ISMS認証とは？取得方法5ステップやメリット・申請のコツまで解説

ISMSとは、組織の情報資産の保護において重視される次の3つの要素を満たす体系的なシステムのことで、それを補償するのがISMS認証制度です。
 

大企業との取引にあたって、個人情報や機密情報の管理など情報セキュリティ施策の実施は今や必須条件です。
 

そこで、取引先や顧客から信頼される企業だと証明する情報セキュリティの第三者認証制度が、円滑にビジネスを進める上で役立ちます。
 

今回はISMS認証制度の概要や取得方法を紹介するので、参考にしてください。
 

　

ISMS認証とは

ここではISMS認証制度の概要についてご紹介します。　

　

そもそもISMSとは

そもそもISMSとはinformation system management systemの略で、情報セキュリティマネジメントシステムと呼ばれています。
 

ISMSは、組織の情報資産の保護において重視される次の3つの要素を満たす体系的な仕組みのことです。
 

• 機密性（Confidentiality）：情報を漏えいさせない
• 完全性（Integrity）：改ざんや誤りをなくす
• 可用性（Availability）：必要なときに必要な人が利用できる

 

ISMSには、情報を保護する技術的な対策のほか、従業員の教育・訓練や体制の整備なども含まれているのが特徴です。
 

なお組織のISMSが国際規格に適合していることを証明するために、日本情報処理開発協会（JIPDEC）が2002年4月よりISMS適合性評価制度（以下、ISMS認証制度）を運用しています。
 

ISMS構築に必要な国際規格

ISMSを構築する際に準拠すべき国際的な規格、つまりガイドラインが「ISO/IEC27001」です。
 

ガイドラインにはISMSの構築・実施・維持・改善方法について記載されています。
 

原文は英語となるため、日本国内向けに日本語訳され国内規格として「JIS Q 27001」が発行されました。
 

それぞれの正式名称は次のとおりです。
 

 

ISMS認証制度の目的

ISMS認証制度の目的は、組織の構築したISMSが国際規格に基づき正しく運用管理されているかどうか、第三者の立場で審査・証明することです。
 

利害関係のない公平な立場による第三者認証なので、取引先や顧客からの信頼確保に役立ちます。
 

ISMS認証の特徴は組織のマネジメント力が審査される点です。
 

自ら行った情報資産のリスク評価を元に必要なセキュリティレベルを設定し、計画をたて資源を配分しながら運用する力が評価されます。
 

技術的な対策だけでは不十分だと知っておきましょう。
 

なおISMS認証は、「ISO/IEC27001認証」「JIS Q 27001認証」と同じ意味です。
 

また第三者証明の信頼性を確保するために、初回審査の後も認証基準を満たしているか継続的な審査・再認証が行われます。
 

ISMS（ISO27001）認証の取得企業数

日本のISMS（ISO27001）認証の取得企業数は、2021年12月31日時点で6,977社です。
 

ISMS認証の取得企業数は、毎年のように増加しています。
 
背景としては、リモートワークやシステムのクラウド化など、どんどんビジネスがオンラインの世界へと移行する中、情報セキュリティの重要性が増している中で、信頼性担保のために取得するというニーズが増えているからです。
 

ISMS（情報セキュリティマネジメントシステム）認証を受けるメリット

 

ISMS認証の取得はなぜ必要なのでしょうか？
 

ここではISMS認証を受けるメリットを、対外的と社内的の2つの観点から見ていきましょう。
 

対外的なメリット

情報資産を保護する取り組みは、言葉で説明するよりも第三者認証を取得することで対外的にアピールしやすくなります。
 

ISMS認証の取得によって情報セキュリティ対策への説明責任を果たせるのが大きなメリットです。
 

ISMS認証を取得すれば、グローバルに通用する情報セキュリティレベルに達成していると取引先や顧客にアピールできます。
 

同時に、日本の情報セキュリティ全体の向上にも貢献できると言えるでしょう。
 

そのため競合他社との差別化が可能になり、自社の企業イメージを向上させられます。
 

実際にISMS認証の取得が取引の前提条件として示されるケースも増えています。
 

業績の拡大を目指すなら、検討すべき認証の1つと言えるでしょう。
 

社内的なメリット

一方、社内的には情報セキュリティインシデントの抑制が大きなメリットです。
 

ISMS認証を取得することは、情報セキュリティに関する従業員の意識やモラル向上に大きく貢献します。
 

そのため組織の情報セキュリティ管理体制の強化や情報セキュリティレベルを高水準で維持できるというわけです。
 

対外的・社内的なメリットを総合的に考えると、ISMS認証の取得は結果として企業へ利益をもたらすと考えられます。
 

ISMS認証の取得方法5ステップ

ここでは、ISMS認証の取得方法について紹介します。
 

ISMS認証制度には、
 

• 認証機関
• 認定機関

 
の2種類があります。
 

このうち認証審査の申込先は、認証機関です。
 

一方の認定機関は情報マネジメントシステム認定センター（以下、ISMS-AC）のことで、認証審査が適切に行われているか審査・確認しています。
 

上記を踏まえて、ISMS認証を取得するまでの大まかな流れを見ていきましょう。
 

1. 認証範囲の決定

まず初めに、ISMS認証を取得する範囲を決定します。
 

組織が置かれている状況や必要性に応じて認定が適用される範囲を決定しましょう。
 

全社あげての取得はもちろん可能ですが、特定の部署や拠点だけの取得も認められています。
 

実際に全社でISMS認証に取り組むのは、業務への負荷が大きくなり過ぎる場合もあるでしょう。
 

入札条件に示されているなどの理由でISMS認証が必要であれば、該当の拠点や部署だけに範囲を絞って認証を受けることも可能です。
 

2. 認証機関の選択

ISMS-ACから認定された認証機関の中から、申請先をどこにするか決めます。
 

ISMS認証機関の一覧は、ISMS-ACの公式サイトから参照可能です。
 

ISMS認証機関として、2022年3月時点で30機関が登録されています。
 

認証登録にかかる費用は認証範囲によることはもちろん、認定機関によっても異なる点に留意してください。
 

費用については、事前に見積もりをとって確認できます。
 

原則として、業種による申請先の制限はありません。
 

ISMS認証機関は、いかなる業種の組織でも審査可能です。
 

しかし業種特有の専門知識が必要であったり、利害がからむケースでは申請を受け付けてもらえなかったりすることがあります。
 

3. 認証機関へ申請

認証にかかる審査や登録に関する条件について、選択した認証機関との間で確認・合意に至ったら申請しましょう。
 

申請書類については、認証機関に個別に問い合わせる必要があります。
 

認証機関との間で契約を交わす場合もあるので、内容をよく確認することが大切です。
 

4. 2段階に及ぶ審査と登録

 

ISMS認証の審査は、第1段階と第2段階の2つのフェーズからなります。
 

申請受付から認証取得までの所要期間は、最短で3〜4ヶ月程度です。
 

認証の範囲や受審組織の規模に応じて、審査日数や審査工数が変動することを理解しておきましょう。
 

審査段階のそれぞれの目的は、次のとおりです。
 

• 第1段階：文書確認がメイン。マニュアルや手順書などのセキュリティマネジメントの根幹となる文書が国際規格に適合するかどうかの確認および審査。
• 第2段階：マネジメントシステムの実際の運用確認がメイン。従業員が運用ルールを遵守しているかどうかの確認および審査。

 

2段階の審査を経て「ISO/IEC 27001（JIS Q 27001）」への適合が認められると、認証登録へと移ります。
 

次に認証機関からISMS-ACへ、認証の事実が報告される流れです。
 

報告を受けたISMS-ACは、ホームページに認証の事実を公開します。
 

これにより「ISMS認証取得組織検索」から、取引先や顧客が自社の認証状況を確認できるというわけです。
 

なお報告時期によっては、公開時期が1ヶ月程度ずれる場合があります。
 

ISMSの取得を楽にするクラウドサービスはこちら
 

5. 登録維持のためにサーベイランス審査を受ける

ISMS認証は3年間有効とされていることから、再認証審査は3年ごとに実施されます。
 

ただし認証登録後には原則1年ごと、あるいはより短い間隔で登録維持のためにサーベイランス審査も受けることに留意してください。
 

定期的な審査に備えて社内リソースを確保したり、スケジュール組みをしたりする必要があります。
 

審査を受ける認証機関の選び方

ここでは、審査を受ける認証期間の選び方のヒントをご紹介します。
 

自社の業界・製品に知見のある機関を選ぶ

ISMS認証機関と受審組織との間には、確かに相性が存在します。
 

構築したISMSをスムーズに理解してもらうためにも、自社の業界や製品に知見のある認証機関を選ぶことが大事です。
 

公表されている審査実績があれば、自社の業種や事業実態と親和性が高いかどうかを確認する1つの目安になります。
 

妥当な費用を提示した機関を選ぶ

認証機関によって見積もりが異なるため、妥当な費用を提示した機関を選ぶと良いでしょう。
 

見積もりを依頼する際には、ISMSの適用範囲を明示して複数機関から見積もりをとるのがおすすめです。
 

見積もりの算出根拠や内訳が分かれば、認証機関を比較する際の検討材料になります。
 

まとめ

ISMSの構築や認証登録継続のためには、大変な労力や時間がかかります。
 

労力が報われやすいよう、自社と相性の良い認証機関を選択することも大切です。
 

取引先や顧客からの信頼を確保するためにも、ISMS担当者の方は確実に認証準備を進めて行くようにしましょう。