ISO27001とは、国際的な規格を定める国際標準化機構(ISO:International Organization for Standardization)が定めた情報セキュリティマネジメントに関する規格です。この記事では、ISO27001とはどのような規格なのか、概要や取得する必要性について解説します。
2023.09.29
基礎知識
ISO27001とは何か?規格の概要や必要性について詳しく解説
ISO27001とは
ISO27001の概要と目的
ISO27001は、国際標準化機構(ISO)が定めた情報セキュリティマネジメントシステム(ISMS:Information Security Management System)の国際規格のことです。ISO27001の目的は、情報のセキュリティ管理で必要な3大要素、適切な権限設定を行いデータへのアクセスを保護する「機密性」、データを最新かつ正確な状態で保持する「完全性」、データをいつでも利用できる状態にしておく「可用性」を維持しながら、機密情報を守り、漏えいを防止することです。
つまり、ISO27001の認定を受けていることは、適切な情報セキュリティ管理体制を構築し、運用しているという証明になります。
ISMSやPマークとの違い、JIS Q 27001との関係
前出のとおり、ISMSとは、日本語では「情報セキュリティマネジメントシステム」を意味します。リスクの評価を行い、それに基づき情報資産を保護するために行うセキュリティマネジメントの仕組みを指します。
一方、Pマーク(プライバシーマーク)は、個人情報を取り扱うにあたり、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に準拠していることを認証するマークです。Pマークの保護対象は個人情報に限定されます。
ISMSは情報セキュリティ管理の体制・仕組みそのものを指し、そのISMSをどのように構築して運用するのかを定めた国際規格がISO27001です。PマークとISO27001との違いは、Pマークは保護対象が個人情報である国内規格であるのに対して、ISOは事業者のすべての情報資産を対象とした国際規格である点です。
なお、JIS Q 27001は、ISO27001を日本語に訳したJIS規格で、書かれている言語が違うだけで中身はほぼ同じものです。
ISO27001の必要性
ISO27001の取得企業数
ISMSを管轄する一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が公表している「ISMS認証取得組織検索」によれば、2023年6月時点でISO27001を取得している企業は7,000社以上にのぼります。
企業が情報漏えいを引き起こしてしまった場合、信用問題にも関わってくることがほとんどです。こうした背景から、適切な情報セキュリティ対策に取り組んでいることを証明し、信頼性のある取引先として評価されることを目指して、ISO27001認証を取得する企業が多くなっています。
2004年ごろからISO27001を取得する、もしくは取得を検討している企業の数が大幅に増加しており、情報セキュリティへの関心が急速に高まっていると言えます。
ISO27001を取得すべき業種
ISO27001は、どの業種の企業でも取得可能です。そのなかでも、特にISO27001を取得するメリットのある業種は、多数の個人情報や機密情報を取り扱う業種です。具体的には「情報通信技術関連産業」「人材派遣業」「金融業」などが当てはまります。
ISO27001が必要な理由
ISO27001が必要な理由については、大きく3つ「信頼性の向上」「情報漏えいリスクの軽減」「従業員の意識向上」が挙げられます。
- 信頼性の向上:ISO27001の取得は、情報セキュリティに対する社会的信頼を確保するために有効です。多くの情報を取り扱う現代では、取引先を選ぶ基準として、情報資産へのセキュリティ対策やデータの管理が重要視されるためです。
ISO27001の取得は、自社の情報セキュリティ対策への取り組みが適切であることを示し、信頼性向上や競合他社との差別化にも効果を発揮します。
さらに、ISO27001を取得することで、自社のWebサイトや名刺にISO27001のロゴマークを掲載することが可能になります。このロゴマーク掲載も、社外へのアピールにひと役買うでしょう。
- 情報漏えいリスクの軽減:人材派遣業などの多くの個人情報を保有している企業では、情報漏えいのリスクが高まります。情報漏えいが発生すれば、法律違反や社会的信用の失墜、利益や売り上げの喪失のほか、場合によっては企業存続の危機となる可能性もあります。そのような事態を防ぐためにも、ISO27001のフレームワークに沿った業務の運用が有効です。
- 従業員の意識向上:ISO27001を取得している企業は、ISO27001のフレームワークに沿った情報セキュリティ対策のマニュアルやルールを社内に周知し、運用します。また、ISO27001は認定後も定期的な審査があります。そのため、従業員の意識や行動に定着しやすく、それが情報セキュリティリテラシー向上に寄与することで結果的に人為的なエラーが減少し、情報セキュリティが強化されます。
ISO27001を取得する際の注意点
ISO27001を取得する際の注意点としては以下が挙げられます。担当者はISO27001認定後の手続き、維持要件なども把握したうえで取得を目指すことが理想的です
取得にかかる費用
ISO27001の取得には費用がかかります。初期費用の内訳としては「一次審査費用」「二次審査費用」「登録料」があります。一次審査では自社の情報セキュリティの運用とISO27001が求める要求との差を分析し、どのようにギャップを埋めていくのかを文書化したものが審査され、二次審査では実際に審査機関の担当者が実地審査を行います。
この審査に伴い発生した「審査員の交通費・宿泊費」については、企業が負担します。自社の規模、工数、また審査を依頼する機関により費用は異なります。
取得後の運用
ISO27001の取得後は、1年ごとに定期審査があり、3年目には更新審査が行われます。そのため、これらに向けた運用が必要となります。 具体的な運用においては、下記を行うことが大切です。
- 情報セキュリティリスクアセスメント:リスクを業務プロセスや保有する情報資産ごとに洗い出し、それぞれへの対策を実施して効果を測ります。
- リスク対応の目標達成と管理:洗い出したリスクへの対応に向けた目標を設定、管理します。
- マニュアル作成と従業員教育:ISO27001の要件に沿った業務運用マニュアルを作成し、従業員への教育を行います。マニュアルは必要に応じてアップデートまたは修正を行います。
- 経営層への報告とレビュー:経営層に運用結果と今後の方向性を報告し、レビューを受けます。
- インシデント対応と改善:発生したインシデントの記録と対応プロセスのレビューを行い、不適合があれば是正処置を行い、再発防止策を講じます。
作業工程の増加
ISO27001の認証を受けたあとも、都度そのプロセスに沿ったシステムの整備、運用が求められるため、作業工程の増加が見込まれます。
ISO27001を取得して安心できる取引を
ISO27001は、国際的な信頼性を持つ情報セキュリティマネジメントの規格です。取得には審査を受ける必要があり、取得後も定期的なチェックが行われるため、要求される水準を維持しなくてはなりません。情報セキュリティに対する意識が高まるなか、この厳格な規格の認定は自社の信用を高めるだけでなく、他者との取引においても大きな信用材料となります。
DRSはISO27001を取得※しており、情報セキュリティに対する信頼性を確保しています。情報資産を取り扱うPCレンタルサービスにおいては、安心して利用できることが何よりも大切です。PCのレンタルサービスのご利用は、ぜひDRSをご検討ください。
※所在地:本社、登録範囲:PCライフサイクルマネジメントサービス業務
