【徹底解剖】インドネシアでのISO27001取得方法とセキュリティ実態

１．インドネシアでISO27001が必要とされる背景

インドネシアでISO27001が必要とされる背景にはいくつかあります。

1. サイバーセキュリティ脅威の増大
2. 厳格なデータ保護体制
3. 社会的に注目を集めるセキュリティインシデント

⑴サイバーセキュリティ脅威の増大

ランサムウェア、フィッシング、データ漏洩などのサイバー攻撃は、世界的にもインドネシア国内的にも増加しています。

インドネシアでは、金融、政府、テクノロジー分野を含む、いくつかの大規模なデータ漏洩が発生しています。

⑵厳格なデータ保護規制

2022年、法律第27号個人情報保護法（UU PDP）が制定され、企業は顧客データのセキュリティを強化することが義務付けられました。

OJK（金融サービス庁）とインドネシア銀行も、金融機関に対するサイバーセキュリティ規制を強化しています。

⑶社会的に注目を集めるセキュリティインシデント

eHAC（保健省）、BPJS Kesehatan（社会保険）、オンラインマーケットプレイスのデータ漏洩事件により、ISO27001の重要性に対する認識が高まっています。

企業のデータセキュリティに対する国民の信頼は、ビジネスの持続可能性における主要な要素となっています。

２．インドネシアでISO27001を取得するメリット・デメリット

インドネシアでISO27001認証を取得し、導入することで、企業は特に情報セキュリティ脅威の増大に対応する上で、様々なメリットを得られます。

⑴取得のメリット

①顧客とビジネスパートナーからの信頼向上

ISO27001を取得することで、企業が強固な情報セキュリティシステムを有していることを示し、顧客、ビジネスパートナー、その他のステークホルダーからの信頼を高めることができます。

②業務効率の向上とリスクの軽減

企業はISO27001の運用を通じて業務を最適化し、経済的損失や評判の失墜につながるセキュリティインシデントの可能性を減らすことができます。

③規制への準拠

2022年法律第27号個人情報保護法（UU PDP）の施行により、ISO27001を運用している企業は、データ保護に関する法的要件をより容易に満たすことができます。

⑵取得のデメリット

①費用がかかる

ISO27001の認証取得と運用プロセスには、コンサルティング費用、従業員研修、監査、追加のセキュリティ技術や機器の調達など、かなりの投資が必要です。

②複雑で時間や手間がかかる

情報セキュリティマネジメントシステムの運用には、綿密な計画、詳細なリスク分析、完全な文書化が必要であり、数ヶ月から1年以上かかる場合があります。

③企業文化の変革が必要

ISO27001は、企業に厳格な情報セキュリティポリシーの適用を要求します。従業員の抵抗やセキュリティシステムの重要性に対する理解不足がある場合は、こちらが課題となる可能性があります。

⑶ISO27001取得の企業事例

インドネシアにおける情報セキュリティマネジメントシステム（ISMS）の認証取得状況は、企業によって異なります。​一部の企業は、親会社の指示や顧客からの要求に応じてISMS認証を取得しています。

​インドネシア全体でのISO27001認証取得企業数に関する具体的な統計データは限られており、全体的な普及状況を把握するのは難しい状況です。​

企業がISO27001認証を取得する際、日本の本社が使用している手順書を現地語に翻訳するだけでは、現地拠点の規模やニーズに合わない場合があり、運用上の負担を感じることがあります。​

そのため、各企業は自社の状況やニーズに合わせて、取得を検討することが重要となってきます。

３．「日本のISO」と「インドネシアのISO」の違い

国際標準規格を共通して採用しているにもかかわらず、日本とインドネシアのISO27001には顕著な違いがあります。

⑴日本のISO27001事情

成熟したデジタルインフラを持つ日本は、機密データの保護と高度なサイバー攻撃の防止に重点を置いています。厳格な規制と規律ある企業文化が、高い水準でのISO27001の運用を促進しています。直面する脅威もまた高度であり、大規模なデータ窃盗を目的とした、標的型サイバー攻撃などがあります。

⑵インドネシアのISO27001事情

急速なデジタル成長の過程にあるインドネシアは、情報セキュリティ意識の構築と基本的な基準の適用に重点を置いています。UU PDPのような規制は強化され続けており、ISMS運用のアプローチは文化の多様性への適応を目的としてより柔軟です。

インドネシアは、フィッシング、マルウェア、人的過失など、より多様な脅威に直面しています。

４．インドネシアでのISO27001取得の流れ

インドネシアでISO27001の取得にかかる期間やステップについて説明していきます。
ISMSの取得プロセスは以下の通りです。

⑴社内体制を決める

最初に行うべきことは、ISO27001取得を推進する責任者（通常はISO担当者と呼ばれます）を選定することです。この責任者はISO27001取得の中心人物となり、全社での導入をリードしていきます。

⑵取得までの計画を立てる

ISO27001の取得目標を明確にし、取得までのスケジュールを設定します。スケジュールはISO27001の効果的な取得に不可欠であり、スケジュールを守ることが成功の鍵です。

⑶外部のコンサルサポートを受けるか検討する

ISO27001の取得には専門知識とリソースが必要です。課題がある場合や外部のサポートが必要な場合、コンサルタントとの協力を検討しましょう。特に、インドネシア語と必要であれば英語に対応できるコンサルタントを選ぶことが重要です。

⑷ISMSの構築

ISMS（情報セキュリティマネジメントシステム）の構築には、具体的なマニュアルや手順書の作成を含みます。自社で作成する場合、組織の規模にもよりますが、3か月以上の期間が必要になってきます。外部のサポートを受ける場合は、この作業を1か月程度で終わらせることも可能です。

⑸ISMSを運用する

マニュアルや手順書が完成したら、これに基づいてISMSを運用します。

自社で運用する場合、6か月以上の運用実績が望ましいです。外部のサポートを利用する場合は、1か月から3か月程度で運用を確立することも可能です。

⑹審査機関に申請する

認証を受けるには審査機関を選定し、申請を行います。インドネシア国内にはKAN（国家認証委員会）の認定を受けた多くの審査機関が存在します。事前に十分な情報収集を行うことをお勧めします。

⑺審査を受ける

審査プロセスは通常2段階に分かれています。

1回目の審査では文書類や規定がISMSの要件に適合しているか確認されます。

2回目の審査では実際の運用が評価されます。審査員からの指摘がある場合、不適合事項の対応に組織規模にもよりますが、1か月以上かかることがあります。

⑻ISO27001認証取得完了

1回目と2回目の審査が問題なく終了し、不適合事項の対応も完了したら、審査機関からISO27001認証が授与され、認証完了となります。

５．インドネシアでのISO取得費用

インドネシアでのISMS取得にかかる費用についてご紹介いたします。

⑴審査費用の相場

ISO27001の審査費用は、審査を受ける企業の規模によって異なります。また、依頼する審査機関によっても料金が変動します。以下は、大まかな目安となります。

• 認証　　　　36,750,000インドネシアルピア（約36万円）
• 維持審査１　16,500,000インドネシアルピア（約16万円）
• 維持審査２　16,500,000インドネシアルピア（約16万円）

⑵その他の必要費用

ISO27001の構築には専門知識が必要であり、多くの企業はコンサルタントのサポートを利用しています。コンサルタントのサポート費用は、コンサルティング会社によって異なり、以下は一般的な費用の目安です。また、研修機関のトレーニングや教育を利用する場合もあります。

• コンサルティングのサポート費用: 30万円～100万円
• 研修機関のトレーニング費用: 1名　2千円～5千円

情報セキュリティの強化と、信頼性の向上を実現するために、これらの費用は重要な投資と言えるでしょう。

６．まとめ

インドネシアでは、サイバー攻撃の増加やデータ保護規制の強化などにより、ISO27001の重要性が年々高まっています。ISO27001を取得することで、顧客からの信頼を得たり、セキュリティ面のリスクを軽減することができます。

ただし、ISO27001取得にはコストや時間と手間、企業内の組織変革などが必要となり容易に取得できるものではないのも事実です。

インドネシアでISO27001取得をする際は、メリットとデメリットを比較検討し、自社にとって最適な選択をすることが重要です。