ISO27001取得企業:情報技術産業に集中、他の産業でも取得の効果が

ISMS・ISO27001

ISO27001は情報セキュリティに関するマネジメントシステム(ISMS、Information Security Management Systemの略)の国際規格です。情報セキュリティに関係する産業分野は、具体的にはどのような産業、業種でしょうか?あまり関係ないような業種でもISO27001の認証を取得していることもあります。

この記事では、どのような分野の業種でどのくらいの企業、組織がISO27001を認証取得しているのか、取得することによってどのような効果が得られるのかをテーマとして、以下のようなデータなどをもとに説明します。

  • ISO各規格の認証取得企業数
  • ISO27001認証取得企業数の推移
  • 世界各国のISO27001認証取得企業数
  • 産業分野別のISO27001認証取得企業数
  • 情報技術産業の業種分類
  • ISO27001認証取得で得られる効果

ISO27001に興味のある方や、認証取得を検討されている企業の方、ISO27001の効果的な運用に悩んでいる方などに参考にしていただきたい内容です。

ISO27001の認証取得企業数

ISO27001の認証取得企業数はISO本部の公式サイトや、日本の情報セキュリティに関する認証審査機関を統括している(社)情報マネジメントシステム認定センター(ISMS-AC)のサイトを確認するのが良いでしょう。

ISO本部のサイトでは、ISO各規格の国別、産業別の取得件数を毎年秋に公表しています。ISMS-ACのサイトでは、現在産業別などの統計情報は公開していませんが、取得企業の検索をすることができます。また、独自の調査報告書などによってISO27001に関する統計情報を確認することもできます。

日本での多くの認証審査登録機関を統括している(財)日本適合性認定協会(JAB)のサイトでは、ISO27001を含むISO各規格の審査機関別取得情報などを得ることができます。

ISO27001の認証取得企業数とその推移

ISO27001を含むISO各規格の認証件数とその推移を表1に示します。ISO27001は、品質のISO9001、環境のISO14001に次いで3番目の5,227件が認証登録されています。

マネジメントシステム規格の種類2019.122015.72012.7
QMS品質 ISO900141,93547,82149,713
EMS環境 ISO1400122,00425,15826,157
ISMS情報セキュリティ  ISO270015,2275,0684,324
FSMS食品安全 ISO220001,4831,076733
MD-QMS医療機器 ISO13485982860366
AS-QMS航空宇宙 ISO9100818566432
その他の主な規格4,9733,431
合計76,46683,15781,725
表1. ISOマネジメントシステム規格の認証件数推移
JABのマネジメントシステム認証件数(2019年12月31日)などから集計

ISO27001は2005年に発効され、急激に進展した情報化世界の割には認証件数が伸びていません。ただ、ISO9001やISO14001が減少状態にあるのに対し、ISO27001は増加傾向を保っています。

これは、ISO9001やISO14001の認証を解除、放棄する企業が多いのに対して、ISO27001の認証取得企業ではそれが少なく、規格の認証取得による効果に満足している企業が多いとも言えるでしょう。

世界各国のISO27001認証取得企業数

ISO本部が公表しているISO27001の世界各国の認証取得件数のデータから、全124カ国中の上位10カ国を表2に示します(2018年実績)。

国名認証取得企業数構成比(%)
中国7,77726.9
日本5,07817.6
イギリス1,6355.7
インド1,5365.3
スペイン1,1484.0
イタリア1,0423.6
ドイツ9963.4
台湾9473.3
ポーランド7282.5
トルコ6272.2
全世界総数28,931100.0
表2.ISO27001認証取得企業数-上位10カ国(2018年)
JABのマネジメントシステム認証件数(2019年12月31日)などから集計

日本は長らく第1位を維持していましたが、急速に認証企業数を増やす中国に抜かれてしまいました。アメリカ(620件で11位)や欧州など情報技術先進国で認証企業数が少ないのは、大半の企業でCISO(Chief Information Security Officer:最高情報セキュリティ責任者)を役員として任命しているからだと言われています。

ISO27001に頼らなくても情報セキュリティに関する対応はできているのでしょう。逆に日本や中国は、CISOが任命されている企業は少なくISO27001の枠組みでの情報セキュリティ管理に依存していると言えるかもしれません。

産業分野別のISO27001認証取得企業数

産業分野別の認証取得企業数は、ISO9001やISO14001でも別の記事で紹介していますので、それと同じようにISO27001のデータを紹介しましょう。ISO27001についてはJABの産業別データがないので、ISO本部で公開しているデータから、日本の産業分野別の認証取得企業数を表3に示します。

表3.産業分野別ISO27001認証取得企業数と総事業所数との割合
ISOによる世界各国の認証規格別、産業分野別認証数のデータ(https://isotc.iso.org/ 2018年実績)から引用・集計

各産業分類の総事業数は2016年の総務省統計局のデータですが、情報技術産業が件数、取得比率とも圧倒的に高いことが解ります。ただ、その他分類不明の企業数がこのISO本部のデータでは全体の6割近くを占めています。

そこで、サンプル数はやや少ないですが、(社)情報マネジメントシステム認定センター(ISMS-AC)が2018年3月に行なった「ISMS適合性評価制度に関する調査報告書」(https://isms.jp/enquete/2017/report2017.pdf)の業種分類情報を見てみましょう。ISO27001の認証取得企業1180社に対して行なったアンケート調査の業種分類を表4に示します。

業種区分組織数構成比率 (%)
情報技術68758.2
その他サービス業19816.8
建設業(エンジニアリングを含む)504.2
卸売・小売業453.8
電気/電子機器・光学的装置製造業373.1
出版・印刷業282.4
医療関係181.5
金融・保険・不動産業161.4
その他の製造業161.4
公共・行政・教育機関121.0
廃棄物処理業・再生業110.9
機械・機器の製造業110.9
化学薬品・化学製品・医薬品の製造業40.3
鉄鋼・非鉄金属業・金属製品の製造業40.3
木材・木製品・パルプ・紙等の製造業30.3
石油・石炭・ゴム・プラスチック等の製造業20.2
輸送機器製造業20.2
電力・ガス・熱・水道供給業20.2
食料品・飲料・タバコ等の製造業10.1
ホテル・レストラン業10.1
衣服・天然素材繊維製品の製造業00.0
ガラス・セラミック・コンクリートの製造業00.0
分類不明322.7
合計1180100.0
表4.ISO27001取得企業への調査における業種分類(情報マネジメントシステム認定センターより引用・集計)

情報技術産業が全体の58.2%を占めています。ISO本部のデータで分類不明とされている業種の多くは情報技術産業に属するものと考えられます。

最も多い情報技術産業の業種構成は?

では、ISO27001取得企業で最も多い情報技術産業というのは具体的にどのような業種でしょうか。これも上述のISMS-ACの調査報告書で分類されています。表5にその分類と構成比率を示しましょう。

業種構成比率(%)
受注ソフトウェア業35.8
システムインテグレーション業30.7
ソフトウェアプロダクト業10.0
システム等管理運営受託業5.8
インターネット附随サービス業4.2
計算事務等情報処理業3.5
通信業3.1
各種調査業1.0
データベースサービス業0.3
映像・音声・文字情報制作業0.3
放送業0.3
その他4.9
表5.ISO27001を取得している情報技術産業の業種内訳と構成比率(情報マネジメントシステム認定センターより引用・集計)

上位の受注ソフトウェア業とシステムインテグレーション業、ソフトウェアプロダクト業の3業種で全体の約75%を占めています。事業規模の大小などもありますが、いずれの業種も取引先の機密情報や個人情報などと深く関わりがあり、ISO27001の認証取得が必須とされている会社も多いでしょう。

情報技術以外で多い産業は?

表4に示すように、情報技術産業以外で多いのはサービス業や建設業です。サービス業と一口に言っても業務内容は多岐にわたっていますが、機密情報や個人情報に関わる業務が多い業種の一つと言って良いでしょう。出版・印刷業や医療関係、金融・保険・不動産業など様々な情報の管理が不可欠な業種も上位に入っています。

ISO27001を取得している企業の規模についても、ISMS-ACの調査報告書のなかで示されています。

◆資本金規模別◆

  • 3億円超 22.2%
  • 1億円~3億円 6.6%
  • 5000万円~1億円 20.0%
  • 1000万円~5000万円 33.1%
  • 1000万円以下 14.1%

◆従業員規模別◆

  • 1000人超 13.8%
  • 300人~1000人 15.3%
  • 100人~300人 23.5%
  • 50人~100人 18.1%
  • 20人~50人 18.5%
  • 20人以下 10.7%

資本金5000万円以下、従業員数100人以下の中小企業層の会社が過半数近くを占めています。情報セキュリティの課題は企業規模の大小に関係なく、対応が必要であることを示しています。

ISO27001認証取得で得られる効果は?

ISO27001の認証取得についての企業の満足度は、ISO9001やISO14001によるものよりは高い値を示しています。(社)日本能率協会が「ISOの取得・運用状況に関する調査報告書」を2018年に発表しています(https://www.jma.or.jp/img/pdf-report/etc_2018-iso.pdf)。そのなかで、「ISOの認証が経営の役に立っているか」という設問に対するアンケート結果は表6のようになっています。

規格の種類大変役に立っている役に立っているある程度役に立っているあまり役に立っていない役に立っていないまったく役に立っていない
ISO9001(品質)19.142.528.47.80.70.7
ISO14001(環境7.135.338.812.94.71.2
ISO27001(情報)23.153.823.10.00.00.0
表6.ISO認証の経営への影響(アンケート結果:%)(社)日本能率協会調査報告書より引用

ISO9001やISO14001が経営の役には立っていないという評価があるのに対し、ISO27001は大変役に立っている(23.1%)をはじめ高い評価を得ています。

次に、ISO27001を認証取得することで得られる効果について見てみましょう。前述のISMS-ACの調査報告書で、種々の効果に対するアンケート調査が行なわれています。

◆ISMS-ACがあげたISO27001の効果に対する肯定率◆

  1. 社員の情報セキュリティに関する意識向上、教育啓発に寄与 98.2%
  2. 組織の情報セキュリティ対策の強化 97.9%
  3. 組織の情報セキュリティ管理体制の強化 97.5%
  4. 顧客からの信頼確保に貢献 93.3%
  5. 経営者の情報セキュリティに対する関与の浸透 90.1%
  6. 組織の情報セキュリティレベルが期待値を維持・達成 89.4%
  7. 法遵守(コンプライアンス)の面で有効 89.2%
  8. 情報セキュリティインシデント発生の抑制に効果 88.8%
  9. 企業イメージの向上に貢献 84.7%
  10. リスク評価の方法が定着 84.4%
  11. 情報セキュリティインシデント発生後に迅速・適切に対応 82.5%
  12. 情報面での事業継続性の向上に有効 78.6%
  13. 最新のIT技術動向に対応した対策の実施 74.1%
  14. 同業他社に対する優位性の確保に貢献 72.0%
  15. 業務環境の変化、適用法令に対応する上で社内ガバナンスに効果 64.0%

ISO27001で得られる効果について、取得企業は非常に高い比率でその効果を肯定しています。上記の効果は情報セキュリティに関するものが主ですが、ISOマネジメントシステム規格そのものの効果を含めると、次のような効果が期待されます。

  • 情報リスクの低減
  • 社員の情報セキュリティに関する意識・モラルの向上
  • 法令遵守の徹底・推進
  • 業務効率の改善と組織体制の強化
  • 継続的改善による企業価値の向上
  • 社会的な信頼性を獲得
  • 企業競争力の強化

情報技術産業に限らず、ISO27001の認証を取得することで様々な効果やメリットを得ることができます。ISO27001の認証を取得されていないのであれば、自社の業務内容などを確認して取得を検討してみることをおすすめします。

まとめ

ISO27001情報セキュリティマネジメントシステム規格は、どのような産業の企業などが認証取得しているのかを調べてみました。取得企業は情報技術産業に集中していますが、機密情報や個人情報に関わる業務が多いサービス業や出版・印刷業、医療関係、金融・保険・不動産業などにも広がっています。

情報化社会の進展でISO27001の認証取得企業数は今後も増加する傾向です。企業規模の大小にかかわらず、様々な情報を取り扱う企業が認証取得を要求されるようになっています。

ISO27001を認証取得している企業の大半は、取得による様々な効果を肯定的にとらえていて、経営にも役に立っていると評価しています。情報セキュリティに関する効果だけではなく、ISOそのものがもたらす効果も数多く認められます。情報技術関係でまだ取得していない企業の方や、その他の業種の方でも業務内容を確認して取得を検討されてみてはいかがでしょうか。経験豊富なコンサルタントなどに相談してみるのも良いでしょう。

ISOナビでは月額4万円から取得・運用を完全サポートしております。

HACCPやISMS、Pマーク、ISO9001をはじめとする各種規格の新規の認証取得から更新・運用までサポートしております。

業界最安級の月額4万円からご利用いただけ、対応工数のゼロ化を実現します。

まずは無料相談からお気軽にお問い合わせください。

この記事を書いたライター
hikaruta

ISO9001:94年版での認証取得に関わって以来、ISO14001や医療機器品質のISO13485の認証取得・運用に深く携わり、ISOに翻弄、鍛えられたビジネスライフを経験。一線を退き、反省なども込めてISOを見つめ直しています。

hikarutaをフォローする
ISMS・ISO27001 ISO全般
ISOナビ
トップへ戻る
タイトルとURLをコピーしました