【図解でわかる】ISMS適合性評価制度とは？仕組み・メリット・認証の流れを解説

1.ISMS適合性評価制度とは、ISMSが適切に運用されているかを評価する制度

ISMS適合性評価制度とは、企業が構築・運用する情報セキュリティマネジメントシステム（ISMS）が、国際的に定められた基準を満たし、適切に機能しているかを評価し、認証の信頼性を担保するための仕組みです。

評価の対象は、企業が自社の情報資産を守るために定めたISMSです。

この制度の目的は、企業に代わって審査を行う認証機関（審査機関）の審査能力や公正性を国がチェックすることにあります。

これにより、どの認証機関からISMS認証を取得しても、その認証の質が一定以上であることが保証され、取引先や顧客に対して高い信頼性を示すことができます。

⑴ISMSとは

ISMSとは、「Information Security Management System」の頭文字を取ったものであり、情報セキュリティマネジメントの仕組みを意味します。

この仕組みの基準として用いるのが、 国際規格ISO/IEC 27001／日本工業規格 JIS Q 27001「情報セキュリティマネジメントシステム－要求事項」です。

⑵ISO/IEC 27001

ISO/IEC 27001は、国際標準化機構(ISO)と国際電気標準会議(IEC)が作成した「国際規格」を指します。

日本では、この規格を翻訳した「JIS Q 27001」として採用されており、組織が情報セキュリティを体系的に管理・運用するための要求事項を定めています。

2.【図解】制度の仕組み：認定機関・認証機関・組織の関係性

ISMS適合性評価制度は、「認定機関」「認証機関」「要員研修機関」、そして「ISMS認証を受ける組織」という4つの要素からなる階層構造で成り立っています。

図が示す通り、この制度は認証の信頼性を確保するため、二重のチェック機能を持っています。

1. 認定機関（情報マネジメントシステム認定センターなど）：認証機関や要員研修機関を審査・監督する、制度の頂点に立つ機関です。
2. 認証機関（審査機関）：組織（企業）に対し、ISMS（ISO27001）が適切に構築・運用されているかを直接審査し、認証を交付する機関です。
3. 要員研修機関：審査を行う審査員を育成・登録する機関です。
4. 組織（企業・団体）：ISO27001に基づきISMSを構築し、認証機関から審査を受ける主体です。

つまり、組織が構築したISMS（ISO27001）について、JIS Q 27001を審査する認証機関が問題なく審査を行っているかを、認定機関が評価している仕組みです。これにより、ISMS認証の公正性・信頼性が確保されます。

3.ISMS適合性評価制度認証のメリット

一般的に以下のようなメリットがあると言われています。

⑴顧客やユーザーからの信頼の向上、入札への参加、顧客取引の条件緩和

ISMS（ISO27001）を取得すると、情報セキュリティに関する仕組みがある会社と対外的にアピールすることができ、名刺やホームページにロゴマークを掲載することもできます。

近年ではISMS（ISO27001）の認証数も大幅に増え、他社との差別化の要素でしたが、認証していて当たり前の時代に移り変わろうとしています。

また行政機関の入札条件や大手企業との取引条件としてISMS（ISO27001）取得が必須条件となっている場合も増えてきています。

⑵情報セキュリティリスクの低減

ISMS（ISO27001）では、組織内の業務や取り扱っている情報資産に対して定期的にリスクアセスメントを実施することを求めています。

リスクアセスメントを行うことで、社内の情報セキュリティリスクを把握することができリスクへの対策（リスク対応計画）を行いリスク低下、回避、移転等の対応ができます。

 ⑶従業員の意識向上

情報セキュリティのレベルを維持するためには、従業者の認識が必須になります。

ISMS（ISO27001）では定期的に従業者への認識（教育）が求められるため、仕組みとして従業員の教育を行うことができます。

また、従業者への教育を通して社内のセキュリティ体制や情報漏洩事故（インシデント）発生時の対応も従業者へ認識させることができます。

「ISO/IEC 27001」と「JIS Q 27001」は、書かれている言語は異なりますが、同じ内容です。

4.ISMS適合性評価制度を認証する方法

ISMS認証を取得する流れ、取得までにかかる期間、費用をご紹介します。

⑴認証までの流れ

ISMS（ISO27001）を認証するために、まずはJIS Q 27001（ISO/IEC 27001）にて文書化要求がある文書の構築することが求められます。

その次に、記録化要求や実施要求がある内容を実施していき認証機関の審査を受けることが必要になります。

文書化、記録化要求のあるものは以下のような項目です。記載した内容以外でも、組織によっては作成し文書化することでISMS（ISO27001）の運用を簡素化することもできます。

• ISMS適用範囲
• 情報セキュリティ方針
• 情報セキュリティリスクアセスメント
• 適用宣言書情報セキュリティリスク対応
• 情報セキュリティ目的
• 力量、認識
• 情報セキュリティリスクアセスメントの結果
• 情報セキュリティリスク対応の結果
• 監視及び測定の結果の証拠
• 内部監査のプログラム・結果の証拠
• マネジメントレビューの結果の証拠
• 不適合の性質及び取った処置、是正処置の結果
• その他管理策（付属書A）

⑵認証までにかかる期間

計画策定から認証取得までにかかる期間は「およそ半年〜1年」です。

認証取得までは以下の7ステップが基本となります。

1. ISMS取得の計画を策定する
2. 認証機関を選定する
3. 情報セキュリティマネジメントシステムを構築する
4. 情報セキュリティマネジメントシステムを運用する
5. 内部監査とマネジメントレビューを行う
6. 審査を受ける
7. ISMS認証を取得する

ISMS取得の流れや期間について、詳しくはこちらの記事で解説しております。

あわせて読みたい記事

あわせて読みたい記事

【ISMS取得の完全ガイド】基本から全体の流れまで具体的な取得手順

「ISMS取得って何からすればいいの？全体の流れがよくわからない」 このような疑問をお持ちではないでしょうか。 情報セキュリティ対策の重要性が高まるなか、ISMS認証取得を検討する企業が増えています。…

⑶認証にかかる費用

認証にかかる費用、大きく分けて、審査費用・コンサル費用（任意）・内部費用の3種類の費用が生じます。

認証にかかる費用は審査機関・従業員規模等によって異なります。

また、営業部だけでISMS（ISO27001）を認証するという部分認証も可能です。

取得にかかる費用については、こちらの記事で詳しく解説しております。よろしければご覧ください。

あわせて読みたい記事

【総額公開】ISMS認証取得にかかる全費用と相場を徹底解説！コストダウンと自社負担軽減の極意

「ISMS認証の取得を検討しているけれど、どのくらいの費用がかかる？」 という疑問をお持ちではないでしょうか。 結論からお伝えすると、大きく分けて、審査費用・コンサル費用・内部費用の3種類の費用が生じ…

5.ISMS適合性評価制度認証の3つの注意事項

ISMS適合性評価制度を認証する上では注意事項があります。ISMS認証取得を検討する場合は、事前に把握しておきましょう。

⑴審査費用は相見積もりを取る

日本には50以上のISMS認証機関があり、審査費用は統一されていません。

費用は適用範囲、拠点数、従業員数によって異なります。自社の業務特性や予算に合った認証機関を選ぶため、複数の機関から見積もりを取得し比較することが重要です。

これにより、コスト最適化と適切な機関の選定が可能になります。

⑵コンサルタントに依頼する

ISMS認証には多くの文書作成や認証機関の選定が必要です。

コンサルタントに依頼することで、必要最低限の文書作成に抑え、組織に最適な認証機関の選定や相見積もりを効率的に進められます。専門家の支援により、時間とコストを大幅に削減できます。

⑶新しいルールは極力作らない

ISMS構築時に新しいルールを過剰に作ると、組織に浸透せず運用が形骸化するリスクがあります。

既存のルールを活用し、ムダのない効率的なルール体系を構築しましょう。

適用範囲や拠点、従業員数に応じた柔軟な対応で、負担を軽減しつつ認証基準を満たすことが重要です。

6.まとめ

ISMS適合性評価制度は、ISMS（ISO27001）認証の公正性と信頼性を国が担保するための重要な仕組みです。

この制度によって認証の質が保証されるため、認証を取得することは、顧客や取引先からの信頼向上、情報セキュリティリスクの低減、入札条件のクリアなど、企業に大きなメリットをもたらします。

認証取得には半年から1年程度の期間と費用がかかりますが、審査費用の相見積もりやコンサルタントの活用、既存ルールを活かした運用といった注意事項を押さえることで、効率的かつ効果的に進めることが可能です。