ISO27001のメリットとデメリットは?認証取得で確実な情報セキュリティ管理を

ISO27001のメリットとデメリットは?認証取得で確実な情報セキュリティ管理を ISMS・ISO27001

ISO27001は情報セキュリティのマネジメントシステム規格ですが、この認証を取得すると企業などの組織にはどのようなメリットがあるのでしょうか?確実な情報セキュリティ管理の構築で得られるメリットは何でしょうか?また、認証取得するにあたってデメリットはないのでしょうか?

この記事では、ISO27001認証取得のメリットとデメリットを以下のことを中心にしてわかりやすく解説します。

  • ISO27001制改訂の背景
  • ISO27001が要求する事項
  • ISMSやPマークとの関係
  • ISO27001を認証取得することによるメリット
  • ISO27001のシステム構築・運用することによるメリット
  • ISO27001を認証取得することによるデメリット
  • ISO27001を取得している企業や業界

これからISO27001の認証取得を検討している方や、ISO27001の構築・運用が効果的にできず悩んでいる方などに参考にしていただきたい事項をまとめています。

ISO27001とは?

ISO27001はスイスに本部がある国際標準化機構(ISO:International Organization for Standardization)が定めた情報セキュリティマネジメントシステムの国際規格です。ISOのマネジメントシステム規格には、品質のISO9001や環境のISO14001などがありますが、ISO27001はそれらの規格とも整合性がとられた情報セキュリティマネジメントシステム(ISMS:Information Security Management System)の規格です。ISO27001が規定するISMSの枠組みは、組織における情報資産のセキュリティのために必要な管理の仕組みなどを定めたものです。

ISO27001は認証規格で、規定された要求事項などを組織が満たしているかを認証審査機関によって審査され、適合していればISO27001の認証を取得できます。ISO27001を認証取得することでさまざまなメリットやデメリットが生じますが、まず、ISO27001制改訂の来歴や要求事項などの特徴を以下に説明しておきましょう。

ISO27001制改訂の背景

コンピューター基板

ISO27001が制定されたのは2005年で、マネジメントシステム規格としては品質のISO9001の1987年、環境のISO14001の1996年と比べると後発の規格です。規格の対象となる情報セキュリティを取扱うパソコンやインターネット網の発展に沿った時代の流れと言えるでしょう。

1940年代にコンピュータが出現し、営利目的のインターネットサービスが始まったのは1980年代末から1990年代のことです。インターネット網が発展し、膨大な情報を管理するためのプロセスが進化する過程で、情報漏洩や情報のダメージなどのさまざまなリスクを管理するためのセキュリティが重要な課題になりました。そんななかで、英国規格協会(BSI)がBS7799-2(情報セキュリティマネジメントシステム-仕様及び利用の手引き)という規格を制定したのが1999年のことです。

BS7799-2は2002年に改訂された後、2005年にさらに見直しがされてISOからISO27001として発行されました。ISO27001の正式な規格番号はISO/IEC27001で、IEC(International Electrotechnical Commission:国際電気標準会議)が規格制定に関わっています。IECは電気や電子技術分野などの国際規格を作成している国際標準化機関で、ISO/IECはISOとIECが合同で制定した規格であることを示しています。

なお、情報セキュリティに関連するISO規格は、ISO27001の他にも約50種類の規格があって、ISO27000シリーズ規格とかISO27000ファミリー規格と呼ばれています。ISO27000ファミリー規格については、「ISO27000とは?27000ファミリー規格は万全の情報セキュリティ構築をサポート」で詳しく解説していますので参考にしてください。

ISO27001の要求事項はなにか?

ISO27001に規定された要求事項は、ISMSでの情報管理の三原則とされている「機密性」、「完全性」、「可用性」を満たすことを目的に制定されています。

  • 機密性:許可した者以外に情報を使用されないようにすること(例:不正アクセス対策)。
  • 完全性:情報を正確かつ最新の状態で管理すること(例:データ入力のダブルチェック)。
  • 可用性:必要な情報を必要なときに利用できるようにすること(例:データのバックアップ)。

この三原則を実現するために、ISO27001ではリスク対応の必要性を中心にして100個以上の要求事項が定められています。リスクアセスメントで情報セキュリティのリスクを算出し、情報セキュリティの目標を定め、対応計画を策定してPDCAによる継続的な改善を図っていきます。その運用のなかでは、ISOのマネジメントシステム規格に共通した次のような要求事項も欠かせません。

  • 手順や規定を定め、責任・権限を明確にすること。
  • 目標や管理のポイントを明確にすること。
  • 内部監査や是正処置などで、有効な内部チェックをすること。
  • マネジメントレビューによって、組織の有効性や活動が担保されていること。
  • 外部監査や苦情処理などによって、外部の声を有効に取り入れていること。

これらの要求事項を確実に実現することで、ISO27001を認証取得することのメリットが得られるようになります。

ISMSやPマークとの関係

ISMSやPマークの関係

ISO27001とISMSの違いは?というと、ISMSは情報セキュリティマネジメントシステムの仕組みのことで、ISO27001はその仕組みの要求事項などをまとめた規格ということができます。ただ、ISMSはISO27001が制定される前から存在していた経緯があります。

日本では、1981年から「情報システム安全対策実施事業所認定制度」という制度がありました。それにさらに人的なセキュリティ対策を含む組織のマネジメントシステムの要素を加えた「ISMS適合性評価制度」が2002年から運用開始されていました。その後、2005年にISO27001が制定されると、ISMS適合性評価制度はISO27001に吸収統合されることになり、現在では実質的にISO27001認証がISMS認証を代表する認証制度になっています。

情報セキュリティのなかでも個人情報保護に特化したのがPマーク(プライバシーマーク制度)です。Pマークは個人情報保護法とJIS Q 15001(個人情報保護に関するコンプライアンス・プログラムの要求事項)を基本にした日本独自の規制で、国際的には通用しません。ISO27001でも「プライバシー及び個人を特定できる情報の保護」という項目があり、法規制の順守やそのための方針を定めることなどを要求しています。個人情報保護に関するいくつかのISO27000ファミリー規格があり、それを取得することによって国際的に通用する個人情報保護などに関する認証を得ることができます。個人情報保護やPマークについては、「ISOが求める個人情報保護とPマークやJIS Q 15001などとの違いは?」で詳しく解説していますので参考にしてください。

ISO27001認証取得・運用のメリット

メリット

ISO27001のメリットは、認証取得することによるメリットと、システムを構築し運用することによって得られるメリットに分けられます。以下、個別に具体的に説明しましょう。

なお、ISO27001ということではなく、ISOのマネジメントシステム規格全般を取得することによるメリットなどについては、関連記事のISOの認証取得・運用によるメリットとデメリットは?で紹介していますので参考にしてください。

認証取得することによるメリット

ISO27001の認証を取得するということだけでメリットを得ることができます。これは他のISO9001やISO14001などのマネジメントシステムにも共通して言えることで、次のようなメリットがあります。

  • 企業としての信頼度が高まる:情報セキュリティについての対策を重視している企業であると社外から判断されるので、安心できる企業として信頼されやすくなり、企業ブランドが向上します。
  • 取引機会の拡大:企業によっては取引条件にISO27001の認証取得を必須としていることもあります。認証取得によって、取引機会が拡大したり、取引をスムーズに行なえるチャンスが広がり、そのことは業績の拡大にもつながります。
  • 従業員の意識向上:認証取得活動のなかでは組織の各部門間で激しい議論が交わされることもありますが、認証取得という目標に向かってベクトル合わせをする必要もあります。それらの活動のなかで従業員の意識が向上し、企業活動活性化の下地が出来上がります。

システム構築・運用によるメリット

ISO27001を認証取得して、ISMSを構築し運用していくことによって得られるメリットには次のようなものがあります。

  • 社内のコンプライアンス意識の向上:情報漏洩やコンプライアンス違反が自社で発生でもしたら、対外的なダメージも大きくなります。ISMSの構築によって詳細な情報管理を行なうことができ、社内のセキュリティ意識、コンプライアンス意識の向上が期待できます。
  • 情報セキュリティリスクの低減:ISO27001では、定期的にリスクアセスメントを実施することが要求されています。機密情報漏洩や不正アクセス、ランサムウェア被害などにつながるリスクを把握し、対応計画を立てることで情報セキュリティリスクを低減することができます。
  • 業務効率の改善や組織体制の強化:情報セキュリティの原則である「可用性」、「完全性」、「機密性」を徹底することで、社内の情報を整理・有効活用でき業務効率を改善することができます。また、業務の責任・権限を明確化することでセキュリティ体制やセキュリティ事故発生時の管理体制などが強化されます。

ISO27001認証取得・運用のデメリット

デメリット

ISO27001の認証取得・運用には、他のISO9001やISO14001などにも見られるようにデメリットもあります。マニュアルや文書、記録などを作成・維持する手間がかかるとか、運用・維持のための工数や審査費用などの負担が大変、というようなデメリットはISOのマネジメントシステム規格に共通のデメリットです。

ISO27001を確実に運用しようと思うと、どうしても情報セキュリティに関する手順が増えてしまいます。ISO27001では規格本文にさまざまな要求事項がありますが、附属書Aにはそれらが求める39の管理目的と、その目的を達成するための133項目の管理策が示されています。それらのなかから自社に適した管理策、手順を構築するのですが、ややもすると過剰な手順を作ってしまいがちなのがデメリットとも言えるでしょう。認証取得するにあたっての不安な面もあるでしょうが、どこまでやるのか折り合いをつけることが肝心です。

ISO27001の取得企業、業界は?

PCと情報セキュリティ

日本でISO27001を認証取得している企業件数は、(財)日本適合性認定協会(JAB)の統計では2021年3月時点で6977件あります。ISO9001の約4万件、ISO14001の約2万件と比べると少ないですが、マネジメントシステム規格のなかでは3番手につけています。また、ISO9001やISO14001では認証放棄などの件数増の影響で認証件数が年々減少していますが、ISO27001は年々右肩上がりに増加しています。

それでは、どのような業界、業種の企業がISO27001を認証取得しているのでしょうか?情報セキュリティの規格ですから情報技術産業が主であることは自明のことですが、(社)情報マネジメントシステム認定センター(ISMS-AC)が行なったISMS適合性評価制度に関する調査のなかにその内訳などが示されています。

認証取得企業の内訳としては情報技術が約60%で、次にサービス業や建設業が続いています。出版・印刷業や医療関係、金融・保険・不動産業などさまざまな情報の管理が必要な業種も上位に入っています。情報技術産業と言ってもさまざまな業種がありますが、受注ソフトウェア業、システムインテグレーション業、ソフトウェアプロダクト業、システム等管理運営受託業、インターネット附随サービス業などが構成の上位を占めています。ISO27001の取得企業については、「ISO27001取得企業:情報技術産業に集中、他の産業でも取得の効果が」で詳しく解説していますので参考にしてください。

ISO 27001のよくある質問

ISO27001に関連するよくある質問をまとめましたので参考にしてください。

ISO27001の認証はどのくらいの期間で取得できますか?
現状の管理状況や組織の規模、取組体制などの要素によって変わりますが、一般的には10カ月~12カ月程度が目安になります。

設定した目標が達成できていなかった場合、認証審査で不合格になることはありますか?
目標達成の可否が審査の合否に影響することはありません。目標に関連した審査では次の点が確認されます。
・目標が設定されていて、その内容が妥当か
・目標達成計画の進捗が管理されているか
・活動の結果が分析・評価されているか
審査の合否ということではなく、目標を達成することはISMS運用のなかでも最重要のテーマの一つです。結果をしっかり分析・評価しましょう。

認証審査での不適合はどのような事例で指摘されますか?
次のような場合に不適合の指摘を受けます。
・規格の要求事項が満たされていない
・構築したISMSが運用できていない
・法規制が順守されていない
不適合の指摘を受けても審査ですぐに不合格になることはありません。指定された期間内にその不適合に対する是正処置をして、審査機関の再度のフォローアップ審査を受けて不適合が解消されていれば問題ありません。

まとめ

ISO27001の認証取得によるメリットは、情報セキュリティのリスクが低減することの他、業務効率の改善や取引機会の拡大、企業ブランドの向上、社内コンプライアンス意識の向上などさまざまなものがあります。また、認証取得活動の過程では組織内各部門の活発な議論などで従業員の意識が向上し企業活動が活性化するというメリットを得ることもできます。ただ、適切な運用ができないとデメリットも発生します。

ISOを運用・維持するには従業員の管理工数や認証機関の審査費用などがかかります。それらを無駄にすることなく、それ以上のメリットを生みだすように、ISOの目的・主旨を確実に理解・把握して有効に活用、運用するようにしましょう。

トップへ戻る
タイトルとURLをコピーしました