ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)の必要性は?取得のメリット・デメリットを紹介

スタッフ写真
スタッフ写真

2023年5月2日

ISMS(ISO27001)の必要性は?取得のメリット・デメリットを紹介

ISMS取得のメリットの多くは顧客や取引先から信頼を得られることです。
ISMSを持っていないと大手企業と取引ができなかったり、官公庁等の入札に参加できない場合がよくあります。業務以外の作業が増えるというデメリットもありますが、他社との差別化のチャンスというのもISMS取得のメリットです。

1.こういう時にはISMS(ISO27001)認証取得を

ISMSの認証取得企業数は、毎年増え続けています。
ただ、ISMSの認証件数は増加していると言っても、他の企業・組織がどんな理由で取得しているか気になりませんか?
一部ですが、弊社にお問合せをいただいたお客様のお声を紹介します。

事例①
クライアントからの要望、失注を防ぐため
『クライアントからISMSかプライバシーマークを取得しているかどうか、また、情報管理の状況について聞かれることが増えました。
質問に対して十分な回答ができなかった結果、案件を受注できなかったケースも出てきており、今後の拡大を見据えて、ISMS取得を決めました。』

事例②
セキュリティ対策を証明するため
『新しい事業を開始するにあたってお客様の社外秘データを取り扱うことになり、機密保持の契約やデータの保管に関してきちんとしたセキュリティ対策を実施できているか証明が必要になったので、この度ISMS取得に踏み切りました。』

事例③
入札に参加するため
『自治体案件でISMSやプライバシーマークが条件で入札ができないケースがあり、機会損失となっていました。
また、案件によっては膨大な情報を受領することがあり、セキュリティ面のリスク対策が必要であると感じていたので、今回取得を決めました。』

事例④
個人情報以外のセキュリティ強化、在宅勤務へ対応するため
『プライバシーマークを取得しているが、個人情報以外のセキュリティに関してマニュアルがなく、ISMS取得の必要が出てきました。
また、コロナ禍で在宅勤務がスタートし、一層セキュリティマニュアルの必要性を感じました。』

いかがでしょうか。
ISMS取得の必要性が大いにあるケースをご紹介しました。

 

2.取得のメリット


ISMS(ISO27001)

ISMS(ISO27001)取得のメリットを大きく3つにまとめました。

 

①顧客や取引先から信頼を得やすい状態になる

「セキュリティ体制を整えています」といって取引を行う際、自己宣言と、第三者から評価されているのではどちらが信頼を得られるでしょうか。
もちろん、第三者から評価されている方ですね。
審査機関という第三者から評価された状態になることで、お取引先の信頼を得やすくなりますし、取引を拡大できるケースもあります。

 

②情報を取り扱う手順やルールを明確にできる

ISMS(ISO27001)の取得・更新は、情報セキュリティのルールの過不足を確認する機会になりますし、すでにあるルールの妥当性についても確認できます。

 

③役割や責任権限が明確になる

ISMS(ISO27001)の取得では情報セキュリティに関する役割や責任権限なども考えていく必要があります。
セキュリティを保つためのルールはもちろんですが、ソフト面、ハード面の管理体制も整える必要があります。
“なんとなく”振り分けていた役割を改めて確認できる機会になります。

手間なく・楽に運用できるISMS運用手法

手間なく・楽に運用できるISMS運用手法

3.取得のデメリット

もちろんデメリットもあります。
今回は主なデメリット3つを紹介します。

 

①作業が増える

審査機関から評価を受けるためには、社内で実施したと確認できる記録が必要になります。
今まで口頭で確認していたことを書面に残す必要が出て来たり、結果だけを書面・データで残していたものに対し、プロセスも書面やデータで残す必要が出てきます。

 

②守るべきルール・手順が増える

ISMS(ISO27001)の構築で難しいのが、この部分です。
セキュリティを担保するために考えれば、行うべきことも「社員の手間が増える…」「業務が窮屈になってしまう…」などといったリスクがあります。
また、残すべき情報やログが増えてしまうこともあります。

セキュリティを保つことはもちろんですが、それで日常業務が行いにくい体制になってしまっては元も子もありません。
状況に合ったルールや手順を判断していく必要があります。

 

③審査費用が発生する

ISMS(ISO27001)は一度取得したら終わり!というものではありません。
維持するためには毎年審査がありますので、継続して運用していかなければなりません。
審査費用も毎年発生しますし、審査を受けるためのスケジュール確保も必要になります。

 

4.ISMS(ISO27001)とPマークは何が違う?

ISMS(ISO27001)の必要性について考える際、もう1つの疑問が浮かぶ企業も多いです。
それは、「ISMS(ISO27001)とプライバシーマーク(Pマーク)との違いは何か?」「プライバシーマーク(Pマーク)では問題ないのか?」という考えです。
ISMS(ISO27001)とプライバシーマーク(Pマーク)は似て非なるものです。
違いを表にまとめましたのでご覧ください。


規格ISMS(ISO27001)Pマーク(プライバシーマーク)
対象事項情報資産全般個人情報のみ
グレード国際規格
グローバル視点で評価に値する
国内規格
認証の範囲事業・事業所・部門単位での取得も可能1社全体(全部署・全従業員)
認証までの期間4~6か月6~9か月
業界・市場IT業・ソフトウェア業・メーカーなど
B to B取引や大手企業との取引に使われる
人材派遣業・広告業・印刷業・社労士・ 通販業
など B to C 取引で一般ユーザーを対象にしている

審査の違い■簡単
①審査時に、「広く・浅く」見られる
②リスクに応じて対策が打てる、ルールに自由度有
認証範囲を選べる(全社・事業部・拠点等)
④審査機関すべて価格が違う=競争原理ある
⑤審査日数が対象人数に応じて変わる
⑥コンサルタントの審査立会が可能
■難しい
①審査時に「狭く・深く」見られる
②個人情報保護を基準に平均的なリスク対策が必要
組織全体で認証
④審査機関すべて価格が同じ=競争原理なし
⑤審査が1日で終わる
⑥審査は従業員のみが立会可能
審査の頻度3年に1回更新
審査は毎年1回以上
2年に1度
審査機関の対応スピード早い遅い
申請から審査まで3か月かかるケースも
取引要件として

ISO27001が取引要件= × Pマーク取得
→Pマークを持っていても、
要件として包括されない

Pマークが取引要件= 〇 ISO27001認証
→ ISO27001(ISMS)なら、
Pマークを包括できるケースが多い


こちらの記事で違いについて詳しく解説しておりますので是非ご覧ください。
【結論】どっちを取得するのがいい!?PマークとISMSの違いを徹底比較!

 

5.差別化を図るならISO27017

ISO27017は、クラウドサービスにおける情報セキュリティ管理策のガイドライン規格です。
取得するべき業種は、クラウドサービスを提供している企業です。

一般的に「SaaS」「PaaS」「IaaS」関連のサービスを提供する企業が取得します。

この規格はISMS(ISO27001)のアドオン認証規格です。
ISO27017を取得するには、先にISMS(ISO27001)を取得しなければなりません。
もしくは同時に取得をするという方法もあります。

ISMS-ACでISO27017の取得企業数は、2022年4月では277社でしたが、2023年3月末時点で402社と増加しています。
ISMSは全国で7,000社以上が持っており、持っていて当たり前の時代です。
しかし、ISO27017は取得企業が約400社と少なく、今が他社との差別化のチャンスです。

 

ISO27017の取得について、詳しくはこちらのコラムをご覧ください。
ISO27017:クラウドセキュリティ認証取得の手順やポイントを解説

 

まとめ

ISMS(ISO27001)の必要性がある事例の紹介とメリット・デメリットについてご説明しましたがいかがでしたでしょうか。
取得のメリット・デメリットを把握した上で、自分達の組織に本当にISMS(ISO27001)が必要かどうか判断しましょう。

ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。