ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)におけるISMS-ACとJIPDECの違いって何?

2022年9月5日

ISMS(ISO27001)におけるISMS-ACとJIPDECの違いって何?

ISMS(ISO27001)におけるISMS-ACとはISMS(ISO27001)の認定機関を指し、JIPDECはプライバシーマーク(Pマーク)の認定機関なので、取り扱う認証規格が異なります。
ISMS(ISO27001)の認定機関ISMS-ACは「一般社団法人情報マネジメントシステム認定センター」の略称です。JIPDECは「一般財団法人日本情報経済社会推進協会」の略称です。

1.ISMS-ACとは

ISMS-ACとは、正式名称を「一般社団法人情報マネジメントシステム認定センター」といい、

その略称がISMS-AC(ISMS Accreditation Center)です。

もともとISMS-ACはJIPDECとして活動をしていましたが、2018年4月2日にISMS等の認定事業が独立したため、JIPDECと同じ住所に拠点を持つ関連法人となっています。

 

ISMS-ACはISMS(ISO27001)、ITSMS、BCMS、CSMSの認証を実施しており、その信頼性の向上と維持に向けて活動している認定機関となっています。

 

認定機関は国ごとにいくつかありますが、日本のISMS(ISO27001)認定機関はISMS-ACのみとなっています。

2.JIPDECとは

JIPDECとは、正式名称を「一般財団法人日本情報経済社会推進協会」といい、略称がJIPDEC(Japan Institute for Promotion of Digital Economy and Community)です。

メイン業務となるのは、プライバシーマーク推進センターです。
プライバシーマーク制度の認定機関であり、審査も実施する審査機関としても活動されています

その歴史は長く、1967年12月20日に設立されており、現在でも複数の事業を実施しています。

プライバシーマークの認定機関としてのイメージが強いかと思いますが、それ以外の業務についてもここで一部ご紹介いたします。

・デジタルトラスト評価センター
インターネット空間上では様々なものが電子化されています。

例えば個人、法人、モノ等に関する情報があり、そのデータが実在する正しいデータなのか、改善されていないデータなのか、その信頼性をチェックし認定する仕組みを登録・評価することで、インターネットの信頼性の確保に取り組む活動を実施しています。

・電子情報利用活用研究部
電子情報の利用活用・保護に関する調査を実施したり、産学官連携による課題の検討をしたりしています。

・認定個人情報保護団体事務局
個人情報の保護に関する法律の中には多くの認定個人情報保護団体に関するものがあります。その認定個人情報保護団体の事務局として、プライバシーマーク取得事業者に関わらず消費者等から寄せられる、個人情報の取扱いに関する苦情や漏洩等の事故に関する相談、対応を行っています。

3.ISMS(ISO27001)とは

ISO27001とは、情報セキュリティにおけるマネジメントシステムの国際規格です。

JIS Q 27001とは、ISO27001の発行に伴って、日本産業標準調査会(JISC)により、日本工業規格(JIS)として制定された国内規格となります。

情報セキュリティマネジメントシステム(Information security management systems)を省略し、「ISMS」とも呼ばれています。

マネジメントシステムとは簡単に言うとPDCAのサイクルを回す仕組みのことです。情報を守るためのPDCAを回し、その仕組みができている企業の証として認定されるのが、ISMS(ISO27001)となります。

 

情報セキュリティという言葉が強く印象に残るため、ISMS(ISO27001)を持っている会社はセキュリティが高い会社であるというイメージが先行してしまいがちです。

ですが、自社の課題や外部の課題に合わせて自社のリスクを認識し、必要なセキュリティレベルを決めることで、適切なシステムを運用していくのがISMS(ISO27001)です。
自社のリスクを適切にマネジメントし、情報の機密性、完全性、可用性をバランスよく改善・維持することでリスクを適切に管理できる状態を構築していきます。

 

こちらの記事でもISMS(ISO27001)について詳しく解説しております。
ISMS(ISO27001)とは?概要を分かりやすく説明

4.ISMS(ISO27001)の取得方法は?

ISMS(ISO27001)の取得方法するためには、情報セキュリティマネジメントシステムを確立する必要があります。

情報を守るためのPDCAが仕組化された会社であるということを証明する必要があります。

では、どのようにそれを証明していくのかを簡単に説明します。

(1)情報資産の洗い出し

自社にはどのような情報資産があり、それは、どのくらいのリスクを持っているのか、また現状その情報資産に対するリスク対策は何が実施できているのかを一覧化し、現状を把握していきます。

(2)リスク対応計画

情報資産の洗い出しを実施し、その中でも特に重要と思われる情報資産をピックアップし、個別のリスク対応、対策を実施していきます。

(3)ルール作り

規格要求事項をもとに、社内の情報セキュリティに関するルールを決めていきます。

既にあるルールを整備したり、ルールがない場合は新しく作成したりします。

ISMS(ISO27001)の要求事項は本文と管理策に分かれており、それぞれ、どういったときにリスクが起こりやすいかの観点で書かれているため、要求事項に対して自社のルールと現状がどうなっているかをチェックしながら、ルールを整備していきます。

(4)内部監査

現状把握やルールの運用、教育など計画(P)と実施(D)を続けていく中で、それらが適切に実施出来ているのかをチェック(C)する必要があります。

それが内部監査となります。

ルールは規格で言われていることが最低限入っているか、決めたルール通りに日々の取組みを実施出来ているのかを実際に現場でチェックするのです。

(5)マネジメントレビュー

ISMS(ISO27001)における運用やチェックした内容をトップへ報告し、自社の現状の課題やリスクから今後どうしていくのか、

現状に対してどう対応すべきかのアウトプットを決める場がマネジメントレビューとなります。

次の運用のアクション(A)を決める必要があるわけです。

簡単ですが、上記の流れを一連の運用とすることで、ISMS(ISO27001)における情報が守られる仕組みのある会社となります。

 

こちらの記事でもISO27001(ISMS)について詳しく解説しています。
【初心者の方必見】ISMS取得スケジュールを7つのステップで解説

まとめ

ISMS-ACとJIPDECでは、取り扱う規格が異なります。

ISMS-ACとは、日本国内のISMS(ISO27001)の認定機関であり、「一般社団法人情報マネジメントシステム認定センター」の略称です。
JIPDECとは、Pマーク(プライバシーマーク)の認定機関であり、「一般財団法人日本情報経済社会推進協会」の略称です。

 

認定機関や審査機関について分からないことがあれば、専門家であるコンサルタント【認証パートナー】に是非ご相談ください。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。