１．ISO27001とは？

(1)ISO27001とは

ISO27001とは、情報セキュリティマネジメントシステム（ISMS）の国際標準規格です。情報資産の保護、情報セキュリティリスクの管理、情報セキュリティ管理の継続的改善を目的としています。
組織がISO27001に準拠することで、情報セキュリティの管理体制が適切に機能していることを証明できます。簡単にいうと「安心・安全なビジネス環境を整えていこう」ということです。

(2)ISO27001と似ている言葉の意味

①ISO/IEC27001
ISO/IEC27001は、ISO27001のことです。ISO27001の正式な名称は、ISO/IEC27001です。
ISO/IEC27001は、ISO（国際標準化機構）とIEC（国際電気標準会議）が共同で策定したことを明確にするための正式な表記なのです。
時代とともに内容がアップデートされるものなので、「ISO/IEC 27001:2022」は2022年に改訂されたバージョンを意味しています。

②ISMS
ISMSとは、「Information Security Management System」の略で、情報セキュリティマネジメントシステムのことです。
ISO27001は「規格要求」を指し、ISMSは「マネジメントシステム」を指しますが、同義で使われることもあります。

(3)機密性・完全性・可用性の重要性

機密性・完全性・可用性とは情報セキュリティの3つの基本的な要素です。情報セキュリティマネジメントシステムでは、「機密性・完全性・可用性」の3つに対して、様々な対策を講じる必要があります。
それぞれは以下のように定義されます。3つの観点全てを考慮し、対策を講じていく必要があります。

①機密性（Confidentiality）

情報が漏えい・暴露を受けないように管理することを意味しています。
情報が許可された者だけがアクセスできる状態を指すため、不正なアクセスや漏洩から情報を保護することが求められます。

②完全性（Integrity）

情報が正確・最新で利用に耐える状態でないと、役に立たないという当たり前のことを意味しています。
情報が正確であり、不正な改ざんや破壊から保護されている状態を指すため、情報の信頼性を保つことが重要な要素です。

③可用性（Availability）

情報を使いたいときに使える状態にしておくことを意味しています。
情報が必要な時に、許可された者が適切にアクセスできる状態を指し、システムのダウンタイムやネットワークの遅延などから情報を保護することが求められます。

(4)ISO27001とPマークとの違い

Pマーク（プライバシーマーク）とは、個人情報を適切に取り扱う体制を整備している事業者を認定する制度です。日本産業規格（JISQ15001）の要求事項に則った個人情報保護マネジメントシステム（PMS）を構築するとともに、個人情報保護法にもとづいた対策をすることで、個人情報の「漏えい」「紛失」「改ざん」などのリスクを低減することを目的としています。
ISO27001とPマークはどちらもマネジメントシステムによるPDCAの仕組となり、第三者認証ですが、以下のような違いがあります。

2．ISO27001取得のスケジュール

ISO27001の認証を取得するためには、マネジメントシステムを構築し、運用し、審査を受ける必要があります。
具体的には以下のステップを踏むことでISO27001認証を取得することが可能です。

①全体の計画を立てる
②審査機関を選定する
③情報セキュリティ方針、情報セキュリティ目的の作成
④文書構築（マニュアル、適用宣言書、手順書等）、帳票整備
⑤運用＋運用記録作成
⑥内部監査
⑦マネジメントレビュー
⑧是正処置
⑨第一段階審査
⑩第二段階審査
⑪是正処置（該当する場合）
⑫認証取得

また、ISO27001の認証取得後も認証を維持するために1年に1回の維持審査（サーベイランス審査）、3年に1回の更新審査を受ける必要があります。

(1)全体の計画を立てる

取得までに必要な項目を洗い出し、計画を立てましょう。いつまでに取得完了したいかの期日、適用範囲、認証プロジェクトの担当者や予算を決定します。
また、「プロの手を借りたい」「専門家に導いて欲しい」という場合は、コンサルティング会社に問い合わせを行います。

(2)審査機関を選定する

多くの審査機関がある中で、審査を受ける審査機関を決定します。
自社の要望に合いそうな審査機関を数社選び、合い見積もりをとって決定します。

(3)情報セキュリティ方針、情報セキュリティ目的の作成

情報セキュリティ方針とは、情報セキュリティマネジメントシステムを構築する土台となる方針のことです。
そして、情報セキュリティ目的 とは情報セキュリティ方針と調合性が取れた計測可能な具体的な目的のことです。
これらは、情報セキュリティマネジメントシステムの中でも中核となる文書となるため、組織の目的や内外の課題、組織の全体的な方針（経営理念や企業目的）と整合したものを作成する必要があります。

(4)文書構築（マニュアル、適用宣言書、手順書等）、帳票整備

ISO27001では、下記の事項を満たす文書を作成する必要があります。
また必要な帳票整備も実施します。

• ISMSマニュアル
• 適用宣言書
• 情報セキュリティ管理規程
• 事業継続計画マニュアル
• リスクアセスメント規程

また、帳票整備は見積書や契約書、仕様書など現場で使用する帳票のフォーマットの整備や保管方法、変更の管理方法などを決定します。この帳票整備をしっかり行わないと審査時にフォーマットに指摘が入ったりすることでこの後の運用ステップで対応方法や記録の方法が変わってしまいます。

以下の要求事項を満たせるようにしっかりと帳票整備を行いましょう。

• 必要なときに，必要なところで，入手可能かつ利用に適した状態である。
• 情報が十分に保護されている。
• 配付，アクセス，検索及び利用が可能である。
• 読みやすさが保たれ、保管及び保存されている。
• 変更の管理がされている
• 保持及び廃棄方法が適切である

(5)運用＋運用記録作成

情報セキュリティ目的の達成を確実にする情報セキュリティ計画を実行し、マネジメントシステムを運用します。
運用フェーズはPDCAサイクルのD（実行）の部分に該当します。運用の記録や検証の結果を作成した帳票に記入し、後から振り返りができるようにしておきましょう。

(6)内部監査

内部監査とは、組織内部の人間によってマネジメントシステムを評価する監査のことです。
運用のフェーズはPDCAサイクルのC（チェック）の部分に該当します。外部の監査員を活用してはいけないという決まりはないため、コンサルに協力してもらうのも一つではあります。

内部監査では内部監査員としての力量を身に着けた数名が「マネジメントシステムが規格要求事項に合致しているか、ルール通り運用されているか（適合性）」ということと、「ルール通り運用していることが改善の役に立っているか（ 有効性 ）」を主に評価します。
また、意図した通りにマネジメントシステムが現場で運用されているか（複雑すぎて形骸化していないか）についても確認しておくと良いです。

(7)マネジメントレビュー

内部監査が完了したら、内部監査の結果に基づいてマネジメントレビューを実施します。
運用のフェーズはPDCAサイクルのA（改善）の部分に該当します。マネジメントレビューとは、トップマネジメントによって行われる情報セキュリティマネジメントシステムの評価のことです。

マネジメントレビューでは、内部監査の結果や情報セキュリティ目的と情報セキュリティ計画の乖離、 利害関係者 からのフィードバックをもとに等をインプットとして報告し、「改善の機会」および「情報セキュリティマネジメントシステムのあらゆる変更の必要性」、「資源の必要性」についてアウトプットを経営層からもらいます。
また、「マネジメントレビュー議事録」についても残しておきましょう。

(8)是正処置

内部監査やマネジメントレビューの結果、是正処置が必要な場合（不適合があった場合）は是正処置を行います。
是正処置とは不適合があった場合に原因を除去し、再発を防止するために行うことです。ここで注意しておきたいことは、取り急ぎ不適合を回避するための「修正」と是正処理を混同しないようにすることです。有効な是正処置を行えるようにすることも内部監査員の重要な役割です。

(9)第一段階審査

マネジメントレビューまで完了したら、ついに審査にのぞむことになります。
新規取得をする場合には2回の審査があり、1回目の審査は文書類の審査です。自社で作った文書類や記録類が、ISMS（ISO27001）の要求を満たしているかを確認されます。
文書類や記録類を確認してもらい、二次審査を受けられるかどうか のチェックをされます。

(10)第二段階審査

一次審査が終わると二次審査、いわゆる現地審査を迎えます。
自社で作ったルール通りに運用が行われているか、等の中身の妥当性を見る審査です。実際の仕事内容や現場をチェックしてISMSの認証ができる状態かを見られます。
第二段階審査では第一段階審査で受けた指摘事項の結果対応も見られますので、第二段階審査当日までに対応を終えておくようにしましょう。

(11)是正処置（該当する場合）

第一段階審査、第二段階審査後に発生する是正処置は、審査機関の審査で不適合があった場合に是正処置を行います。
指摘箇所に対して有効な是正処置を行うことで、認証取得を行うことができます。第一段階審査では、不適合ではなく懸念事項（審査機関によって呼び方は様々）がだされ、第二段階審査までの是正が求められます。

(12)認証取得

第二段階審査の結果、情報セキュリティマネジメントシステムがISO27001規格要求事項を満たしていると判断された場合、認証が発行されます。第二段階審査から一ヶ月程度で認証が発行され、手元に届きます。
ただし、不適合があった場合は是正処置を行う必要があり、認証取得予定日もずれ込んでしまうため注意が必要です。
また認証の発行と同時に認証マークも届きますので、名刺やホームページに掲載していくようにすると良いです。

ですが、認定証が届いたら終わりではありません。ISMS（ISO27001）は毎年審査があります。早速ですが、次年度の審査までの段取りを始めましょう。取得できて安心し、油断してたら何もしないうちに次の審査を迎えたといったことがないように進めるようにしましょう。

3.ISO27001認証取得までの期間

ISO27001の認証取得までの期間は、企業の規模や既存の情報セキュリティ管理体制の状況によりますが、一般的には約6ヶ月から1年程度とされています。
ただし、これはあくまで目安であり、準備が整っていればより短期間で認証を取得することも可能です。
また、逆に準備が不十分な場合や改善点が多い場合は、より長い期間を要することもあります。

4．ISO27001の取得費用

ISO27001には大きく分けて2種類の費用が発生します。

(1)認証審査費用

審査機関に支払う金額です。審査費用や認証登録費用等、ISO27001を取得する上で必ずかかる費用です。

(2)コンサルティング費用

自社のリソースのみで構築、運用をする場合、時間はかかりますが、コンサルティング費用はかかりません。自社と認証機関との間に入りコンサルティングしてくれるコンサル会社の費用は、新規取得時も同様ですが、その後ずっと続く運用面のサポートにも目を向けたほうがよいでしょう。
ISO27001は取得して終わりではありません。認証完了後も維持するためには維持審査、更新審査を受けるためランニングコストがかかりますので覚えておきましょう。

5．ISO27001認証取得メリット・デメリット

ISO27001認証取得についてメリット・デメリットを把握しておきましょう。

(1)メリット

ISO27001認証取得のメリットは以下です。

• 情報セキュリティの国際的な基準に準拠していることを証明することができる。
• 企業の情報セキュリティ対策が適切であることを第三者が認証することで、顧客や取引先からの信頼を得られる。
• 定期的な教育の実施に伴い、情報セキュリティに関する従業員の意識向上に繋がる。
• 情報セキュリティリスクを管理（情報セキュリティリスクの低減）を行うことで、情報漏洩やそれに伴う事故、インシデントを未然に防ぐことができる。
• 法令遵守や契約上の義務を果たすためのフレームワークを提供できる。

多くの業態において、モバイル端末や電子機器等、それぞれが情報を持つことが当たり前になる中、情報管理の意識が低いと情報漏洩リスクが自然と高くなってしまいます。

組織の中でマニュアルを管理し、定期的なチェックを行うことが大事です。
また社内に必要な情報を周知することで、情報セキュリティに関する意識の改善・モラル向上に繋がるアクションとなります。更に、情報セキュリティリスクを洗い出し、必要に応じて管理策を設定するので、事前の対策として情報漏洩の防止が期待できそうです。
対外的メリットとしては、企業としての信頼感の向上が挙げられます。特に、取引先・顧客の情報を取り扱う企業であれば、情報のセキュリティ管理・従業員への教育・情報漏洩などの意識はとても重要で、常に取引先・顧客から求められています。

(2)デメリット

ISO27001認証取得のデメリットは以下です。

• 認証取得までに時間とコストがかかる。
• 継続的な改善と監査が必要であり、そのためのリソースが必要となる。
• 全社的な取り組みが必要であり、組織全体の理解と協力が必要となる。
• 認証取得後も定期的な更新が必要であり、そのためのコストと時間が発生する。

デメリットとして挙げられることは、やはり社内の新たな作業工数がかかること、そして時間やコストの発生となります。
認証取得自体も各種文書を作成し、担当者をつけて運用を厳密に行う必要があるため、情報セキュリティ管理者への業務負担が必然的に増えてしまいます。
また、毎年行われる審査への対応やコストがつきものです。一例として同様に、ITシステムで対応する場合システム開発・運用面にかかるコストが単純に増えることもデメリットのひとつといえます。ただし、ISO27001自体取得するのにかなりのリソースを費やしますが、適した形で導入することによりデメリットを抑えることができ、結果的にはさまざまな大きいメリットを受けられると考える方が良いでしょう。

6．ISO27001取得にコンサルタントは必要なのか

(1)ISO27001取得の難易度

ISO27001を取得するためには、要求事項に沿って仕組みを構築し、実際に運用していくことが求められています。

実際に、ISOではここまで実施したほうが良いというような強制的な要求はなく、どこまで実施するのかは組織（自社）で決定する必要があります。
また、取得のためにさまざまな工程を踏む必要があるので、現状と乖離した仕組みや運用を構築してしまうことも多いです。
その影響からISO27001取得のための構築となってしまい、情報セキュリティ管理者を含む従業員への負担が膨大なものとなってしまうこともあります。
そのため、実際組織で実施している仕組みや運用に対して、どこまで落とし込みするのか、適した仕組みになっているのかを検討・判断するのが難しいです。この結果全て、ISO27001取得の難易度を上げている要因となります。

(2)自社で運用する場合

自社で取得するメリットは、1番は目に見えるコストが抑えられるということが挙げられます。

コンサルタントに依頼するコスト面だけで考えると、自社で対応することでコンサルタント費用は抑えられます。
ただし、機会損失による見えない損失が発生することに注意するべきです。
また、ISO27001は取得までに長期的な取り組みが必要ですが、通常業務と兼任や兼務するパターンが多く、実施対応を継続的に行う必要があります。なのでメリットの一つかもしれませんが、コンサルタント会社の設定したスケジュールではなく自社のペースで取り組むことが可能です。

しかし、専門知識がなければ取得までの手順で躓くことも多く、手順通りに進まない可能性があるというデメリットが考えられます。
自社での必要な箇所・不要な箇所の見極めが難しく、作業工数が新たに発生する可能性もあります。
工数だけでなく、コスト面においてもコンサルタント費用という目に見えるコストは抑えることができても、人件費や運用費といった見えづらいコストが多くかかってしまう可能性があることを知っておきましょう。

(3)コンサルに依頼する場合

ほとんどの企業ではISO27001の取得をお願いされた担当者が通常業務と兼任や兼務でISO27001の担当となることが多いため、負担が大きくなりやすいです。
ISO27001の取得をする際には、専門知識や最新の情報を持つコンサルタントに依頼するのがおすすめで、一番の近道だと考えます。
ゼロから規格要求事項の勉強、また外部セミナーに参加、書類の作成、審査の対応などにかかる時間・費用・工数を考えると、コンサルタント会社を使用するほうが効果的です。
なによりコンサルタントは他社事例や経験を多く持っているため、よりスムーズな取得へ導いてくれます。

まとめ

ISO27001の新規取得に関しても、何のために取得するのか、自社ではどの範囲で取るべきか、費用はどのくらいか、期間はどのくらいかなど、実績や経験、事例をもとにした情報が一番確実で早いことは確かです。ご不明点やイメージ付け、情報収集だけでもお気軽にご連絡ください。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら▶️
• 見積もり依頼はこちら▶️