ISMS審査合格率100%
0120-068-268
お電話受付:平日9:30〜17:00
ISMSアシスト

お問合せボタン

お問合せは
こちらから

見積依頼は
こちらから

ISMS(ISO27001) 認証・更新

JIS Q 27001の要求事項を解説!規格改訂の変更点についても紹介

スタッフ写真
スタッフ写真

2025年2月5日

JIS Q 27001の要求事項を解説!規格改訂の変更点についても紹介

JIS Q 27001は、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項をまとめた日本工業規格(JIS)のひとつです。
JIS Q 27001は、ISO/IEC 27001(英語)を翻訳したものであり、内容はほぼ同じです。
現在の最新版は、2023年に発行されたJIS Q 27001:2023です。

目次

1.JISQ27001及びISMSとは

情報セキュリティ

JIS Q 27001は、組織がISMSを確立、実施、維持し、継続的に改善するための要求事項を定めた日本工業規格(JIS)の一つです。

一方、ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)の略称で、組織の情報を保護するためのシステムや仕組みを指します。簡単に言えば、「情報を守るための仕組み」のことです。

2.ISO/IEC27001とJISQ27001の関係

「ISO/IEC 27001」というスラッシュ表記は、ISO(国際標準化機構)とIEC(国際電気標準会議)が合同で制定した規格に使用されるものです。

  • ISO(International Organization for Standardization):国際標準化機構
  • IEC(International Electrotechnical Commission):国際電気標準会議

ISOを日本企業向けに日本語で分かりやすくしたものがJIS Q 27001です。

ISO/IEC 27001とJIS Q 27001は、記載されている言語が異なるだけで、内容はほぼ同じです。

⑴ ISO/IEC 27001とJIS Q 27001の発行時期と最新版について

ISO/IEC 27001の原書(英語版)は2022年に発行されましたが、日本語訳版であるJIS Q 27001は翻訳作業を経て発行されるため、「JIS Q 27001:2023」として記載されています。そのため、2025年時点での最新版は、英語版がISO/IEC 27001:2022(2022年版)、日本語版がJIS Q 27001:2023(2023年版)となります。

英語版は発行年に基づき「2022年版」として認識される一方、日本語版は翻訳作業を経て発行されるため「2023年版」として認識される場合があります。

⑵移行期限と必要な対応について

新規格であるISO/IEC 27001:2022への移行期限は、2025年10月31日です。

今回の規格改訂では、主に付属書Aの管理策が変更されており、従来の114項目が93項目に統合・削減されています。

【すでにISO 27001を取得し運用している組織の場合】

ISMS認証を取得している企業は、移行審査を受ける必要があります

移行審査には手続きや準備に時間がかかる場合があるため、早めの対応が推奨されます。

【これからISO 27001を新規取得する組織の場合】

2025年現在、新規格ISO/IEC 27001:2022での認証取得が必須です。

旧規格ISO 27001:2013での認証取得は、2024年4月30日まで可能でしたが、それ以降は新規格での取得が求められます。

3.規格改訂の変更点は?

ISO27001:2013の附属書Aには、情報セキュリティリスクを軽減するための114の管理策が記載されています。これらの管理策の詳細や具体例は、改訂されたISO27002に反映されており、その内容には大幅な変更が加えられています。

今回のISO27001の改訂は、これらの管理策の変更に伴う附属書Aの改訂が主な内容となっています。

旧規格のISO27002では、A.5~A.18までの14項目にわたる114の管理策が設定されていましたが、新規格ではA.5~A.8の4項目に統合され、管理策の数は93に変更されています。

具体的な変更内容は以下の通りです。

  • 新規追加:11項目
  • 統合:24項目
  • 更新:58項目
  • 削除:0項目

管理策の数は114から93に減少したように見えますが、新たに11の管理策が追加されているため、実質的には内容が増えています。

4.JISQ27001とプライバシーマークの違い

JIS Q 27001(ISO27001)とプライバシーマークはどちらも、情報の保護をするためのマネジメントシステムですが、保護する対象が異なります。

⑴目的の違い

①JIS Q 27001(ISO27001)

情報セキュリティマネジメントシステム(ISMS)の国際規格で、組織全体の情報資産(顧客情報、従業員情報、機密情報など)を保護する仕組みを構築・運用することを目的としています。情報セキュリティリスクを管理し、機密性、完全性、可用性を確保することが主な目標です。

②プライバシーマーク

日本国内の制度で、個人情報保護に特化した認証です。個人情報保護法に基づき、個人情報を適切に取り扱う体制を整備している企業や団体に付与されます。個人情報の保護に焦点を当てており、特に個人情報を取り扱う企業にとって重要な認証です。

⑵対象範囲の違い

①JIS Q 27001(ISO/IEC 27001)

組織が保有するすべての情報資産が対象です。個人情報だけでなく、企業の機密情報や取引先情報、ITシステムのセキュリティなど、幅広い情報資産を保護することを目的としています。

②プライバシーマーク

個人情報の保護に特化しており、個人情報の収集、利用、保管、廃棄に至るまでのプロセスが適切に管理されているかが審査されます。

⑶認証の適用範囲

①JIS Q 27001(ISO/IEC 27001)

業種や規模を問わず、すべての組織が対象です。

特に、情報セキュリティを重視する企業(IT企業、金融機関、製造業など)で広く採用されています。

②プライバシーマーク

主に日本国内で個人情報を取り扱う企業や団体が対象です。

特に、BtoCビジネスを行う企業や、顧客情報を多く扱う企業で取得が進んでいます。

⑷認証の取得・維持

①JIS Q 27001(ISO/IEC 27001)

認証取得後、毎年のサーベイランス審査(維持審査)と3年ごとの更新審査が必要です。

②プライバシーマーク

認証取得後、2年ごとに更新審査を受ける必要があります。

5.ISMSに準拠する情報セキュリティとは

ISMSにおける情報セキュリティとは、組織が保護すべき情報資産に対して、機密性(C)、完全性(I)、可用性(A)をバランスよく維持し、継続的に改善していくことを指します。

⑴機密性(Confidentiality)

外部に開示できない情報や、社内で閲覧制限が設けられている情報を保護すること。

⑵完全性(Integrity)

情報の内容に誤りや改竄が生じた場合、業務やサービス、さらには社外や会社全体に影響を及ぼす可能性がある情報を正確に維持すること。

⑶可用性(Availability)

情報が1日程度利用できなくなるだけで支障が生じる場合や、利用停止が業務やサービス、さらには社内や会社全体に影響を及ぼす可能性がある情報を、必要なときに利用できる状態を確保すること。

6.ISMSのポイントはPDCAサイクル

PDCAサイクルとは、「計画(Plan)」「実行(Do)」「確認(Check)」「改善(Action)」を順に繰り返すことで、マネジメントシステムを継続的に改善していく手法です。

マネジメントシステムは、組織の事業活動をより良くするための仕組みであり、PDCAサイクルはその活動の基盤となる重要なプロセスです。同じ失敗を繰り返さないため、または現状のやり方をさらに改善するために、PDCAサイクルを継続的に回していくことが求められます。

ISO27001の規格要求事項にも、このPDCAサイクルの考え方が取り入れられています。

  • PLAN(計画): ISMS(情報セキュリティマネジメントシステム)の確立
  • DO(実行): ISMSの導入および運用
  • CHECK(確認): ISMSの監視およびレビュー
  • ACTION(改善): ISMSの維持および改善

PDCAサイクルを活用することで、組織の情報セキュリティを継続的に向上させることが可能です。

7.要求事項解説

ISMSの要求事項は、第1章から第10章までで構成されています。

それぞれの章について順に説明します。

⑴1章 適用範囲

JIS Q 27001が規定している内容は以下の2点です。

  • 組織の状況に応じて、ISMSを確立、実施、維持、継続的に改善するための要求事項
  • 組織のニーズに応じた情報セキュリティリスクアセスメントおよびリスク対応を行うための要求事項

この規格の要求事項は汎用的であり、すべての組織に適用できることを意図しています。

そのため、JIS Q 27001に適合する場合は、ISMSのための要求事項がまとめられた4章から10章のすべてを遵守する必要があります。

⑵2章 引用規格

JIS Q 27001はJIS Q 27000(用語集)を引用しており、引用されているJIS Q 27000(用語集)は最新版を使用することが求められています。

⑶3章 用語及び定義

JIS Q 27001に登場する用語や定義は、JIS Q 27000に基づいています。

⑷4章 組織の状況

組織は、以下の事項を決定する必要があります。

  • ISMSに関連する利害関係者
  • その利害関係者の情報セキュリティに関連する要求事項
  • ISMS の適用範囲を定めるための境界及び適用可能性

さらに、規格の要求事項に従い、ISMSを確立、実施、維持、継続的に改善することが求められています。

ここで定めたISMSの適用範囲は文書化し、いつでも利用可能な状態にしておく必要があります。

⑸5章 リーダーシップ

トップマネジメントは、以下の事項を通じて、ISMSに関するリーダーシップとコミットメントを示す必要があるとされています。さらに、情報セキュリティ方針の確立も求められています。

情報セキュリティ方針については、以下の条件を満たす必要があります。

  • 文書化された情報として利用可能であること
  • 組織内に適切に伝達されていること
  • 必要に応じて、利害関係者が入手できる状態であること

また、トップマネジメントは、情報セキュリティに関連する役割について、責任と権限を明確に割り当て、それを確実に伝達することが求められています。

⑹6章 計画

ISMSの計画を策定する際、組織は4章で規定されている課題や要求事項を考慮し、以下の目標を達成するためのリスクと機会を特定する必要があります。

  • ISMSが意図した成果を確実に達成すること
  • 望ましくない影響を防止または軽減すること
  • 継続的な改善を実現すること

組織は、これらのリスクと機会に対応するための活動や、その活動の実施方法について計画を立てる必要があります。

また、情報セキュリティリスクアセスメントのプロセスを定め、以下の事項を実施しなければなりません。

  • リスク基準を確立し、維持すること
  • リスクアセスメントの一貫性と妥当性を確保すること
  • リスクを特定し、分析し、評価すること

さらに、情報セキュリティリスクアセスメントのプロセスに関する文書化した情報を保持することが求められます。

加えて、組織は関連する部門や階層において情報セキュリティ目的を設定し、その目的に関する文書化した情報を保持する必要があります。

⑺7章 支援

組織は、ISMSの確立、実施、維持、継続的改善に必要な資源を特定し、提供することが求められます。

また、情報セキュリティパフォーマンスに影響を与える業務を行う人々に必要な力量を明確にし、適切な教育や訓練を実施して、必要な能力を確保する必要があります。

さらに、組織で働く人々は、以下の点について認識を持つことが求められます。

  • 情報セキュリティ方針
  • ISMSの有効性に対する自身の貢献
  • ISMS要求事項に適合しない場合の影響

組織は、ISMSに関連する内部および外部のコミュニケーションの必要性を判断し、適切に実施する必要があります。

加えて、ISMSの有効性を確保するために必要な文書化した情報や、この規格が要求する文書化した情報を管理することが求められます。

文書化した情報については、タイトルや日付などの識別、適切な形式、適切性および妥当性の確認、レビュー、承認を行い、適切に管理する必要があります。

⑻8章 運用

6章で立てた計画を実施し、管理することが求められています。

また、情報セキュリティリスクアセスメントやリスク対応に関する文書化した情報を保持する必要があります。

⑼9章 パフォーマンス評価

ISMSの有効性を評価するため、以下を実施する必要があります。

  • 情報セキュリティパフォーマンスの監視、測定、分析、評価
  • 内部監査を定期的に実施し、ISMSが要求事項に適合していることを確認する
  • トップマネジメントによるマネジメントレビューを定期的に実施し、ISMSの適切性、妥当性、有効性を確認する

また、内部監査およびマネジメントレビューの結果は文書化し、保持する必要があります。

⑽10章 改善

不適合が発生した場合、以下の対応が求められます。

  • 不適合の原因を特定し、再発防止のための是正処置を実施する
  • 是正処置の有効性をレビューし、必要に応じてISMSを変更する

さらに、ISMSの適切性、妥当性、有効性を継続的に改善することが求められています。

8.まとめ

JIS Q 27001は、情報セキュリティマネジメントシステム(ISMS)の確立、運用、維持、改善を目的とした日本工業規格であり、ISO/IEC 27001を日本語に翻訳したものです。

ISMSは、組織の情報資産を保護するための仕組みであり、機密性、完全性、可用性をバランスよく維持することを目指します。JIS Q 27001の要求事項は、計画(Plan)、実行(Do)、確認(Check)、改善(Action)のPDCAサイクルを基盤としており、継続的な改善を促進します。

2023年に最新版であるJIS Q 27001:2023が発行され、ISO/IEC 27001:2022に対応しています。

規格改訂に伴い、附属書Aの管理策が統合・更新され、移行期限は2025年10月31日と定められています。

JIS Q 27001は、業種や規模を問わず、すべての組織に適用可能であり、情報セキュリティの国際的な信頼性を高める重要な規格です。

ISO・Pマーク認証更新でお悩みの方へ

Pマークについてお悩み、ご質問がある方はこちら

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。 アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。 認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

\SNSでシェアしてね/

line

LINEで送る

 copy

URLをコピー

クリップボードにコピーしました

\あわせて読みたい記事/

  • 【2025年最新】ISO27001規格改訂に伴う変更点を徹底解説

    2025年1月15日

    【2025年最新】ISO27001規格改訂に伴う変更点を徹底解説

    2022年10月にISO27001(ISMS)規格の改訂がおこなわれました。今回の規格改訂ではISO27001のガイダンス規格とも呼ばれる『附属書A』の内容追加が主な変更点となっています。すでにISO27001を認証している組織は、移行期限である2025年10月31日までに対応できるようにしましょう。

  • ISO27002とは?最新版は?ISO27001との違いは?

    2024年6月19日

    ISO27002とは?最新版は?ISO27001との違いは?

    ISO27002は、情報セキュリティ管理のベストプラクティスを提供する国際標準です。最新版は2022年版で、情報セキュリティのリスク管理を強化しています。
    ISO 27001とISO 27002の違いは、ISO 27001は「何を」行うべきかを示し、ISO 27002は「どうやって」それを実行するかを説明しています。

  • ISMSとは?ISO27001との違い・認証取得すべきかなど解説

    2025年1月10日

    ISMSとは?ISO27001との違い・認証取得すべきかなど解説

    「ISMSとは何?ISO27001とどう違うのかよく分からない!」 「ISMSって、結局何をどうしたら良いのだろう?」 ISMSという言葉を聞いて、「なんとなく分かりそうだけど、あんまり良く分からない」という方は多いので […]

一覧へ戻る

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

役立つ資料をお届け
資料ダウンロード

8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。

資料の内容

  • ・一目でわかる『費用』
  • ・一目でわかる『取得スケジュール』
  • ・一目でわかる『サポート内容』

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。