取引先や顧客の情報を取り扱う企業であれば、セキュリティ管理は非常に大切です。個人情報や機密情報の管理はもちろん、利用しているPCやスマートフォンなど情報端末の利用なども含めてセキュリティのルールは整備されているでしょうか。

セキュリティ意識だけでなく、「社用端末の持ち出しは例外を除き不可」のような厳密なルールを決めることが情報漏洩を防ぐためにも大切です。また、セキュリティ対策をしっかり行うことで、社外の取引先や顧客に対して信頼を生み、円滑にビジネスを進めるためにも役立ちます。

今回、社内外にセキュリティ対策を徹底していることを証明できる「ISO27001(ISMS認証)」という情報セキュリティ認証制度について、基礎知識を紹介します。

ISO27001(ISMS認証)とは

ISO27001(ISMS認証)とは、情報セキュリティに関する国際規格の1つであり、その取り組みを指します。「情報セキュリティマネジメントシステム」とも呼ばれています。

企業では、PCやスマートフォンなど様々な情報端末を利用することが一般的になりました。それに伴い、企業の情報資産の適切な使用と保護が非常に重要視されています。

企業がISO27001に準拠しているかを第三者機関が認定する仕組みとして、「ISMS適合性評価制度」という制度があります。情報セキュリティに対する対策の一環として、IT企業だけでなく、顧客情報を取り扱う企業で実施されているのが特徴です。

取得する際、日本情報経済社会推進協会によって認定された第三者機関に申請を行い審査を受けます。詳細な流れに関しては後述しますが、審査条件を満たすことでISMS認証を受けられるのが特徴です。

のISMS認証は、情報セキュリティに関するルールが整備および実施されていることを確認するため、3年に1度継続的に審査を受け続けることになります。

参考:
ISMS | ISO27001|ISMS/ISO27001とは|ICMS(国際マネジメントシステム認証機構)

情報セキュリティの三大要件

そもそも情報セキュリティとは何を意味す言葉なのでしょうか。情報セキュリティとは、個人や企業が有する情報が外部へ漏洩しないために行う取り組みのことを指します。情報端末の利用者による漏洩だけでなく、ウイルス感染や端末の故障なども含まれます。

情報セキュリティに関わる脅威(人的ミスからウイルス感染etc.)への対策として、「機密性」「完全性」「可用性」の3つの要件が重要とされています。

【機密性】
悪意のある利用や人的ミスを防ぐためのアクセス権等の設定

【完全性】
意図しない情報の変更を防ぐために行う改ざん防止策やウイルスの検出ソフトの導入

【可用性】
必要な時に情報を参照できるようにバックアップや複数台の端末の準備

参考:
情報セキュリティの三大要件|はじめに

ISMS認証を取得するメリット・デメリット

企業がISMS認証を取得するにあたって、どのようなメリット・デメリットがあるのでしょうか。

第一に挙げられるメリットは、社内のセキュリティを制度として向上させられる点です。自社で取り扱う情報資産を個別にどのように管理し、取り扱うのか、具体的な利用方法に関して詳細に取り決めを行うため、流動性の高い部署でも高水準なリスクマネジメントが行えます。

次に挙げられるメリットは、ISMS認証を取得することで、外部の取引先企業や顧客への信頼感を生める点です。全社的に情報セキュリティ対策を継続して実施していることを外部に証明できます。機密性の高い情報を取り扱うビジネスや、小売業のような顧客情報を取り扱う企業であれば取得するメリットが大きいです。

一方で、デメリットとして挙げられるのは、社内に新たな制度を導入することで発生する工数です。例えば、商談の多い部署であれば情報端末や商談資料の持ち出しは日常的に行われています。

ISMS認証を取得することで、不可能になるわけではありませんが、事前に上長や情報システム部門からの承認が必要になることもあるため、業務工数が増えることが考えられます。

「プライバシーマーク(Pマーク)」との違い

ISO27001(ISMS認証)は、情報セキュリティという観点から「プライバシーマーク(Pマーク)」と非常に類似しているようにも感じられます。しかし、厳密には異なる取り組みです。

ISO27001(ISMS認証)は、国際標準規格および日本工業規格に準拠した取り組みですが、プライバシーマークは日本工業規格に準拠した取り組みです。また、対象となる領域も異なり、ISO27001(ISMS認証)は、全ての情報資産であるのに対して、プライバシーマークは個人情報に特化しています。

セキュリティ対策を行う領域が大きく異なることから、プライバシーマークを取得した企業が、将来的にISO27001(ISMS認証)を取得するという流れが一般的に行われています。

参考:
参考情報 ISMSとPマークの違い: セキュリティソリューション | NEC

ISO27001(ISMS認証)取得の大まかな流れ

ISO27001(ISMS認証)は第三者機関に申請し審査を行うことで取得できます。では、具体的にどういった手順で取得に至るのでしょうか。審査を依頼する第三者機関によって異なりますが、大まかに下記のような流れで取得します。

1.適用範囲の決定

ISO27001(ISMS認証)は、全社的に行うこともできますが、部署単位での認証も可能です。

そのため、国際規格ISO27001をどの範囲で適用させるかを決定します。自社で対応可能な領域なのか、必要性のある情報資産を持った領域なのかを踏まえるのが特徴です。

2.セキュリティに対する方針の作成

ISO27001(ISMS認証)をなぜ取得するのかといった方針を決めなければなりません。上述した情報セキュリティの三大要件に基づき、方針を定めた文書を作成します。これは、外部の企業や顧客へ開示する上でも必要になります。

3.リスクアセスメントと実施手順の策定

次に、自社の情報資産のリスクアセスメントと、ISO27001に準拠したセキュリティ制度の実施手順を作成します。自社が有する情報資産を洗い出し、その情報資産はどのようなシーンで漏洩する可能性があるのかリスクを分析します。そのリスクへの対策方法とその手順を策定し、手順書として明文化します。

4.社内での教育と導入

ISO27001(ISMS認証)を取得するに当たって、全社および適用領域で実施を進める必要があります。そこで、上記で定めた方針と手順書を元に、社員への教育を行い導入します。

5.内部監査とマネジメントレビュー

社内での実施を開始後、内部監査担当者によって実施の状況やISO27001(ISMS認証)が有効な取り組みとして実施されているかをチェックします。現状のセキュリティ対策で満たせているかどうか、改善策は考えられるのか見直し事項を決定するマネジメントレビューを行います。

6.審査機関による審査

社内での内部監査とマネジメントレビューを経た上で、第三者機関による審査が行われます。審査には文書審査と、社内での実施状況をチェックする現場審査があります。ISO27001(ISMS認証)の条件を満たしている場合、取得できます。

参考:
認証取得手順 ISO 27001(ISMS)認証取得 コンサルティング | NTTテクノクロス

まとめ

ISO27001(ISMS認証)は、社内にある個人情報や機密情報など「情報資産」を保護するために有効な認証制度です。社内だけでなく社外へ向けての信頼感を与えることができる取り組みと言えるでしょう。業態問わず実施できるため、自社のセキュリティ管理が満足の行く状態でないのであれば、非常に有効な手段となるでしょう。

審査にあたり全社的な情報資産の洗い出しやリスクアセスメントを策定が必要になるため、業務上で新たな工数が発生しますが、セキュリティ上のリスクを鑑みると得られるメリットは大きいと言えます。

コンプライアンスを確認する

コンプライアンスとは?意味や定義、違反事例や気を付けるべきポイントを解説

コンプライアンスとは?意味や定義、違反事例や気を付けるべきポイントを解説

近年コンプライアンスという言葉をよく聞きますが、意外とどんな意味なのか知らないことがあるのではないでしょうか?コンプライアンスとは日本語で「法令遵守」と訳され、企業がルールや社会的規範を守って行動することを指します。企業の不祥事が相次ぐ中、企業の規模に関係なく知っておきたい用語でしょう。今回はコンプライアンスとは何なのか、意味や定義を確認し、実際の違反事例、気を付けるべきポイントをご紹介します。コンプライアンスってよく聞くけど、結局何なの?とお悩みの方は、基本的な知識から学んでいきましょう。