ISMS取得の際の注意事項とは？失敗しないポイントを解説！

ISMS(ISO27001)を取得する際、「認証範囲は会社全体（＝全社）で」と決めてしまう方がいらっしゃいますが、実は認証範囲は絞る事ができます。

なぜならISMSの適用範囲は、

「事業・組織・所在地・資産・技術の特徴の観点から、ISMSの適用範囲及び境界を定義する。」

と定められているからです。

ここではISMS取得時によくあるミスから、取得のポイントまでご紹介いたします。

この記事を読み終えていただければ、取得時の失敗を予習して、ムダな手間や費用をかけなくてもISMS取得ができる力を身に着けることができるでしょう。

1.ISMS（ISO27001）取得時によくあるミス3選

ISMSを初めて取得されるときに、ご担当者の方が勘違いもしくはミスされることが多いのはこちらの3点です。

（1） 認証範囲を絞れることを知らない

実は認証範囲を絞ることができます。

「認証範囲をどのように決定するべきかわからない」

「認証範囲を会社全体にするのか、それとも一部の部署だけにするの？」

「顧客情報も社内の情報も全部守るのは大変だ」

と、このように認証範囲を絞れることを知らないで悩まれている方が多くいらっしゃいます。

まずは認証範囲は絞れるということを覚えておきましょう。

（2）審査機関が複数あることを知らない

審査機関は1箇所だけではなく、複数箇所あります。

「見積り見て高かったけど、この審査機関でいいか」

「審査費用高すぎるから、取得諦めようかな」

と、悩んだり諦める必要はありません。

審査基準はどこの審査機関も同じですが、審査会社によってどこを優先的に見るかのポイントが異なる場合があります。

また、審査機関によって審査費用も異なります。安ければ良いというわけではないですが、安い審査機関と高い審査機関での料金差は取得の際の費用に大きく影響します。

審査機関を選定する際は、複数の審査機関で見積もりを取得して、判断しましょう。

（3） 情報セキュリティルールの構築が複雑になる

情報セキュリティルールを構築する際、完璧な運用ルールを作る必要はありません。

多くの企業が情報セキュリティルールを決める際、頭を悩ませます。

ISO 27001の附属書Aには114の管理策があり、これらを満たすための運用ルールを定める必要があるからです。

「最初からすべてを完璧にしなければ！」と考え、実態に合わない厳しすぎるルールを設定してしまうケースが見られます。

ISMS認証において重要なことは、「文書化された情報セキュリティマネジメントシステムが存在し、それが適切に運用されていること」です。

最初から完璧な運用ルールを目指す必要はありません。

ここからは上記3点について詳しく説明していきます。

2.ISMSの認証範囲は絞ることができる

先ほどもお話したように、ISMS(ISO27001)を取得する際、

「認証範囲は会社全体（＝全社）で！」と決めてしまう方がいらっしゃいますが、

実は認証範囲は絞る事ができるのです。

ISMS認証は本社のみ取得や、部署単位まで絞って認証を取ることが出来ます。

そのため、まずはISMS認証の取得範囲を決めることが大切です。

拠点数や従業員数が多い場合や最初からすべての範囲を適用することも可能ですが、対応が大変になりかなり大きな作業負担となってしまいます。

また本来は審査範囲に含めなくても良かった部署も対象にしてしまい、審査対象人数が増えることで審査工数が増え、結果費用が上がってしまったということもあります。

このような事態を防ぐためにもまずは、特定の部署や拠点だけを取得範囲とし、ISMS認証の取得を目指すという方法もあります。

認証範囲を決めるときは、「本社のみ」「〇〇事業のみ」「〇〇拠点のみ」など、範囲を限定できることを覚えておきましょう！

3.審査機関は複数存在する

ISMS取得を審査する機関は何か所もあることをご存じでしょうか。

国内のISMS認証制度を運営しているISMS – ACという組織があります。実際 ISMS – AC認定のISMS審査機関は31社もあり、それ以外の機関を含めると国内に50～80社ほど存在するようです。

ISMS認証機関一覧

ISO27001は国際規格なので、「どの審査機関から受けても同じだろう」

と考える人もいるでしょう。

実は審査機関により審査内容や料金が異なるという違いがあります。

ある審査機関では不適合と判定されたのに、別の機関では適合性ありと判断されるケースもあります。

ISMSのPDCAの工程のうちどれか1つでも不備がある場合や、不正ソフト使用などの法令違反が見つかれば、どの審査機関からも不適合と判定されます。ただ、審査機関によって不適合か否かの判断が異なる点があるのは確かです。

ISMSの認証取得を目指す上で、審査機関の選定は非常に重要となる要素です。

できるだけ複数の審査機関に見積もりしてもらい、審査費用をチェックしましょう。

4.情報セキュリティルールは最低限で良い

情報セキュリティルールを厳しくしてしまうと、以下のようなデメリットがあります。

• 従業員の負担が大きくなる
• 運用コストの増加
• 柔軟性がなくなり、新しいことへの挑戦が難しくなる
• 審査が通るためのルールになってしまい、本来の目的から外れてしまっている

このような事態を防ぐためにも、まずはISMS取得を目指して最低限のルールを構築し、あとから追加したり修正をしていきましょう。

決めたルールが実際の現場の状況にあっているかを確認し、全体としてまとまりのあるルールを運用していくことが求められます。

ISMS取得が出来てからPDCAサイクルを回していく上でのセキュリティルールを見直していきましょう。

しっかりとPDCAを回して運用しているかどうかが、翌年以降の維持審査や更新審査で審査されるので、覚えておきましょう。

情報セキュリティルールは最低限のルールで構築しましょう。

5.認証マークの取扱いについて

ISMSを取得できると、認証マークが付与されます。このマークの取り扱いについて説明します。

（1） 認証範囲外でISMS認証マークを使用してはいけません

ISMS認証マークは認証を取得している特定の部署や支社で使うことができます。

そのため、取得していない部署や支店などではISMS認証マークを使うことができません。

名刺やパンフレットにISMS認証のマークを載せる際も注意が必要です。

認証範囲内の事業・拠点・部署にはマークを掲載することができますが、認証範囲外の事業・拠点・部署には掲載できないので注意しましょう。

（2）誤解されるようなISMS認証マークの掲載をしてはいけません

ISMS認証マークは、組織・企業に与えられるものです。

商品紹介サイトやパンフレットなどに、「製品が認証されている」ように掲載することはできませんので注意しましょう。

（3） ISMS認証マークの画像を加工してはいけません

ISMS認証マークを自社のメディアに掲載する場合の決まりがあります。

• マークの大きさを変える際は比率を変えないこと
• 画像が不明瞭にならないこと
• マークを企業の社名やロゴ等よりも大きく表示しないこと
• 認証登録番号を削除しないこと

ISMS認証マークを使う際は上記4点を確認し、画像を加工しないようにしましょう。

6.まとめ

ISMS取得の成功には、認証範囲の適切な設定、審査機関の比較検討、実態に合った最低限のルール構築が重要です。

社内で解決できないようであれば、ISMS取得をサポートしてくれる専門の方に相談することも考えてみましょう。