2024年2月16日
ISMS-ACはISMS(ISO27001)の認定機関です。ISMS(ISO27001)の審査を受けた組織を認定する役割があります。
一方、JIPDECはPマーク(プライバシーマーク)の認定機関であり、審査機関でもあります。Pマーク(プライバシーマーク)審査の実施、Pマーク審査を受けた組織を認定する役割があります。
1.ISMS-ACとは
ISMS-ACとは、正式名称を「一般社団法人情報マネジメントシステム認定センター」といい、その略称がISMS-AC(ISMS Accreditation Center)です。
ISMS-ACはISMS(ISO27001)、ITSMS、BCMS、CSMSの認証を実施しており、その信頼性の向上と維持に向けて活動している認定機関です。
もともとISMS-ACはJIPDECとして活動をしていましたが、2018年4月2日にISMS等の認定事業が独立したため、JIPDECと同じ住所に拠点を持つ関連法人となっています。
認定機関は国ごとにいくつかありますが、日本のISMS(ISO27001)認定機関はISMS-ACのみです。
2.ISMS-AC認定がある審査機関とは?
ISMS-ACの認定がある審査機関とは、ISMS-ACからの認定を受けてISO27001の審査をしている審査機関です。
現在では30の審査機関がISMS-AC認定を受けています。以下のWEBページに詳細の記載があります。
参考URL:情報マネジメントシステム認定センター(ISMS-AC)|ISMS認証機関一覧
逆にISMS-AC認定を受けていない審査機関もあります。認定を受けていないため検索などではヒットしませんが、取得するISMSの効果は同じです。(相互認証を受けている審査機関に限る)
ISMS-ACで認定を受けていない審査機関でISMS(ISO27001)を認証するメリットとしては、審査料金を柔軟に設定できる点です。また審査時間を短くしている審査機関もありますので、審査機関を選ぶ際はどの認定機関でどのような特徴があるか事前に調査をしましょう。
3.ISMS-AC認定がある審査機関で審査を受けるメリット
(1)有名なISMSロゴマークが利用できる
ISMS-AC認定の審査機関から審査を受けることで、有名なロゴマークを使用することができます。
認定機関や審査機関によっては使用できるロゴマークが違い、HPや名刺に載せるマークに違いがあります。
(2)ISMS認証取得組織検索に掲載される
ISMS-AC認定の審査機関から審査を受けることで、この認証取得組織検索に、社名や組織名を掲載することができ、掲載されることでISMS認証を取得していることを、外部から検索することができます。
4.ISMS(ISO27001)とは
ISO27001とは、情報セキュリティにおけるマネジメントシステムの国際規格です。
JIS Q 27001とは、ISO27001の発行に伴い、日本産業標準調査会(JISC)により日本工業規格(JIS)として制定された国内規格となります。
情報セキュリティマネジメントシステム(Information security management systems)を省略し、「ISMS」とも呼ばれています。
マネジメントシステムとは簡単に言うとPDCAのサイクルを回す仕組みのことです。
情報を守るためのPDCAを回し、その仕組みができている企業の証として認定されるのがISMS(ISO27001)です。
情報セキュリティという言葉が強く印象に残るため、ISMS(ISO27001)を持っている会社はセキュリティレベルが高い会社であるというイメージが先行してしまいがちですが、自社の課題や外部の課題に合わせて自社のリスクを認識し、必要なセキュリティレベルを決めることで適切なシステムを運用していくのがISMS(ISO27001)です。
自社のリスクを適切にマネジメントし、情報の機密性、完全性、可用性をバランスよく改善・維持することでリスクを適切に管理できる状態を構築していきます。
こちらの記事でもISMS(ISO27001)について詳しく解説しております。
ISMS(ISO27001)とは?Pマークとの違いや規格の概要、立ち位置を解説
5.JIPDECとは
JIPDECとは、正式名称を「一般財団法人日本情報経済社会推進協会」といい、略称がJIPDEC(Japan Institute for Promotion of Digital Economy and Community)です。
メイン業務はプライバシーマーク推進センターです。プライバシーマーク制度の認定機関であり、審査も実施する審査機関としても活動されています。その歴史は長く、1967年12月20日に設立されており、現在でも複数の事業を実施しています。
プライバシーマークの認定機関としてのイメージが強いかと思いますが、それ以外の業務についてもここで一部ご紹介いたします。
デジタルトラスト評価センター
インターネット空間上では様々なものが電子化されています。
例えば個人、法人、モノ等に関する情報があり、そのデータが実在する正しいデータなのか、改善されていないデータなのか、その信頼性をチェックし認定する仕組みを登録・評価することで、インターネットの信頼性の確保に取り組む活動を実施しています。
電子情報利用活用研究部
電子情報の利用活用・保護に関する調査を実施したり、産学官連携による課題の検討をしたりしています。
認定個人情報保護団体事務局
個人情報の保護に関する法律の中には多くの認定個人情報保護団体に関するものがあります。その認定個人情報保護団体の事務局として、プライバシーマーク取得事業者に関わらず消費者等から寄せられる、個人情報の取扱いに関する苦情や漏洩等の事故に関する相談、対応を行っています。
6.ISMS-ACとJIPDECの違いって何?
ISMS-ACは主にISMS(ISO27001)の認定機関です。
JIPDECはPマーク(プライバシーマーク)の認定機関、兼審査機関です。
取得する認証によって認定機関、審査機関が異なるので注意が必要です。
7.ISMS(ISO27001)の取得方法は?
ISMS(ISO27001)を取得するためには、情報セキュリティマネジメントシステムを確立する必要があります。
情報を守るためのPDCAが仕組化された会社であるということを証明する必要があります。
では、どのようにそれを証明していくのかを簡単に説明します。
(1)情報資産の洗い出し
自社にはどのような情報資産があり、それは、どのくらいのリスクを持っているのか、また現状その情報資産に対するリスク対策は何が実施できているのかを一覧化し、現状を把握していきます。
(2)リスク対応計画
情報資産の洗い出しを実施し、その中でも特に重要と思われる情報資産をピックアップし、個別のリスク対応、対策を実施していきます。
(3)ルール作り
規格要求事項をもとに、社内の情報セキュリティに関するルールを決めていきます。
既にあるルールを整備したり、ルールがない場合は新しく作成したりします。
ISMS(ISO27001)の要求事項は本文と管理策に分かれており、それぞれ、どういったときにリスクが起こりやすいかの観点で書かれているため、要求事項に対して自社のルールと現状がどうなっているかをチェックしながら、ルールを整備していきます。
(4)内部監査
現状把握やルールの運用、教育など計画(P)と実施(D)を続けていく中で、それらが適切に実施出来ているのかをチェック(C)する必要があります。それが内部監査となります。
ルールは規格で言われていることが最低限入っているか、決めたルール通りに日々の取組みを実施出来ているのかを実際に現場でチェックするのです。
(5)マネジメントレビュー
ISMS(ISO27001)における運用やチェックした内容をトップへ報告し、自社の現状の課題やリスクから今後どうしていくのか、現状に対してどう対応すべきかのアウトプットを決める場がマネジメントレビューとなります。
次の運用のアクション(A)を決める必要があるわけです。
簡単ですが、上記の流れを一連の運用とすることで、ISMS(ISO27001)における情報が守られる仕組みのある会社となります。
こちらの記事でもISO27001(ISMS)について詳しく解説しています。
ISMS取得の流れガイド|審査の内容やPマークとの違いも解説
まとめ
ISMS-ACは主にISMS(ISO27001)の認定機関となります。
ISMS(ISO27001)の審査を受けた組織を認定する機関です。
ISMS-AC認定を受けている審査機関で認証をすると、有名なロゴマークを使用することができます。
またISMS-ACの認定を受けていない審査機関もあり、審査料金を割り引いてくれたりと特徴があります。
ISMS(ISO27001)を認証する場合は事前に調べることが重要です。認定機関や審査機関について分からないことがあれば、専門家であるコンサルタント【認証パートナー】に是非ご相談ください。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ