Q. ISO27001(ISMS認証)とは?

ISO27001(ISMS認証)とは、簡単に述べるならば情報セキュリティマネジメントシステム(Information Security Management System 以降ISMS)を構築・運用し、継続的に改善するための規格です。

ISO27001とは?

ISO27001とISMSは、同じ意味で用いられていますが、厳密には意味が異なります。ISMSとは、個人情報だけでなく、開発情報、財務情報など、その組織にとって価値のある情報のセキュリティを実現するための仕組みそのものです。この仕組みを構築・運用し、継続的に改善するための規格がISO27001です。

なお、情報セキュリティとは、情報の機密性保護だけを指しているわけではありません。情報セキュリティとは、情報への気配りそのものです。情報にも様々な特性があり、機密性が重要な情報もあれば、機密性は無くとも使い勝手や正確さが重要な情報もあります。したがいまして、情報を誰も触れることができないように保管するだけでは、情報セキュリティを実現しているとは言い切れないのです。

ISO27001はどういった企業が取得するか?

ISO27001の取得に業種は問いませんが、例えば、ソフトの受託開発をされている企業は、取引先からの認証取得ニーズが多いです。他にも、未発表の商品情報やその他企業の情報を顧客から預かるような企業、カタログ・マニュアル・広告などの制作をされている企業、翻訳や印刷をされている企業を挙げることができます。

また、ISO27001は対象範囲(適用範囲)の設定に裁量の余地があり、プライバシーマークよりも柔軟性があるため、対象範囲を調整したい企業、例えば大規模な企業はプライバシーマークよりもISO27001を選択されるケースが多いです。

なお、ISO27001以外のISO認証(例えばISO9001 やISO14001等)を取得している企業であれば、ISO27001の審査と同時に受審することができ、時間的・コスト的に有利になるというメリットがあります。

ISMS認証取得の難易度は?

ISMS認証の取得自体は、決して難しいことではありません。なぜなら、審査は

  1. ① 仕組み(ISMS)ができているか
  2. ② 仕組みが運用されているか

を問われるわけであり、パフォーマンスを問われるわけではないからです。パフォーマンスをはかる仕組みの有無とそれが実行されているかどうかが問題というわけです。

したがいまして、パフォーマンスそのものが上がっているのかいないのかは大きな問題ではありません。

本当に難しいのは認証取得の可否ではなく、身の丈にあったISMSを構築、運用し、改善し続けることです。これは非常に難しいテーマです。

ただ認証を取得するだけであれば、時間さえかければ弊社のようなコンサルティング事業者の手を借りずとも可能です。ただ、身の丈にあったISMSを構築できるかどうかとなると難しいかもしれません。その意味では、コンサルティング事業者を利用される価値はあろうかと思います。

ISO27001とプライバシーマークの取得はどちらが難しいのか

どちらとも言えません。ただ、お手間の問題で言えば、対象範囲が同一と仮定するとISO27001のほうがお手間がかかることが多いです。プライバシーマークはコンプライアンスの色合いが強いため、ISO27001と比較すると裁量の余地が小さいです。したがいまして、やるべきことがほぼ決まっているためあまり迷うことがありません。また、対象が個人情報に限定されていることも負荷の大小に繋がります。

ただし、審査の面では、ISO27001のほうが時間はかかりますが、その分現状をふまえ、継続性を考慮した審査(将来を見据えた審査)がなされますので、実態に即した妥当な結論になることが多いです。プライバシーマークは、コンプライアンス重視であるため、審査の度に掘ったり埋めたりを繰り返し(継続性はあまり考慮せずにその場その場で良いか悪いか)のような審査となります。この違いは制度の方向性の問題ですので良い悪いの問題ではありません。

審査機関について

ISO27001の審査は、審査機関が行います。その審査機関は複数(数十社)存在し、それらの中から任意で選ぶことができます。言い換えれば、任意であるが故に選択を迷われるのではないかと思われます。

ご指定の審査機関がありましたら、お聞かせください。ご指定の審査機関が無い、または審査機関選定にお困りの場合は、お気軽にご相談ください。過去の事例をふまえて審査機関をご案内しております。審査機関のご案内だけでも承ります。

審査機関による違いは、主に

  1. ① 審査料金
  2. ② 審査可能規格

となって現れます。また、審査機関によっては、事前面談が設定されていたりするところもあります。

料金については、同じ対象範囲であっても倍ほど違うことがあったり、初回審査は安価だけど認証後の審査(維持審査や更新審査)が高額であったりと審査機関によって特徴があります。

また、ISO27001の審査実績は多いけど、その他の認証の実績はそれほどでもないということもあります。

いずれにせよ、弊社のようなコンサルティング事業者から情報を引き出していただくことが効率的ですので、積極的にご活用ください。

ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。

受付時間:平日 9:00~18:00