後に、個人情報の取り扱いが多い場合です。
個人情報の取り扱いが多い場合は、ISMSよりPマークを優先的に取得した方が管理においてもアピールという意味でも適している可能性があります。
ISMSを取得した方がよいケースでも、注意しないと取得した意味がないという結果・評価になる可能性があります。
そのような結果を避けるためには、取得することでどのような効果を得たいのか、目的を明確にすることが大切です。
あいまいだと認証を十分に活用できない可能性があります。
また取得する場合も社員に取得と運用のメリットを周知して理解を深めさせることが求められます。
さらに、取得前に現状を把握することが大切です。
ISMSのためだけのルールを作るのではなく、現状を理解したうえで既存のルールをベースに仕組みを構築することで運用がやりやすくなり、社内で定着させることができます。
これによって形骸化を避けられるだけでなく、作業の効率化につながります。
ISMSの取得は、目的と自社が取得して得たい効果とを明確にしたうえで検討することが大切です。
自社にとって有益と言えるなら、意味がないなどということは決してありません。取得して自社のビジネスに役立てましょう。
もしも認証取得について相談したいことがおありでしたら、私どもジーサーティーにご連絡ください。
数多くの企業の認証を行ってきた実績をもとにアドバイスさせていただきます。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
「企業の仕組み」に、ISOという観点で携わることができ、非常に嬉しく思います。ISO審査を通してお客様のご支援ができるよう、一日一日を大切にして自己研鑽していきます。
お問い合わせはこちら
0800-888-0442
