ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISO27001(ISMS)を取得すると、
といった5つのメリットが得られます。
もちろんメリットだけではなく、デメリットもあります。
そこで本記事ではISMS(ISO27001)を取得することで得られる5つのメリットと、3つのデメリットについて詳しくご説明いたします。
目次
ISO・ISMS取得に関して
お悩みはありませんか?
ISO認証機関ジーサーティに
お任せください!
ISO認証取得をもっと早く、負担ゼロに。
ISMS(ISO27001)(情報マネジメントシステム)とは、その名の通りISO(国際標準化機構)が定めた情報に関するマネジメントシステムの国際標準規格です。
情報の「機密性」「完全性」「可用性」という3つの項目を適切にマネジメントし、有効活用するための組織の枠組み作りを目的としています。
情報の「機密性」「完全性」「可用性」とは、情報セキュリティ(企業が所持している情報が外部に漏洩しないために行う取り組み)を脅かす脅威への対策において重要なファクターのことです。
具体的には以下のように定義されています。
の目的.png.webp)
以上を踏まえ、ISO27001(ISMS)を取得することで得られるメリットを見ていきましょう。
ISMSを取得することで得られるメリットについて解説します。
ISMS(情報マネジメントシステム)を取得するためには、
が求められます。
つまり、ISMSを取得しているということは、これらの条件を満たしている企業であるという証明になります。
情報を取り扱う企業であれば情報セキュリティ管理やその取り扱いにおけるルールや意識が非常に重要視されます。
そのため、ISMSを取得していることは非常に有用なアピールポイントになり、競合他社と差別化できるという意味でも取引先の拡大を期待できるでしょう。
ISMSを取得している多くの企業は会社パンフレットや自社のホームページ・社員の名刺にISMS認証マークを掲載して対外的にしっかりアピールしています。
また、近年では官公庁等の行政機関の入札条件としてISMSの取得が提示されていることが増えており、民間の企業にも同様の傾向が見られます。
ISMSを取得していれば、そのような取引の機会も逃さずキャッチできるため、取引先の拡大につながると言えるでしょう。
ISMSは対外的なメリットだけでなく、社内的なメリットもあります。
それが「従業員の情報セキュリティに対する意識の向上」です。
昨今、多くの企業で社員に社用携帯やPC等の端末を貸与しています。
社員の情報管理の意識が低いと、そういった端末からの情報漏洩の危険があります。
ISMSでは、定期的な従業員への情報セキュリティ教育が必須となっているため、そういった機会で他社の情報漏洩事故の事例や、起こりうる情報セキュリティ事故、情報管理における意識を学ぶことで従業員ひとりひとりの情報セキュリティ意識が高まり、事故を減らすことができます。
また、情報の取り扱い方をマニュアルで管理し、問題発生時の対応フローをあらかじめ取り決めて周知しておくことで、社内全体の情報セキュリティ管理体制も強化することができます。
ISMSでは企業の持つ情報資産や業務フローをベースにした定期的なリスクアセスメントの実施が求められます。
このリスクアセスメントを行うと、社内の情報セキュリティリスクをISMSの基準に基づいて洗い出すことができ、部署ごと・業務ごとにどのような・どの程度のリスクがあるのかを把握することができます。
リスクを把握できていれば、そのリスクに対する対応計画を立てることができます。
リスクアセスメント+リスク対応計画を年に1回など定期的に行うことで、常に情報セキュリティリスクに対する事前準備ができるようになり、組織全体で適切な情報セキュリティ管理ができている状態を保つことができます。
冒頭で述べた通り、情報セキュリティには「可用性」という考え方があります。
これは「許可された人はその情報にいつでもアクセスできる」ということで、企業での取り組みとしては必要なときに必要な情報を参照するためのバックアップや複数端末の準備等が考えられます。
必要な情報にアクセスできなければ業務上とても不便ですよね?
また、情報にアクセスするまでに無駄な時間がかかってしまうと業務効率も悪くなってしまいます。
こういった状態を情報セキュリティ的には「可用性の喪失」と言い、情報セキュリティレベルが低いということになります。
ISMSではこのような「可用性の喪失」状態を避けるために情報を整理整頓し、必要なときに必要な情報にいつでもアクセスできるようにすることが求められています。
つまり、ISMSを取得しているということは「可用性」が保たれているということになるため、無駄な時間や手間をかけずに情報へアクセスできる=業務効率がアップする、ということが言えるでしょう。
IPO(新規公開株式)を目指している場合、ISMSの取得が上場の準備になります。
上場にあたっては、公開しなければならない情報があると同時に、適切に情報を管理して機密性を高めることも求められます。公開することによりセキュリティ上のリスクが増える中で対策をしなければならないということです。ある意味で矛盾するこの要求を、ISMSによって解決することが可能です。
ISMS取得が必須なわけではありませんが、ISMSは情報セキュリティの体制の整備につながると言えるでしょう。
次に、実際にISMSを取得した企業が感じているISMSのメリットを見てみましょう。
ISMSの認定機関「ISMS-AC」がISMS適合性評価制度に関するアンケート調査を行っています(2024年3月)。アンケートを見ると、実際にISMSを取得した企業が感じているメリットがわかります。
最多となっているのは「組織の情報セキュリティ管理体制が強化できた」です。
「該当する」と答えたのは70.5%で、「やや該当する」と合わせると98.3%となっています。
そのほか「組織の情報セキュリティ対策が強化できた」「社員の情報セキュリティに関する意識向上、教育啓発に寄与」「顧客からの信頼確保に貢献した」「企業イメージの向上に貢献した」が上位となっています。
ISMS認証と似た情報管理の規格に、「Pマーク」があります。それぞれのメリットをまとめると以下のようになります。
●ISMSはすべての情報資産を管理できるのに対し、Pマークは個人情報に限定して管理できる
●ISMSは認証の範囲を事業所・部門などに限定することが可能なのに対し、Pマークは企業全体をまとめて対象にできる
●ISMSが海外企業にもアピールできるのに対し、Pマークは国内市場向けにしぼってアピールできる
ISMSとPマークの違いについては、以下の記事も参考にしてみてください。
ISMS(ISO27001)とPマークの違いを比較!どちらがおすすめかもケース別に解説
個人情報保護が目的?ISO27001(ISMS)とプライバシーマークの違い – ジーサーティ・ジャパン
ISMSとPマークのどちらを取得するかは、以下の目安を参考にして総合的に判断するのがよいでしょう。
傾向として、IT系やBtoB企業はISMS、人材サービスや通販サイトなどはPマークを取得する傾向があります。
ISMSを取得するデメリットについても解説します。
ISMSを取得・維持するためには書類やマニュアルの作成が不可欠です。
そのため、現在の日常的に行われている本業に加えてISMS関連の作業が発生してしまいます。
ISMS関連書類の保管場所を確保しなければなりません。
ただし、デジタル文書でもOKなため、必ずしも物理的な保管場所が必要なわけではありません。
また、次回の審査に向けて「何の書類を・いつまでに」更新するか等、しっかり管理をする必要があります。
ISMSは取得して終わりではなく毎年審査を受ける必要があり、この毎年の審査の際にも必ず審査費用が発生します。
審査費用の目安は、業界・規模によりますが50万~200万円程度です。
また、多くの企業がISMS取得の際にはコンサルタントを利用しています。
その場合はコンサルタント費用も必要となります。条件によりますが、コンサルの費用は50万~100万円が目安です。
審査やコンサルの費用がISMSを取得することで得られるメリットに見合っているか、費用対効果を見込めるかどうかがキーポイントになるでしょう。
ISMS認証取得の流れは以下の通りです。
いかがでしたか?
本記事がISMSを取得すると得られるメリット・デメリットをきちんと把握した上で、「自社にとってISMSは本当に必要か/必要でないか」を考える一助となれば幸いです。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら
0800-888-0442
