2023年5月2日
ISMS取得のメリットの多くは顧客や取引先から信頼を得られることです。
ISMSを持っていないと大手企業と取引ができなかったり、官公庁等の入札に参加できない場合がよくあります。業務以外の作業が増えるというデメリットもありますが、他社との差別化のチャンスというのもISMS取得のメリットです。
1.こういう時にはISMS(ISO27001)認証取得を
ISMSの認証取得企業数は、毎年増え続けています。
ただ、ISMSの認証件数は増加していると言っても、他の企業・組織がどんな理由で取得しているか気になりませんか?
一部ですが、弊社にお問合せをいただいたお客様のお声を紹介します。
事例①
クライアントからの要望、失注を防ぐため
『クライアントからISMSかプライバシーマークを取得しているかどうか、また、情報管理の状況について聞かれることが増えました。
質問に対して十分な回答ができなかった結果、案件を受注できなかったケースも出てきており、今後の拡大を見据えて、ISMS取得を決めました。』
事例②
セキュリティ対策を証明するため
『新しい事業を開始するにあたってお客様の社外秘データを取り扱うことになり、機密保持の契約やデータの保管に関してきちんとしたセキュリティ対策を実施できているか証明が必要になったので、この度ISMS取得に踏み切りました。』
事例③
入札に参加するため
『自治体案件でISMSやプライバシーマークが条件で入札ができないケースがあり、機会損失となっていました。
また、案件によっては膨大な情報を受領することがあり、セキュリティ面のリスク対策が必要であると感じていたので、今回取得を決めました。』
事例④
個人情報以外のセキュリティ強化、在宅勤務へ対応するため
『プライバシーマークを取得しているが、個人情報以外のセキュリティに関してマニュアルがなく、ISMS取得の必要が出てきました。
また、コロナ禍で在宅勤務がスタートし、一層セキュリティマニュアルの必要性を感じました。』
いかがでしょうか。
ISMS取得の必要性が大いにあるケースをご紹介しました。
2.取得のメリット
ISMS(ISO27001)取得のメリットを大きく3つにまとめました。
①顧客や取引先から信頼を得やすい状態になる
「セキュリティ体制を整えています」といって取引を行う際、自己宣言と、第三者から評価されているのではどちらが信頼を得られるでしょうか。
もちろん、第三者から評価されている方ですね。
審査機関という第三者から評価された状態になることで、お取引先の信頼を得やすくなりますし、取引を拡大できるケースもあります。
②情報を取り扱う手順やルールを明確にできる
ISMS(ISO27001)の取得・更新は、情報セキュリティのルールの過不足を確認する機会になりますし、すでにあるルールの妥当性についても確認できます。
③役割や責任権限が明確になる
ISMS(ISO27001)の取得では情報セキュリティに関する役割や責任権限なども考えていく必要があります。
セキュリティを保つためのルールはもちろんですが、ソフト面、ハード面の管理体制も整える必要があります。
“なんとなく”振り分けていた役割を改めて確認できる機会になります。
3.取得のデメリット
もちろんデメリットもあります。
今回は主なデメリット3つを紹介します。
①作業が増える
審査機関から評価を受けるためには、社内で実施したと確認できる記録が必要になります。
今まで口頭で確認していたことを書面に残す必要が出て来たり、結果だけを書面・データで残していたものに対し、プロセスも書面やデータで残す必要が出てきます。
②守るべきルール・手順が増える
ISMS(ISO27001)の構築で難しいのが、この部分です。
セキュリティを担保するために考えれば、行うべきことも「社員の手間が増える…」「業務が窮屈になってしまう…」などといったリスクがあります。
また、残すべき情報やログが増えてしまうこともあります。
セキュリティを保つことはもちろんですが、それで日常業務が行いにくい体制になってしまっては元も子もありません。
状況に合ったルールや手順を判断していく必要があります。
③審査費用が発生する
ISMS(ISO27001)は一度取得したら終わり!というものではありません。
維持するためには毎年審査がありますので、継続して運用していかなければなりません。
審査費用も毎年発生しますし、審査を受けるためのスケジュール確保も必要になります。
4.ISMS(ISO27001)とPマークは何が違う?
ISMS(ISO27001)の必要性について考える際、もう1つの疑問が浮かぶ企業も多いです。
それは、「ISMS(ISO27001)とプライバシーマーク(Pマーク)との違いは何か?」「プライバシーマーク(Pマーク)では問題ないのか?」という考えです。
ISMS(ISO27001)とプライバシーマーク(Pマーク)は似て非なるものです。
違いを表にまとめましたのでご覧ください。
| 規格 | ISMS(ISO27001) | Pマーク(プライバシーマーク) |
|---|---|---|
| 対象事項 | 情報資産全般 | 個人情報のみ |
| グレード | 国際規格 グローバル視点で評価に値する | 国内規格 |
| 認証の範囲 | 事業・事業所・部門単位での取得も可能 | 1社全体(全部署・全従業員) |
| 認証までの期間 | 4~6か月 | 6~9か月 |
| 業界・市場 | IT業・ソフトウェア業・メーカーなど B to B取引や大手企業との取引に使われる | 人材派遣業・広告業・印刷業・社労士・ 通販業 など B to C 取引で一般ユーザーを対象にしている |
| 審査の違い | ■簡単 ①審査時に、「広く・浅く」見られる ②リスクに応じて対策が打てる、ルールに自由度有 ③認証範囲を選べる(全社・事業部・拠点等) ④審査機関すべて価格が違う=競争原理ある ⑤審査日数が対象人数に応じて変わる ⑥コンサルタントの審査立会が可能 | ■難しい ①審査時に「狭く・深く」見られる ②個人情報保護を基準に平均的なリスク対策が必要 ③組織全体で認証 ④審査機関すべて価格が同じ=競争原理なし ⑤審査が1日で終わる ⑥審査は従業員のみが立会可能 |
| 審査の頻度 | 3年に1回更新 審査は毎年1回以上 | 2年に1度 |
| 審査機関の対応スピード | 早い | 遅い 申請から審査まで3か月かかるケースも |
| 取引要件として | ISO27001が取引要件= × Pマーク取得 →Pマークを持っていても、 要件として包括されない | Pマークが取引要件= 〇 ISO27001認証 → ISO27001(ISMS)なら、 Pマークを包括できるケースが多い |
こちらの記事で違いについて詳しく解説しておりますので是非ご覧ください。
【結論】どっちを取得するのがいい!?PマークとISMSの違いを徹底比較!
5.差別化を図るならISO27017
ISO27017は、クラウドサービスにおける情報セキュリティ管理策のガイドライン規格です。
取得するべき業種は、クラウドサービスを提供している企業です。
一般的に「SaaS」「PaaS」「IaaS」関連のサービスを提供する企業が取得します。
この規格はISMS(ISO27001)のアドオン認証規格です。
ISO27017を取得するには、先にISMS(ISO27001)を取得しなければなりません。
もしくは同時に取得をするという方法もあります。
ISMS-ACでISO27017の取得企業数は、2022年4月では277社でしたが、2023年3月末時点で402社と増加しています。
ISMSは全国で7,000社以上が持っており、持っていて当たり前の時代です。
しかし、ISO27017は取得企業が約400社と少なく、今が他社との差別化のチャンスです。
ISO27017の取得について、詳しくはこちらのコラムをご覧ください。
ISO27017:クラウドセキュリティ認証取得の手順やポイントを解説
まとめ
ISMS(ISO27001)の必要性がある事例の紹介とメリット・デメリットについてご説明しましたがいかがでしたでしょうか。
取得のメリット・デメリットを把握した上で、自分達の組織に本当にISMS(ISO27001)が必要かどうか判断しましょう。
ISMSやISO27017の新規認証取得・運用について詳しく知りたい方はコチラ
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
新規取得・運用別に
役立つ資料をお届けします
新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ