ISMS（ISO27001）認証を取得するメリット

公開日：2020.01.20　最終更新日：2023.07.19

インターネットでの情報管理が主流となった現代では、セキュリティ対策や従業員のコンプライアンス意識向上が企業にとっての重要な課題となりました。

本記事では、誰もが情報を取り扱うことが当たり前となった現代に適した認証制度「ISMS（ISO27001）」について、基礎知識やメリットを解説します。
従業員のコンプライアンス意識を向上させたい、またはセキュリティについて取引先からの信頼を獲得したいとお考えの事業者様は、ぜひ最後までご覧ください。

1 ISMS(ISO27001)とは
2 ISMSとほかの規格の違い
- 2.1 ISMSとISO27001の違い
- 2.2 ISMSとPマークとの違い
3 ISMS 認証の取得・更新にかかる費用
4 ISMS認証を取得するメリット
5 ISMS認証を取得するデメリットとは
6 ISMS 認証取得までの4ステップ
7 ISMS認証の審査項目とは？
8 ISOのコンサルティング会社を選ぶ際に押さえたいポイント
9 ISMS認証取得で自社の情報管理に関する信頼度をアピールできる

ISMS(ISO27001)とは

ISMSとは「情報セキュリティマネジメントシステム」を指す言葉で、情報セキュリティに関するISO規格の1つとして使用されます。
マネジメントシステムに基づき認証を取得することで、自社が社内外におけるセキュリティ対策を徹底している事実を証明することが可能です。

ISMSの有効期間は3年となっており、3年ごとに更新審査を受ける必要があります。
また取得から1年ごとに実施される維持審査を受けなければISMS認証を失効してしまうため、毎年の審査をクリアし続けることで認証規格を維持できます。

ISMSの役割は自社内の情報資産やリスクを適切な方法で管理することによって、情報資産の「機密性」「完全性」「可用性」を維持することです。

機密性

機密性とは、対象の人物のみが特定の情報資産にアクセスできる状態です。
許可された従業員や社内外の人物のみに情報へのアクセス権・利用権が与えられている状態を維持することで、情報資産のセキュリティを強固にします。

具体的には、社員の評価や給与一覧といった個人情報・機密情報を、役員や人事部門の責任者しか知らないパスワードで管理する例が挙げられます。

完全性

完全性とは、情報の精度が高い状態が保たれ、外部の人物が容易に改ざんできない状態です。
具体的には、社内で作成した誓約書の内容を社外の人物に提示する際、第三者は編集できない状態に設定しておく例が挙げられます。

可用性

可用性とは、情報へのアクセス権を許可された人物が確実に情報を閲覧したり編集したりできる状態のことです。
許可された情報に対し、情報へのアクセスが必要な場合に迅速にその情報を利用できる状態といえます。

具体的には、請求書を月別に保管する際、過去の請求書データを削除することなく主な保管場所にはもちろん、定期的なバックアップを取り別の場所へデータを保管しておく例が挙げられます。

これら3つの要素を実現するためには、以下のような取り組みが効果的です。

セキュリティリスクを洗い出し一覧化する
対応が必要なリスクの優先順位を確定する
リスクに対するセキュリティ対策を講じる
セキュリティに関する社内ルールを確立する
ルールが遵守されているかチェックする

近年情報漏洩や個人情報に関するトラブルが多発するなかで機密情報を安全に運用するためには、ISMSを構築・運用することでセキュリティリスクに備えることが重要です。

ISMSとほかの規格の違い

ISMSのほかにも、セキュリティマネジメントシステムを基準とした認証規格は数多く存在します。
ここからは、ISMSと類似するほかの規格との違いについて解説します。

ISMSとISO27001の違い

ISMSトISO27001はほぼ同じ意味・用途で使用されるため同一規格として間違われやすいですが、厳密には違いがあります。

その違いとは、ISO27001はISO規格そのものを指す言葉である一方、ISMSはISOを構築するマネジメントシステムそのものを指すという違いです。
つまり、ISMSを構築することでISO27001を取得できるという言葉の使い分けがされます。

しかしISO27001は情報セキュリティに関する国際規格のことでISMS認証を取得するためにクリアするべき基準を定めたものであるため、多くの場面では同じ意味の言葉として用いられます。

ISMSとPマークとの違い

Pマークとは「プライバシーマーク」と呼ばれ、個人情報を適切に保護するための体制を整備している企業に対して与えられる認証マークです。
Pマークの表示を自社のホームページや広告ページなどに記載することで、高いセキュリティ体制を構築・運用している企業として顧客や他社に対してアピールできます。

個人情報を取り扱う認証規格として混同されやすいISMSとPマークですが、審査の対象において2者には大きな違いがあります。
Pマークは審査対象を個人情報のみに限定しているため、個人情報以外の取り扱いに対しては審査対象外とし、個人情報保護に特化した認証規格として機能します。

一方ISMSは個人情報をふくむすべての情報の取り扱いに対して審査を行うため、Pマークと比較して規模が大きく管理対象が広いという特徴があります。

ISMSとPマークの違いについてさらにくわしく知りたい方は、こちらのISMSとPマークの具体的な違いをご覧ください。

ISMS 認証の取得・更新にかかる費用

ISMS認証を自社で取得する場合、必要な費用の内訳は以下の4つに分けられます。

第1段階審査費用
第2段階審査費用
登録費用
審査員の交通費・宿泊費

それぞれの費用相場は認証規格取得を依頼する業者によってそれぞれ異なるため、自社の予算にあう業者を見つけるためには複数の審査機関もしくはコンサルティング会社へ相見積もりを申請するのがおすすめです。

また先述したようにISMS認証を継続するためには3年に1度の更新審査と、1年に1度の継続審査に通過する必要があり、審査を受けるにはそれぞれ審査費用が必要です。
ISMS認証を取得するには取得時の費用だけでなく、認証規格を継続するための費用も必要である点に注意が必要です。

一般的に審査員の交通費や宿泊費を除く審査費用は約50万～100万円が相場とされます。
また維持審査・継続審査にはそれぞれ数十万円が一般的に必要です。

審査費用は審査機関の種類や審査の規模によって異なります。
そして審査費用は、以下の要素によって変動します。

どの審査機関に申請するか
自社で審査手続きを行うか、コンサルティング会社に審査手続きを依頼するか
自社の業種
自社の拠点数
自社の従業員数（規模）

ISMS認証の取得をコンサルティング会社に依頼する場合には、コンサルティング料金として数十万～数百万円を支払わなければなりません。

コンサルティング料金はコンサルティングの内容によって異なり、ISMS構築のためのアドバイスのみであれば数十万円で済む一方、ISMSの運用や維持・更新審査のサポートまでを依頼する場合には年間100万円以上かかるケースもあります。

ISMS認証を取得するメリット

ここまでISMS認証の概要やISMS認証取得にかかる費用相場について解説しました。
それでは、ISMS認証を取得することによってどのようなメリットが得られるのでしょうか。

ここからはISMS認証を取得するメリットについて、3つのポイントを解説します。

メリット①取引先や顧客からの信頼を高めることができる

ISMS認証取得済みの企業であることを顧客や取引先にアピールできれば「この企業は情報管理に関する一定の知識があり、確実なセキュリティ対策を行っている」という証明を示せます。
情報管理に関して厳正な体制で運用を行っているということは企業のブランドイメージにも繋がり、顧客や取引先に高い信頼感をもってもらえるメリットがあります。

情報セキュリティ対策は、言葉での説明が難しく証明や定義が難しい分野といえます。
そこでISOという1つの基準を満たしていると取得できるISMSを取得することによって、わかりやすく確実なかたちで自社の信頼性をアピールできます。

メリット②売上機会の拡大

企業によっては取引先の条件として「ISMS認証の取得」を必須条件にしているケースもみられます。
そのためISMS認証を取得することで今後の取引の機会を拡大し、さらに取引に進めた場合にはよりスムーズに取引を進行できるメリットがあります。

ISMS認証の取得は外部から好印象を得られるだけでなく、ビジネスシーンにおいても有益にはたらく可能性があるのです。
直接的な売上や取引の場面でISMS認証を役立てることで、企業の売上向上や事業拡大へ繋がる可能性も広がります。

メリット③社内のコンプライアンス意識の向上

ISMS認証を取得することでマネジメントシステムに基づく詳細な情報管理を自社でまかなう必要があり、そのことによって必然的に情報の取扱いにおける制度が構築されます。
制度の構築が進めば社内におけるセキュリティ意識・コンプライアンス意識が向上し、情報管理をより精密に行えるようになるでしょう。

ISMS認証によって自社における情報漏洩やコンプライアンス違反といったリスクを回避でき、社内環境を改善できるメリットがあります。

ISMS認証を取得するデメリットとは

ここまで、ISMS認証を取得するメリットについて解説しました。
ISMS取得によって社外への信頼度獲得へ前進できるだけでなく、社内環境の改善にも役立てられるといった大きなメリットが得られます。

ただし一方で、ISMS取得によるデメリットもあります。
ここからはISMS認証を取得するデメリットについて、3つのポイントを解説します。

とはいえ大きな損害が発生するといった負の要素が強いデメリットではないため、ISMS取得の準備にあたってひろくISMSに関して知識を得る際に参考にしてみてください。

デメリット①認証取得の運用工数が多い

ISMS認証取得では踏むべき手順が多く、運用工数が多くかかってしまうデメリットがあります。
ISMS認証取得の手続きで審査まで進むにはさまざまな準備の必要があります。

例えば情報セキュリティに関する規定を確定したり、社内で実施した施策を書面として残したりといった事務的作業が求められるのです。
とくに書類作成ではISMS文書の数が50～60におよぶこともあり、情報や文書の管理に大きな手間と労力がかかってしまいます。

さらには、ISMS取得後には情報セキュリティに関して遵守すべき項目・ルールが増えたり、セキュリティ教育の受講を全従業員に対し実施しなければならなかったりなど、社員に対し一定の負担を要求するケースも考えられます。

デメリット②審査費用が発生する

ISMS認証取得の審査にかかる費用の相場は先述した通りですが、ISMSの取得・維持には審査が必要であり、審査ごとに費用が発生します。
審査は初回のISMS認証取得のための審査だけでなく、1年ごとの継続審査や3年ごとの継続審査などがあります。

これら審査にかかる費用は、審査機関の種類や会社の拠点数、自社の従業員数・規模などによって変動しますが、最低でも数十万～数百万円ほどが必要です。

初期費用だけでなく継続的な金銭コストが発生することを前提に、ISMS認証を取得するか否かについて慎重に判断をしなければなりません。

デメリット③取得まで時間がかかる

ISMS認証取得は、準備から審査通過、最終的な認証取得までに長い期間を要します。
ISMS構築の開始からISMS認証取得の証書が届くまでにかかる期間は、おおよそ6カ月～1年ほどといわれています。

この期間は審査を問題なく通過しスムーズに手続きが進んだ場合の目安なので、審査で問題が見つかり文書の改訂が必要になったり、新たな文書が必要になったりした場合には、さらに長い期間を認証取得に費やすことになります。

またISMS構築はもちろん、審査機関が合否を判断するための時間も必要であるため、ISMS認証取得にあたっては長期間の手続き期間を要することについてあらかじめ十分に理解しておくことが大切です。

ISMS 認証取得までの4ステップ

ここまでISMS認証取得によるデメリットについて解説しました。
ISMS認証において課題となるのが、手続きや審査に長い期間を要する点です。

そのため、ISMS認証取得を検討している場合には、事前に大まかな認証取得までの流れを把握し、全体の流れを意識しながらスムーズに手続きを進めていく必要があります。

それでは実際にISMS認証を取得する場合、どのような流れで手続きを進めていくのでしょうか。
ここからは、ISMS認証取得までの流れについて、4つのステップに分けて解説します。

ステップ①ISMS認証の取得方法を検討する

ISMS認証取得に進むにあたって、まずはISMS認証をどのような方法で取得するかについて検討する必要があります。

ISMS認証の取得方法として、次のような例が挙げられます。

自社のリソースで取得する
コンサルティング会社または代行会社に取得手続きを依頼する
ツールを活用して取得する

コンサルティング会社に取得手続きを依頼する場合には、煩雑な事務手続きをコンサルティング会社に任せられる点や専門知識や多様な経験をもつ専門のコンシェルジュによるアドバイスを受けられる点がメリットです。

一方コンサルティング会社に依頼する方法では、通常の認証取得に必要な費用とは別にコンサルティング会社への依頼料金が発生するため、自社の財政状況にあわせて予算をどのように運用するか十分に検討する必要があります。

ステップ②ISMSを構築する

ISMS認証取得の方法が定まったら、社内のISMS構築の段階に移ります。
具体的にはISMSの適用範囲の決定、ISMS文書の作成、またISMS認証の運用を行う社内の育成・教育といった作業が必要です。

ステップ③ISMS認証取得の審査を受ける

ISMS認証取得の基盤となるISMS構築が完了したら、つぎは審査機関を選定する段階に移ります。
審査期間は国内に30箇所程度あり、審査を受ける際にはそのなかから1つの審査機関を選び必要書類を提出することで審査を受けます。

審査は基本的に第1段階審査と第2段階審査とで分かれており、第2段階審査に通過した時点でISMS認証取得が完了します。

ステップ④運用フェーズへ移行する

ISMS認証取得後は、実際にISMS認証を運用していく段階が重要です。
ISMS認証取得後に必要な手続きには3年に1度実施される「更新審査」と、1年に1度実施される「維持審査」があり、それぞれの審査に合格することでISMS認証を維持できます。

ISMS認証取得後は審査に向けて、常にISMS運用を継続しながら準備を整えることが必要です。

ISMS認証の審査項目とは？

ここまでISMS認証取得の流れについて解説しました。
ISMS認証取得の手続きにおいて、定期的に行われる審査のフェーズが重要です。

それではISMS認証取得の審査ではどのような項目において審査が行われるのでしょうか。
ここからは、ISMS認証の審査項目について解説します。

先述したように、ISMS認証の審査は第1段階審査と第2段階審査とに分けられます。
まず第1段階審査では、第2段階審査に向けてISMS運用に必要な文書や記録・データが整備されているかが審査されます。

具体的には以下のようなポイントが重視されます。

情報セキュリティの方針が明確に定まっているか
社内外の課題を正確に把握できているか
情報セキュリティにおけるリスクを特定できているか

また第2段階審査では、社内で構築されたISMSが審査基準である国際規格「ISO/IEC 27001」に適合しており、かつ組織のなかで有効に機能しているかが審査されます。
具体的にはISMSが情報セキュリティレベルの向上などに寄与しているか、情報セキュリティ管理体制がより強固なものになっているかといった点が重視されます。

さらに、ISMS認証取得にあたって、以下のような条件を満たす必要があります。

「ISO/IEC 27001」の要求事項に沿ったISMSが構築されていること
組織で定めたISMSのルールが社内で守られていること
審査時に問題が発生した場合、その問題への対応を完了させていること

ISOのコンサルティング会社を選ぶ際に押さえたいポイント

ここまでISMS取得の審査項目についてくわしく解説しました。
それでは、ISO取得手続きをコンサルティング会社に依頼する際、どのようなポイントを意識してコンサルティング会社を選べばよいのでしょうか。

ここからは、ISOコンサルティング会社を選ぶ際に押さえたい3つのポイントについて解説します。

ポイント①柔軟かつ迅速に対応してくれる

コンサルティング会社を選ぶ際に「こちら（自社）の希望に沿って柔軟かつ迅速に対応してくれる会社であるか」は重要なポイントです。
例えば単純に価格の安さを基準に会社を選んだ場合、1人のコンサルタントが担当している顧客数が多いあまり十分なサポートが受けられない可能性があります。

コンサルタント1人あたりの顧客が多い場合には連絡してもレスポンスが遅かったり、問題や疑問が生じた場合でも質問に対し満足できるアドバイスを貰えなかったりする恐れがあります。
こうした対応の遅さや不十分さが目立つ場合、とくに初めてISO取得に取り組もうとしているケースでは顧客側が多くの不安を感じてしまいます。

同じ価格を基準にする場合でも、価格設定から「どの程度までこちらの希望に柔軟に対応してくれるか」を判断し優良なコンサルティング会社を選ぶ必要があります。