企業のセキュリティ管理に関して、個人情報や機密情報の管理はもちろん、利用しているPCやスマートフォンなど含めて、ルールは整備されているでしょうか。

情報漏洩を防ぐためには「社用端末の持ち出しは例外を除き不可」のような厳密なルールを決めることが大切です。また、セキュリティ対策をしっかり行うことで、取引先や顧客に対して信頼を生み、円滑にビジネスを進めるためにも役立ちます。

今回、社内外にセキュリティ対策を徹底していることを証明できる「ISO27001(ISMS認証)」という情報セキュリティ認証制度について、基礎知識を紹介します。

目次

  1. ISO27001(ISMS認証)とは
    1. 情報セキュリティの三大要件
    2. ISMS認証を取得するメリット・デメリット
    3. 「プライバシーマーク(Pマーク)」との違い
  2. ISO27001(ISMS認証)取得の大まかな流れ
    1. 適用範囲の決定
    2. セキュリティに対する方針の作成
    3. リスクアセスメントと実施手順の策定
    4. 社内での教育と導入
    5. 内部監査とマネジメントレビュー
    6. 審査機関による審査
  3. まとめ

ISO27001(ISMS認証)とは

ISO27001(ISMS認証)とは、情報セキュリティに関する国際規格の1つであり、その取り組みを指します。「情報セキュリティマネジメントシステム」とも呼ばれています。

企業では、PCやスマートフォンなど様々な情報端末を利用することが一般的になりました。それに伴い、企業の情報資産の適切な使用と保護が非常に重要視されています。

企業がISO27001に準拠しているかを第三者機関が認定する仕組みとして、「ISMS適合性評価制度」という制度があります。情報セキュリティに対する対策の一環として、IT企業だけでなく、顧客情報を取り扱う企業で実施されているのが特徴です。

取得する際、日本情報経済社会推進協会によって認定された第三者機関に申請を行い審査を受けます。詳細な流れに関しては後述しますが、審査条件を満たすことでISMS認証を受けられるのが特徴です。

のISMS認証は、情報セキュリティに関するルールが整備および実施されていることを確認するため、3年に1度継続的に審査を受け続けることになります。

参考:
ISMS | ISO27001|ISMS/ISO27001とは|ICMS(国際マネジメントシステム認証機構)(※2019年11月現在、ページが存在しないためリンクを削除しました)

情報セキュリティの三大要件

そもそも情報セキュリティとは何を意味す言葉なのでしょうか。情報セキュリティとは、個人や企業が有する情報が外部へ漏洩しないために行う取り組みのことを指します。情報端末の利用者による漏洩だけでなく、ウイルス感染や端末の故障なども含まれます。

情報セキュリティに関わる脅威(人的ミスからウイルス感染etc.)への対策として、「機密性」「完全性」「可用性」の3つの要件が重要とされています。

【機密性】
悪意のある利用や人的ミスを防ぐためのアクセス権等の設定

【完全性】
意図しない情報の変更を防ぐために行う改ざん防止策やウイルスの検出ソフトの導入

【可用性】
必要な時に情報を参照できるようにバックアップや複数台の端末の準備

参考:
情報セキュリティの三大要件|はじめに(国際マネジメントシステム認証機構)(※2019年11月現在、ページが存在しないためリンクを削除しました)

ISO27001(ISMS認証)を取得するメリット・デメリット

企業がISMS認証を取得するにあたって、どのようなメリット・デメリットがあるのでしょうか。

第一に挙げられるメリットは、社内のセキュリティを制度として向上させられる点です。自社で取り扱う情報資産を個別にどのように管理し、取り扱うのか、具体的な利用方法に関して詳細に取り決めを行うため、流動性の高い部署でも高水準なリスクマネジメントが行えます。

次に挙げられるメリットは、ISMS認証を取得することで、外部の取引先企業や顧客への信頼感を生める点です。全社的に情報セキュリティ対策を継続して実施していることを外部に証明できます。機密性の高い情報を取り扱うビジネスや、小売業のような顧客情報を取り扱う企業であれば取得するメリットが大きいです。

一方で、デメリットとして挙げられるのは、社内に新たな制度を導入することで発生する工数です。例えば、商談の多い部署であれば情報端末や商談資料の持ち出しは日常的に行われています。

ISMS認証を取得することで、不可能になるわけではありませんが、事前に上長や情報システム部門からの承認が必要になることもあるため、業務工数が増えることが考えられます。

「プライバシーマーク(Pマーク)」との違い

ISO27001(ISMS認証)は、情報セキュリティという観点から「プライバシーマーク(Pマーク)」と非常に類似しているようにも感じられます。しかし、厳密には異なる取り組みです。

ISO27001(ISMS認証)は、国際標準規格および日本工業規格に準拠した取り組みですが、プライバシーマークは日本工業規格のみに準拠した取り組みです。また、対象となる領域も異なり、ISO27001(ISMS認証)は、全ての情報資産であるのに対して、プライバシーマークは個人情報に特化しています。

セキュリティ対策を行う領域が大きく異なることから、プライバシーマークを取得した企業が、将来的にISO27001(ISMS認証)を取得するという流れが一般的に行われています。

参考:
参考情報 ISMSとPマークの違い: セキュリティソリューション | NEC

ISO27001(ISMS認証)取得の大まかな流れ

ISO27001(ISMS認証)は第三者機関に申請し審査を行うことで取得できます。では、具体的にどういった手順で取得に至るのでしょうか。審査を依頼する第三者機関によって異なりますが、大まかに下記のような流れで取得します。

1.適用範囲の決定

ISO27001(ISMS認証)は、全社的に行うこともできますが、部署単位での認証も可能です。

そのため、国際規格ISO27001をどの範囲で適用させるかを決定します。自社で対応可能な領域なのか、必要性のある情報資産を持った領域なのかを踏まえるのが特徴です。

2.セキュリティに対する方針の作成

ISO27001(ISMS認証)をなぜ取得するのかといった方針を決めなければなりません。上述した情報セキュリティの三大要件に基づき、方針を定めた文書を作成します。これは、外部の企業や顧客へ開示する上でも必要になります。

3.リスクアセスメントと実施手順の策定

次に、自社の情報資産のリスクアセスメントと、ISO27001に準拠したセキュリティ制度の実施手順を作成します。自社が有する情報資産を洗い出し、その情報資産はどのようなシーンで漏洩する可能性があるのかリスクを分析します。そのリスクへの対策方法とその手順を策定し、手順書として明文化します。

4.社内での教育と導入

ISO27001(ISMS認証)を取得するに当たって、全社および適用領域で実施を進める必要があります。そこで、上記で定めた方針と手順書を元に、社員への教育を行い導入します。

5.内部監査とマネジメントレビュー

社内での実施を開始後、内部監査担当者によって実施の状況やISO27001(ISMS認証)が有効な取り組みとして実施されているかをチェックします。現状のセキュリティ対策で満たせているかどうか、改善策は考えられるのか見直し事項を決定するマネジメントレビューを行います。

6.審査機関による審査

社内での内部監査とマネジメントレビューを経た上で、第三者機関による審査が行われます。審査には文書審査と、社内での実施状況をチェックする現場審査があります。ISO27001(ISMS認証)の条件を満たしている場合、取得できます。

参考:
認証取得手順 ISO 27001(ISMS)認証取得 コンサルティング | NTTテクノクロス

身近に潜む情報漏洩のリスク

ISO27001(ISMS認証)の取得には多くの労力がかかるため、「そこまでのコストをかける必要があるのか?」と迷っている方もいるでしょう。しかし情報漏洩の問題というのは他人事ではなく、どんな企業にだって起こりえることです。

以下の記事では2014年に起こった情報漏洩の事件が6つ紹介されています。実際の事例を目の当たりにすることで情報セキュリティの重要性を認識できることでしょう。

2014年に起きた企業の情報漏洩ニュース6記事まとめ

2014年に起きた企業の情報漏洩ニュース6記事まとめ

2014年に起こった主な情報漏洩記事をまとめました。今年1年の情報漏洩を見直し、改めてリスク管理の重要性を意識しましょう。

また、上の記事ではシステム上の欠陥やミスによる事例が挙げられていますが、それより恐ろしいのが関係者の持ち出しによる情報漏洩です。以下の記事では大手企業2社で実際に起こった内部犯による情報漏洩事件が紹介されています。

サイバー攻撃よりも怖い?社員や取引先などの内部犯による情報漏洩事例と対策方法

サイバー攻撃よりも怖い?社員や取引先などの内部犯による情報漏洩事例と対策方法

今回は、内部の人間が関わった情報漏洩の事例と対策を解説します。NPO法人日本ネットワークセキュリティ協会による調査では、2015年度の個人情報漏洩件数のうち不正アクセスまたはウィルスメール・盗難によるものは全体の14.8%となりました。一方、内部犯罪や不正な持ち出しによるものは6.9%にも上ります。情報漏洩は企業活動自体を揺るがしかねない大きな問題です。そのような問題が起こらないよう、社外からの対策だけでなく社内の対策にも目を向けていきましょう。

たとえ社員や取引先であっても、人に対する信用に「絶対」という言葉はありません。やはりきっちりとした制度を取り入れていてこそ、信用は確立されるものではないでしょうか。そういった意味で国際規格のISO27001(ISMS認証)を取得するプロセスはひとつの基準になります。

ISO27001(ISMS認証)の取得にはかかる手間以上のメリットがある

ISO27001(ISMS認証)は、社内にある個人情報や機密情報など「情報資産」を保護するために有効な認証制度です。社内だけでなく社外へ向けての信頼感を与えることができる取り組みと言えるでしょう。業態問わず実施できるため、自社のセキュリティ管理が満足の行く状態でないのであれば、非常に有効な手段となるでしょう。

審査にあたり全社的な情報資産の洗い出しやリスクアセスメントを策定が必要になるため、業務上で新たな工数が発生しますが、セキュリティ上のリスクを鑑みると得られるメリットは大きいと言えます。

コンプライアンスを確認する

コンプライアンス(コンプラ)とは?意味や定義、違反事例や気を付けるべきポイント

コンプライアンス(コンプラ)とは?意味や定義、違反事例や気を付けるべきポイント

コンプライアンスとは日本語で「法令遵守」と訳され、企業がルールや社会的規範を守って行動することを指します。今回はコンプライアンスとは何なのか、意味や定義を確認し、実際の違反事例、気を付けるべきポイントをご紹介します。