ISMS認証とは？取得メリット・費用・Pマークとの違いまでわかりやすく解説

ISMS(情報セキュリティマネジメントシステム）とは、組織の機密性のあるものを一定の水準で確保する仕組みのことを指し、ISMS認証とは、情報セキュリティマネジメントシステムが適切に構築・運用され、ISMS規格に準拠して有効に機能しているかを、認証機関が審査のうえで確認し、基準を満たした組織に対して付与される認証です。この認証を取得することで、情報資産を適切に管理できる体制が整っていることを対外的に示すことができます。

本記事では、企業の管理職の方向けに取得メリット・費用・Pマークとの違いなどを徹底解説いたします。

ISMS(情報セキュリティマネジメントシステム）とは

ISMS(情報セキュリティマネジメントシステム）とは、組織の機密性のあるものを一定の水準で確保する仕組みのことを指します。具体的には、国際規格であるISO/IEC 27001および同等の国内規格JIS Q 27001に定められた要求事項を満たすことが条件となり、継続的に実施することが求められます。今回は、ISMSについて詳しく紹介します。

ISMS取得企業

近年、ISMS認証を取得する企業は増加傾向にあります。これは、情報セキュリティに対する意識の高まりと、ISMS認証が企業の信頼性を高める有効な手段として認識されるようになったためです。

ISMS取得企業の数

一般社団法人情報マネジメントシステム認証センターによると、2022年9月時点でISMSの認証登録数が7,000件を突破しました。ISMS適合性評価制度は、国際規格であるISO/IEC 27001:2013(JIS Q 27001:2014)を認証基準とした情報セキュリティマネジメントシステムの適合性に関する枠組みとなっており、2002年に正式運用開始後は、年々認証登録数が増加しています。

ISMS取得、海外企業の動向

ISMSの取得企業のほとんどが日本や中国となっています。IT業界を先導するオランダやアメリカは取得率が日本の約1/5となっています。なぜ欧米では導入されていないかというと、欧米などの海外ではCISO（最高情報セキュリティ責任者）を過半数の企業が設置していて、ISMSのように資格を取得する必要がないのが特徴です。日本は、CISO設置企業の割合が欧米と比べて低いことを示す情報処理推進機構の調査もあります。

ISMS取得企業の業界別割合

ISMSを取得している業界別企業の割合は、23種類の業種のうち、情報技術が58.2％と半数以上を占めています。情報技術の内訳は、受注ソフトウェア業(35.8％)やシステムインテグレーション業(30.7％)の割合が多くなっています。

ISMS取得企業の人数規模

実際にISMSを取得している企業の人数規模は、どれくらいなのでしょうか。全社から見た認証範囲の従業員数の割合では、認証範囲が全社と答えた企業は50.2％と、半数以上の企業が全社を認証範囲としていることが分かりました。認証範囲の従業員数を全社からみた割合についてアンケートをとった結果を分類すると、「20以上、50人以下の場合(26.4％)」、「5人以上、20人以下(19.9％)」、「100人以上、300人以下(19.5％)」、「50人以上、100人以下(19.1％)」の順番となりました。このことから、全社を認証範囲としている企業は半数以上で、従業員数では社内の約1/5程度の認証範囲となっていることが分かりました。

参照：ISMS 適合性評価制度に関する調査報告書(2018)

ISMS認証の取得方法

ISMSの認証を得るためには、適切な手続きを踏む必要があります。

ISMS認証の取得の流れ

ISMS認証の取得の流れは以下の通りです。

・適用範囲の設定
・情報セキュリティポリシーの設定
・体制を整える
・ISMS文書作成
・リスクアセスメントの設定
・従業員へのセキュリティ教育
・内部監査
・経営陣レビュー
・審査

ISMS認証取得のためには、部署や支店などの適用範囲を定めて取得することが可能です。そのため、どの範囲までを適用するのかを決める必要があります。一般的に、情報セキュリティポリシーの策定では、基本方針や対策基準、実施する手順を定めます。ISMS運用のためにISMS推進チームと内部監査チームをあらかじめ組んでおくことが大切です。ISMSの構築や報告などは推進チーム、社内監査等の実施や結果報告を行うのは内部監査チームとなります。ISMSは審査に通すだけの目的でなく、従業員も理解しやすい内容にしておきましょう。

リスクアセスメントの設定では、業務を行っていくうえで情報漏洩につながるような各れたリスクなどに対する対策について適用宣言書の作成を行います。ISMSを構築する上で従業員に自社の情報セキュリティへの理解を深めてもらうことはとても大切です。継続的な理解とセキュリティに関する意識向上のために役立つためです。ISMSを実際に運用し始めた後には、社内で策定したルールが適用されているのかを細かく内部監査によって調査します。運用が行き届いていないような場合にはリスクを洗い出し、改善のために補正をします。

経営陣レビューでは、ISMS運用の成果の共有の為に、現状についてや改善点などを協議します。審査では、1回目の文書審査と2回目の現地審査の全2回実施されます。1回目の文書審査では、ISMS/ISO27001の要求項目に適合しているのかの審査が行われます。現地審査では、適用範囲がルール通りの適用になっているのか、リスクがないかどうかを現地での確認と審査があります。

ISMS認証の適合性評価制度

認証を公正にするために、国際的な適合性評価制度が設けられています。

ISMS認証の外部審査機関

適合性評価制度では、「認証機関」、「認定機関」、「要員認証機関」の3つの機関で構成されています。それぞれ役割が異なる機関です。認証機関では、第三者機関としてISMSを運用している組織を認証審査します。認定機関では、認証審査が実施できるかを確認する認定審査を行います。要員認証機関は、認証審査に関する能力のある審査員を認証、登録する機関のことです。

ISMS認証の取得にかかる期間

ISMS認証の審査は、第1段階と第2段階のフェーズになります。申請してから認証取得までの所要期間は、最短で3か月から4か月程度を要します。認証範囲や審査機関の規模によって、審査日数や審査工数が変動する場合があります。またISMSの有効期間は、3年になります。

ISMS認証取得の費用相場

ISMS認証のためには、他のISO規格と同様に、ISO認定登録料、文書審査料、実地審査料などの認定取得費用がかかります。認定の為に利用する審査期間や審査を行う審査機関の規模によっても違いがありますが、最低でも50万円から100万円ほどのコストがかかります。また、ISMSを継続して利用するためのランニングコストがかかります。ISMSの維持のための更新審査費用の目安は、維持審査に認証登録時の約3割、更新審査には登録時の約6～7割の料金が発生することを考慮しておくことが必要です。

ISMS認証取得コンサルに委託する

ISMS認証取得を外部のコンサルタントに委託するケースが増えています。ここでは、コンサルタントに依頼するメリット・デメリットを解説し、自社にとって最適な選択を検討する材料を提供します。

ISMS認証取得コンサルのメリット

ISMS認定取得のために、コンサルに委託するメリットは、ISMS認定のための知識が豊富な為、コンサルに委託すれば、ほとんどの場合にISMS認定取得をすることができます。また、認定取得のための文書の作成なども行ってもらえるため、社内負担も減らすことが可能です。ISMS取得において、さまざまなアドバイスを参考に客観的にアドバイスをもらえるというメリットもあります。

ISMS認証取得コンサルのデメリット

ISMS認証取得コンサルを利用する場合には、依頼するための費用がかかるというデメリットがあります。依頼するコンサルによって、費用もさまざまなので自社に合った内容でコストなども無理のないコンサルに依頼するようにしましょう。

ISMS認証とPマークの違い、比較

ISMS認証は、セキュリティ全般に特化した認証であるのに対して、Pマークは個人情報を守るための規格になっています、Pマークは、PMS：Personal Information Protection Management Systemsの略称で、JISQ15001のJIS規格に基づいた個人情報の取り扱いが訂正である場合にPマークを付与する認定制度になっています。

ISMS認証とPマークの比較表

ISMS認証とPマークの主な違いを以下の表にまとめました。

規格	ISMS	Pマーク
開始時期	2002年4月	1998年4月
代表的な管理組織	情報マネジメントシステム認定センター（ISMS-AC）	日本情報経済社会推進協会（JIPDEC）
規格の規模	国際規格	日本国内の規格
保護の範囲(目的)	情報セキュリティ全般	個人情報保護に特化
対象(認証単位)	組織、サービス、個人などの自由	国内に活動拠点がある事業者
取得数	7,027件(2022年8月26日時点)	16,957社(2022年3月31日時点)
取得後の運用	毎年審査が必要。更新審査は3年ごと	2年ごとの更新審査が必要
アドオン(拡張)規格	あり	なし

ISMS認証とPマーク、どちらを取得すべき？

ISMS認証とPマークは、どちらも情報セキュリティに関する認証ですが、その目的や対象範囲が異なります。そのため、どちらの認証を取得するかは、自社の事業内容や抱えるリスク、将来的なビジョンなどを考慮して判断する必要があります。

■ISMS認証が向いているケース:
・医療機関、金融機関など、機密性の高い情報を扱う企業
・サプライチェーンの一環として、取引先からISMS認証を求められる企業
・組織全体のセキュリティレベルを向上させ、顧客や取引先からの信頼獲得を目指す企業

■Pマーク認証が向いているケース:
・個人情報を多く扱う企業 (ECサイト運営企業、人材紹介会社など)
・個人情報保護法への適合を明確に示し、顧客からの信頼を得たい企業
・個人情報保護に関するリスク管理体制を構築し、企業価値を高めたい企業

ISMS認証とPマークの取得は、企業にとって大きな投資となります。 しかし、適切な認証を取得することで、情報漏えいリスクの軽減、企業価値の向上、顧客からの信頼獲得など、多くのメリットを得ることができます。

情報セキュリティの3大要素「CIA」

ISO27001規格では、情報セキュリティの3大要素と言われる、それぞれの英語の頭文字をとった「CIA」をバランスよく保つことが大切です。

機密性（Confidentiality）

認定されていない個人や組織に対して、推測のされにくいパスワードやIPアドレスなどの信頼できるデータをキーとして閲覧や編集、そして実行軽減に関するパーミッションを与えることで、対策を施し情報を確実に開示しない特性のことです。機密性が損なわれた場合には、情報漏洩などが起こってしまい、インシデントが発生してしまいます。

完全性（Integrity）

インターネットを介した通信ではデータの改ざんが行われる可能性があります。こういったインシデントの発生を抑えるために、データの暗号化やバックアップ体制の構築により、データが正確で欠落していない状態を保証する特性のことを完全性といいます。

可用性（Availability）

認定した組織や個人がデータを要求した際に、アクセスやデータ使用が可能であることを確実にする特性のことです。インシデント発生時にも、あらかじめバックアップを取得していたり予備サーバーを用意することによって素早く復旧できるように対策をすることにより、可用性を維持できます。

ISMS クラウドセキュリティ認証

ISMSクラウドセキュリティ認証とは、ISO27017というISO規格に基づいた認証で、クラウドサービスの提供や利用における、情報セキュリティに関する第三者認証のことです。認証を受けることにより、クラウドサービスのセキュリティ管理が適切に実施されている組織であることを示すことができます。クラウドサービスの普及に伴い2015年にできた認証制度です。

ISMS文書の簡素化とは

ISMS文書の簡素化とは、認証の審査時のみに必要とされる文書や実際の業務に必要のないマニュアルなどの記録をスリム化することにより、運営コストを軽減するための作業です。実際の業務に必要のない部分をスリム化することにより、必要な箇所だけを利用できるため、余計な情報等を省くことできるため、業務の効率化も図れます。自社でISMS文書の簡素化が難しい場合にはコンサルなどにアドバイスをもらうのもおすすめです。

▼関連記事
システム監査とは？目的や流れ、義務、範囲などを網羅的に解説