ISO27001
COLUMNISO規格の知識コラム(ISO27001)
顧客情報や個人情報を取り扱っている企業にとって、情報セキュリティ対策(情報漏えい対策)は常に付きまとう大きな課題です。
その対策として、情報セキュリティに関するISO27001(ISMS)やプライバシーマーク等の認証取得を検討されている方も多いのではないでしょうか?
ただし、ISO27001(ISMS)とプライバシーマークは同じ「情報セキュリティ」に関する規格とはいえ、目的や考え方・準拠する規格・適用範囲等が違っており、全くの別物といえます。
ざっくりとした違いは下記の通りです。
国際標準規格ISO27001(ISMS)をもとに運用を行う情報セキュリティマネジメントシステムの略称で、グローバルな規格。
保護対象は個人情報はもちろん、情報資産にあたる財務情報・技術情報・人事情報など多岐に渡り、それらの情報のセキュリティ対策が「機密性」「完全性」「可用性」の3つの原則に基づいて運用され、継続的に改善されていることが求められます。
一般財団法人日本情報経済社会推進協会(JIPDEC)によって運営されている日本の国内規格。
個人情報の収集・利用・保管・廃棄等取り扱いに関する仕組みや運用体制が「JIS Q15001」という個人情報保護マネジメントシステム規格に適合していることが求められます。
本記事ではISO27001(ISMS)とプライバシーマークの違いをさらに深堀りして解説してまいります。
ISO27001(ISMS)とプライバシーマークでは、その保護対象が異なります。
ISO27001(ISMS) | プライバシーマーク |
---|---|
個人情報を含む適用範囲内すべての情報資産が対象。 | 個人情報のみ。ただし、全社が適用範囲で情報を保有しない部門・部署も対象。 |
比較するとISO27001(ISMS)の方が保護対象の範囲が広い分、必然的に認証取得に時間を要するケースが多いです。
ISO27001(ISMS) | プライバシーマーク |
---|---|
国際標準規格に基づいているため、グローバルな認証規格 | 日本の国内規格のため、日本国内でのみ通用する |
ISO27001(ISMS)は世界基準での情報セキュリティを承認されるわけですから、国際的なやりとりを必要とする企業はISO27001(ISMS)を取得されるケースが多いです。
ISO27001(ISMS) | プライバシーマーク |
---|---|
認証範囲に関する規定がなく、部署や拠点・工場ごとに認証範囲を設定可能 | 企業ごとの取得しか認められていないため、企業全体(全部署・全従業員)が認証範囲 |
ISO27001(ISMS) | プライバシーマーク |
---|---|
「機密性」「完全性」「可用性」の3つの原則に基づいて情報資産を保護するための仕組みや体制づくりが行われ、それが継続的に改善されていることが求められます。 ただし規格として決まった手順があるわけではないため、企業内の情報資産に対して114項目の審査ポイントを元に自社の体制に合わせたルールや文書を作成することができます。 |
企業内のすべての個人情報の収集・利用・保管・廃棄等取り扱いに関する仕組みや運用体制が審査の対象となります。 「JIS Q15001」という規格で手順や作成する文書などが規格で明確に定められており、その枠組みから外れた場合は認証取得することができません。 |
ISO27001(ISMS) | プライバシーマーク |
---|---|
3年毎及び毎年の継続審査 ※認定の期間は3年間ですが、更新までの期間にも1年に1回維持審査があり、取得後も毎年審査を受ける必要があります。 |
2年更新 ※取得後は2年ごとに更新審査を受ける必要があります。 |
ISO27001(ISMS) | プライバシーマーク |
---|---|
審査機関によって大きな違いがあります。 また、審査の対象人数や拠点数により段階的に費用が上がっていきます。 |
審査の費用は企業規模(小規模・中規模・大規模)で変わります。 また、新規取得時の審査と更新時の審査でも違いがあります。 |
日本国内の取得企業数、取得されている業界・市場の違いと特徴について詳しく見てみましょう。
取得企業数は7317社(2021年3月時点)です。
情報セキュリティ対策が取られているか万全である証明となるため、システムの開発や運用を行うITシステム業の取得が多いです。
取得企業数は16,577社(2021年3月時点)です。
個人情報を取り扱う機会の多いBtoCのサービス業での取得が最も多く、次いで人材派遣業、印刷業、士業と続きます。
また、プライバシーマークに関しては取引先からの取得要求が理由で取得を目指す企業が多いようです。
公官庁の入札案件参加条件としてプライバシーマークが必要な場合もあります。
上記を見てみると個人情報の取り扱いが多い場合はプライバシーマークを取得した方が良いように思えますが、情報セキュリティ対策の中には個人情報の取り扱いも含まれているため一概にそうとは言えません。
ここまでで解説した通り、ISO27001(ISMS)とプライバシーマークは同じ「情報セキュリティ」に関する規格とはいえ違いも多くあります。
と単純に決定するのはお勧めできません。
まずはそもそも情報セキュリティに関する認証がなぜ必要なのか、取得の目的を再確認する必要があります。
その上で自社にとってどちらの規格が有効かつ持続的な運用が可能であるかを見極めましょう。
特定のリスクの低減を目的として行う対策のガイドラインのことを指します。
現行の規格では、114項目の管理策(達成するための手段)が設けられており、組織の状況に合わせ各項目についての取り組み(社内の運用ルール)を策定します。
そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。
「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。
「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。
ISO27001(ISMS)を認証取得していることは、組織内の仕組み・取り組みの品質保証に繋がります。
情報セキュリティが甘いと攻撃や情報漏洩のリスクが高まります。
そしてそういった事態は一度起こってしまうと取り返しがつかず、組織の信用回復も難しいでしょう。
そのため、行政の入札や大手顧客との取引でISO27001(ISMS)の取得が必須要件とされることが非常に増えてきています。
ISO27001(ISMS)は内部の仕組み改善だけでなく、対外的な信用を得る上でも非常に重要な存在としての認識が高まってきています。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
品質マネジメントシステム・情報セキュリティマネジメントシステム審査員として活動を行っています。 業界の話題や知識、他社事例などをベースに、丁寧で実直な審査を心がけています。 組織の課題やお悩みについてお気軽にお聞かせ下さい。
お問い合わせはこちら