ISO27001
COLUMNISO規格の知識コラム(ISO27001)

ISO27001

ISO27001とは?基本から解説します

2021.09.27

ISO27001とは、別名(正式名?)【Information Security Management Systems】といい、その名の通り情報セキュリティマネジメントシステムについてのISO規格です。
英頭文字を取り、略称としてよく【ISMS】と呼ばれています。

では、この情報セキュリティマネジメントとはどういったものなのでしょうか。

組織には、業務活動のなかで利用されたり、業務の積み重ねで蓄積されたりと、数多くの情報が存在しています。
例を挙げると、従業員等の組織内部の個人に関する情報、企業であれば顧客情報、契約情報、商品販売に関する情報、システム開発企業でいえばその開発データ等です。

それらはその組織にとってかけがえのない資産ですが、それら情報の保全や管理が疎かになっていたとしたら、どのようなことが起きると考えられるでしょうか。
組織の業務活動が上手く進まなくなったり、顧客からの信用が失われたり、もしかすると情報漏洩の事件としてニュースに取り上げられるような大きな問題になるかもしれません。

ISO27001では、このような組織にまつわる情報というもののセキュリティ・管理方法・マネジメント方法について定められています。

個人情報保護との違いは?

情報セキュリティと聞くと、よくイメージされるのは個人情報保護という言葉です。
ISO27001とはどういう違いや関係性があるのでしょうか。

違いは、その対象としている情報の広さです。

個人情報保護は言葉の通り、個人識別に関する情報のみをその対象としています。
しかしISO27001では、個人識別に関する情報に限らず、前述の顧客情報、契約情報等のより広い範囲の情報をその対象としています。

もちろんですが、個人情報の保護に関する内容もISO27001には盛り込まれています。

ISO27001のポイント

ISO27001では、情報セキュリティマネジメントの重要点として下記3つを挙げています。

  1. 機密性(confidentiality)認可された者だけが、その情報にアクセスが出来る状態。
  2. 完全性(integrity)情報が破壊・改ざん・消去されていない状態。
  3. 可用性(availability)必要な者が必要な時にその情報にアクセスできる状態。

組織がこれら①②③の重要な状態を維持し、かつ、リスクを適切に管理しているという信頼を組織外の取引先等に与えることがISO27001の掲げる目的の一つです。
ISO27001では、この目的の為に、組織の情報セキュリティマネジメントを資産、人的、物理的、技術的、運用等の様々な面から見て管理運営することが求められています。

ISO27001認証取得のメリット

認証取得を行った組織には、以下のようなメリットがあります。

1)情報セキュリティリスクの低減ができる。

セキュリティ事故発生の防止につながります。
ISO27001では、外部からの攻撃はもちろん、内部からの漏洩、紛失等にも触れられているため、包括的な情報セキュリティ対応が可能です。

2)組織外に対して、信頼感や安心感をアピールできる。

ISO27001がその目的にもしているように、国際基準であるISO27001を認証取得することで信頼感や安心感をアピールできます。
近年、日本国内で情報漏洩といったセキュリティ事故の発生が多く見られるようになりました。
そのため、ISO27001の重要性が増してきています。

官公庁向けの入札案件では、ISO27001の認証取得が入札参加企業の必須条件になるという例も見られ始めています。
企業であれば、同業他社と差別化を図れ、競争力を高めることができます。

3)組織内メンバーの意識改革・知識向上につながる。

ISO27001の認証取得は、組織のトップや担当者のみの活動に留まりません。
従業員やメンバーの教育、認識の一致等もポイントの一つとされているため、組織全体で取り組むものになります。

その過程で全員の情報セキュリティに対する意識改革や知識の向上が見込め、組織全体が同じ方向性を共有出来ます。
また遵守すべき法令についても触れられるため、コンプライアンス意識・知識の向上にもつながります。

4)業務・手順の整理とルール確立ができ、効率向上につながる。

ISO27001では、その認証審査のなかで組織の業務内容や手順についてヒアリングを行っていきます。
普段、組織内で当たり前のように無意識で実施している業務や手順、その一つ一つに対してスポットを当て確認をしていきます。

その過程で気付きと整理が行われ、今まで慣習だけで曖昧になっていたものを明確にルール化したり、逆に実施するうえで障害となっていたようなルールの廃止を行ったりと、スリムアップとブラッシュアップが見込めます。
結果、組織全体の業務効率が向上します。

また組織が保有している情報通信機器等の洗い出しや一覧化も行うため、組織の状況がより明確に見える良い機会となるでしょう。

5)継続的な改善ができる。企業価値が高まる。

ISO27001に限らないISO規格の共通事項ですが、取得した認証の有効期限は3年間です。
しかし毎年審査機関が組織に伺い、マネジメント運用状況の確認審査を行います。

この繰り返しのなかで、次に次にという継続的な改善が行われ、組織が活性化していきます。

ISO27001を取得するメリットについてはこちらの記事でさらに詳しくご説明しております。
併せてご参照ください。
ISO27001を取得するメリット・デメリット

ISO27001の取得が多い主な業種

では、実際にISO27001を認証取得している企業にはどのような業界・業種が多いかをご紹介します。

  1. 情報サービス業 システム開発、ソフトウェア開発、アプリ開発、web制作等
  2. 広告業
  3. 人材派遣業
  4. 印刷業
  5. 食品製造・販売業
  6. 家具・インテリア製造業
  7. 各種デザイン業
  8. 介護・福祉業 等々

上記は一例であり、他にも様々な業界・業種の組織が認証取得を受けています。
ISO27001は、業種・業態を問わず、あらゆる組織が利用し認証を取得することが可能です。

認証取得企業様の声

東京都 S様 情報システム設計開発業

「経費も掛かるが、せっかく第三者の方の目が入る機会なので有効活用している。どんどん改善していきたい」

大阪府 J様 食品商品企画・販売業

「恥ずかしながら社長の私が指示しても上手く回らないところがあるが、『ISOが言っている』となると上手く回ることがある。助かっている」

東京都 B様 データ入力サービス業

「審査の指摘事項も分かりやすく、進行も丁寧だった」

東京都 A様 セキュリティ監視サービス業

「審査を通じて自分たちでは気付けない視点からアドバイスをもらえるので助かっている。」

かねてより企業経営に関しては「ヒト・モノ・カネ」の3要素が重要と言われてきました。
が、現在ではそれに「情報」が加わり、計4要素という考えが主流になっています。

この重要な要素である情報のセキュリティマネジメントについて、その国際認証規格であるISO27001について、当コラムが、必要か、必要でないかを考える一助となれば幸いです。

株式会社GCERTI-JAPANはISO審査機関(ISO認証機関)です。
ISO9001・ISO14001・ISO27001・ISO45001に関する審査及び審査に関するセミナー・研修の企画、運営についてお困りの際はお気軽にご相談ください。経験豊富な現役のISO審査員がお応え致します。

最後までお読みいただきありがとうございました。

田口 大貴
田口 大貴ISO審査員
主にISO審査員として活動しています。 お客様に寄り添い、お客様の意見や疑問点に即座に対応し、お客様が理解いただけるよう他社事例等交え、運用改善に尽力していきます。 お客様があなたに審査してもらってよかったと安心出来る審査員を心がけています。
見積もり依頼 お問い合わせ