「情報を扱っていると『ISMS』という言葉を聞くことがあるけれど、実はどういう意味か正しくわかっていないので知りたい」
「ISMS認証を考えているが、どんなものか、どうやって取得するのかわからない」
情報セキュリティに関わる業務を担当していて、そのような疑問を持つ方も多いでしょう。
ISMS(アイエスエムエス)とは「情報セキュリティマネジメントシステム/Information Security Management System」の略で、「組織が取り扱うデータや情報などを、適切に管理・保全するための仕組み」を意味します。
現代では、ほぼすべての企業がビジネスに「インターネット」を用いています。
そのため、企業には機密情報や顧客情報といった貴重なデータが膨大に集まるようになりました。
と同時に、それらの「情報資産」に対して、漏洩や改ざん、サイバー攻撃などのリスクも生じるため、より一層の安全対策が求められるようにもなっています。
そこで、多くの企業はISMSの構築、運用に取り組む必要が生じているのです。
また、「情報セキュリティ対策を講じている」事実を、取引先やエンドユーザーに対して表明するため、「ISMS認証」の制度もあります。
しかし、ISMS認証を取得するのは、簡単なことではありません。
定められた要件に合致する対策を講じないと、ISMS認証を取得することはできないため、注意が必要です。
そこで本記事では、以下について解説します。
本記事でわかること |
・「ISMS」とは |
最後まで読めば、ISMS・ISMS認証とは何か、どうすれば認証取得ができるのかがよく理解できるはずです。
あなたの会社が情報を安全に管理し、顧客からの信頼度を高めるために、ぜひこの記事を参考にしてください。
1.ISMSとは?
まずは「ISMSとは何か?」ということについて、以下の3点から説明します。
ISMSとは何か? |
・ISMSの定義 |
一つずつ、みていきましょう。
1-1.「ISMS」とは「情報セキュリティマネジメントシステム」のこと
ISMSとは「Information Security Management System」の略で、日本語にすると「情報セキュリティマネジメントシステム」です。
企業などの組織がもつ情報を、外部流出などのリスクから安全に守りながら、利用しやすいような状態で管理・保護する仕組みを指します。
情報社会の現在、組織には経営・運営に関する機密情報や、顧客データ・従業員データといった個人情報など、さまざまな情報が集まっています。
一方で、情報管理の甘さからこれらの情報が流出したり、サイバー攻撃で外部から狙われたりといった重大なインシデントも後を絶ちません。
そのようなリスクを避け、貴重な情報を守るためには、個人それぞれが情報リテラシーを高めることはもちろん重要です。
それに加えて、情報を取り扱う方法を整備したり、漏洩・外部攻撃を防ぐセキュリティシステムを導入したりと、組織全体で情報を保護する仕組み、枠組みづくり=ISMSが求められているというわけです。
1-2.企業がISMSで守るべき「情報セキュリティの3要素」
ISMSにおける情報セキュリティは、次の3要素で構成されています。
出典:情報マネジメントシステム認定センター「ISMS(情報セキュリティマネジメントシステム)とは」
例えば、企業において膨大な量の顧客情報を取り扱うコンタクトセンター(コールセンター)の場合を考えてみましょう。
情報セキュリティの3要素を満たすためには、以下のような取り組みが求められます。
コンタクトセンターが実行すべき「情報セキュリティ」対策と情報資産の例 | |
機密性 | 1)機密情報を外部に漏らさない 【情報資産の例】 【セキュリティ対策】 |
完全性 | 2)情報は正確で最新である 【情報資産の例】 【セキュリティ対策】 |
可用性 | 3)状況に応じてすぐにアクセスできる 【情報資産の例】 【セキュリティ対策】 |
このように、「ISMS=機密性・完全性・可用性の3つを満たした情報セキュリティ対策」だと考えればいいでしょう。
1-3.ISMSの目的
ISMSを構築・運用する最大の目的は、前述したように情報を安全に、正確に、利用しやすい状態で守ることですが、それだけではありません。
企業にとって重要な、以下のようなことにも有用です。
【ISMSの目的】 ・機密情報を守り、流出などのリスクを防ぐ |
ISMSに取り組んでいれば、情報流出やサイバー攻撃のリスクにさらされた場合でも、未然に防ぐことができる可能性が高まります。
また、情報セキュリティを管理する仕組みが整っていることで、顧客や取引相手からの信頼度が高まり、市場での優位性向上や売上拡大も期待できるでしょう。
さらに、情報管理のフローやツールが導入されれば、それに関連する業務も効率化され、生産性向上にもつなげることができるのです。
2.「ISMS認証」とは
ISMSに取り組んでいる企業や組織は、第三者機関の審査を受けて一定の条件を満たしていると認められると、「ISMS認証」を受けることができます。
ISMS認証を取得することで、自社の情報セキュリティ管理が一定水準以上であることの証明となるため、取得を考える企業も多いようです。
そこでここからは、ISMS認証について知っておきたいことを説明します。
まずは、ISMS認証とはどのようなものかから押さえていきましょう。
2-1.「ISMS認証」には「ISO/IEC 27001」「JIS Q27001」の2種がある
よく「ISMS認証」と言われますが、これは「ISMSに関する規格=定められた一定の要件」を満たすことで得られるものです。
実際にISMSを認証する規格としては、以下の2種があります。
・ISO/IEC 27001:国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で定めた国際規格 |
いずれも、前出の情報セキュリティの3要素「機密性・完全性・可用性」に関する細かい要求事項を満たしていると認められた場合に認証が得られます。
具体的には、以下の項目について細かい基準が定められています。
・組織の状況 出典:一般社団法人情報マネジメントシステム認定センター「ISMS(情報セキュリティマネジメントシステム)とは」 |
さらにくわしい要求事項は以下から入手できますので、実際に認証取得を目指す際には読んでおいてください。
2-2.「ISMS認証」と「プライバシーマーク」の違い
ISMS認証と同様に、情報管理に関する認証制度として「プライバシーマーク」というものもあります。
両者を混同してしまう恐れもありますので、ここで違いを説明しておきましょう。
両者の違いを、以下の表にまとめました。
ISMS認証 | プライバシーマーク | |
規格 | 国際規格:ISO/IEC 27001 | 国内規格:JIS Q 15001 |
管理対象 | 情報セキュリティの管理全般 | 個人情報の管理 |
要求事項 | ・組織の状況 | 左記に加えて |
基本的な違いは、ISMSが「情報セキュリティ全般の管理」に関する国際規格・国内規格であるのに対して、プライバシーマークは「個人情報の管理」に特化した国内のみの規格であることです。
そのためプライバシーマークの要求事項には、
・個人情報を持っている企業が、本人からのデータ削除希望や提供拒否などの権利を保障しているか |
などの項目が含まれています。
プライバシーマークについてもっとくわしく知りたい場合は、一般財団法人日本情報経済社会推進協会(JIPDEC)・プライバシーマーク推進センターの公式サイトを参照してください。
3.「ISMS認証」を取得するメリット
ここまでの記事を通して「ISMSとは何か」について、理解できたかと思います。
その一方で「ISMS認証を取得すべきか」について、迷っている方も少なくないのではないでしょうか。
そこで本章では、ISMS認証を取得するメリットを解説します。
「ISMS認証」を取得するメリット |
メリット1: メリット2: メリット3: |
一つずつ、みていきましょう。
3-1.【メリット①】情報セキュリティ関連の「事故」を防げる
ISMS認証を取得する1つ目のメリットが「情報セキュリティ関連の事故を防げる」という点です。
企業が取り扱う「情報(=企業内機密情報+個人情報)」は、金銭と同じくらい重要な価値をもつ「資産」です。
そのため、内部からその情報を持ち出して利益を得ようとする「情報漏洩」や、外部から情報を抜き出されたり破壊されたりする「サイバー攻撃」などの重大インシデントのリスクがつねにつきまといます。
そういった情報セキュリティ関連の事故にISMSを取得・活用することで、以下のように組織全体の情報セキュリティ管理の仕組みを確立できるのです。
【ISMSによる情報セキュリティ管理の仕組み化】 |
ISMSは、情報漏洩などの事故を「運悪く起きてしまうもの」ではなく、「アプローチに沿って未然に防ぐべきもの」として捉え、そのための具体的な基盤を作ることに寄与するでしょう。
3-2.【メリット②】ブランドイメージが向上する
2つ目のメリットが「企業のブランドイメージの向上」です。
例えば、以下のような会社があった場合。
あなたは、どちらの会社と取引したいと思うでしょうか。
セキュリティ対策に対する「態度」の比較 |
【●A社:セキュリティ対策を行わない】 セキュリティソフトを一切入れないため、過去に何度かハッキングの被害に遭っている。 オフィスにカギをかけるが、資料や契約書は、机のうえに出しっぱなしでも問題ない組織風土。 セキュリティ対策は、目に見えにくいものだが、多少、漏洩したって何の問題もない。 ISMS?それは一体、どういうものなのでしょうか。 【●B社:セキュリティ対策を講じる】 「情報=企業が守らなければならない重要な資産の一つ」と考え、セキュリティソフトやUTMなどを導入して、ウイルス対策を徹底的に行う。 加えて、社内で管理する「紙ベースの情報」も情報資産なので、不要なものはシュレッダーにかける、契約書などはカギ付きのキャビネットにしまう、なるべくペーパーレス化(PDF化)するなどの対策も講じる。 セキュリティ対策は、目に見えないものだが、取引先や自社を懇意にしてくれるエンドユーザーとのロイヤルティを形成するうえで欠かせないもの。 多少なりともお金がかかるが、関係者の信頼を失うほうがずっと怖い。だから、これからもセキュリティ対策を行っていきたい。 もちろん、ISMS認証も取得している。社内にも、情報セキュリティに関する意識が浸透してきている。 |
A社とB社を比較した場合、どうでしょうか。
A社がどんなに優れた商品をもっている会社だったとしても、A社と取引したいと思う企業はほとんどいないでしょう。
こうした実態があかるみになれば、顧客もA社の商品を購入しなくなるはずです。
一方、真摯にセキュリティ対策を実施するB社は、信頼できます。
「この会社ならば、安心して取引できる」と思えるため、B社の商品を取り扱う企業が増えていくでしょう。
上記の事例のように「セキュリティ対策への態度」や「ISMS認証の有無」は、企業のブランドイメージを大きく左右するものなのです。
3-3.【メリット③】大手や官公庁との取引に必要な場合がある
官公庁の入札案件には「競争参加資格」といった項目が設けられています。
「入札に参加するための条件」が明示されており、それを満たさなければ入札に参加できません。
この参加条件には「ISMS認証の取得 もしくは それと同等以上の情報保護体制」が求められるケースが少なくありません。
例えば、令和8年8月4日に総務省によって公告された「民間競争入札実施要項標準例(OA関係)」では、以下のように、今までの実施要項に記載された参加資格が記載されています。
以下、今までの実施要項に記載された参加資格 (13)本業務の実施部門は、(一財)日本情報経済社会推進協会又は海外の認定機関により認定された審査登録機関によるISMS、BS7799又はISO/IEC27001の認証を受けていること。 (14)情報セキュリティマネージメントシステム(ISMS)適合性評価精度に基づくISMS認証、プライバシーマークの認定を取得している者であること。 (15)本業務を実施する部門において、ISMS適合性評価精度に基づくISMS認証またはISO27001認証、JISQ15001に準拠したプライバシーマーク使用許諾及びISO9001認証を取得していること。 (16)情報セキュリティ実施基準である「JIS Q 27001」、「JIS Q 27002」、「ISO/IEC27001」又は「ISMS」のいずれかの認証を有していること。 |
出典:総務省「民間競争入札実施要項標準例(OA関係)P10」
一方、「ISMS認証の取得」が「必須条件」になっている入札案件もあります。
一例としては、2026年1月20日に横浜市によって公告された『「国民健康保険料差押事前通知書」の作成及び封入封緘業務委託』が挙げられます。
入札参加資格>その他の条件 1 横浜市⼀般競争⼊札有資格者名簿において、以下の登録があること 2 次に掲げる本業務の受託にあたって必要な技術を備えていること 3 一般財団法人日本情報経済社会推進協会からプライバシーマークの付与を受けていること、 |
出典:横浜市『「国民健康保険料差押事前通知書」の作成及び封入封緘業務委託』
官公庁の入札案件を獲得していきたいと考えている場合、ISMS認証は取得しておいた方がよいものといえるでしょう。
なお、昨今では、官公庁のみならず、一般企業も取引先の選定において「ISMS認証の有無」を取引の条件に据える場合があります。
「官公庁や企業からセキュリティで安心をしてもらいたい」と考えている場合には、ISMS認証を保有しておいた方がよいでしょう。
4.「ISMS認証」を取得する注意点
「ISMSのメリット」について、理解できたかと思います。
その一方で「注意点」が気になっている方も少なくないのではないでしょうか。
そこで本章では、ISMS認証を取得する際の注意点を解説します。
「ISMS認証」を取得する注意点 |
注意点 1: 注意点 2: |
一つずつ、みていきましょう。
4-1.【注意点 1】従業員の業務負荷が増加する
一方で、ISMS認証の取得には「注意点」があります。
その一つが「従業員の業務負荷の増加」です。
情報セキュリティへの取り組み方は、企業によってまちまちなので一概にはいえません。
しかし、以下のような業務負荷が発生する可能性があります。
ISMS認証の取得によって発生する業務負荷 |
・ID・パスワードを3ヵ月に1回変更しなければならない |
慣れてしまえば、たいしたことはないかもしれません。
しかし、ISMSの運用にともなう環境の激変は、従業員にとって「大きなストレス」になる可能性があります。
従業員に対しては、取得後も永続的に「情報セキュリティ対策への協力」を求め続ける必要があります。ISMSの担当窓口にとっても、業務負荷の増加につながります。
こうした点は、ISMS認証を取得するうえでの「最大の注意点」といえるでしょう。
業務負荷にかかわるデメリットを解消するには、必要な情報セキュリティルールを増やしすぎないことです。
自分たちが対応できる範囲での最善を目指すことが、とても大事なポイントです。
4-2.【注意点 2】「取得前・取得後」に費用がかかる
ISMS認証の審査費用は、審査機関、従業員の人数規模、事業所の数などによって大きく異なります。
しかし、仮に30名程度の規模だったとしても、審査機関による審査だけで「85~90万円」程度が相場です。
加えて、ISMS認証の取得には専門知識が求められるため、コンサルタントに依頼するのが一般的です。
そうした場合にも、少なからぬ費用が発生します。一概にはいえませんが、目安としては「50~200万円」程度です。
加えて、ISMS認証に適合する環境に整えるための「セキュリティ対策ソフト」や「カギつきキャビネットの購入」「対策に関わる従業員の人件費」なども発生します。
そして、取得後にも「維持費用」と3年ごとの「更新費用」が発生します。
ISMS認証の取得によって発生する審査費用・維持費用・更新費用の例 |
・初年度(取得費用) ・2年目(維持費用) ・3年目(維持費用) ・4年目(更新費用) |
積み上げていくと、数百万円単位の予算が必要になります。
「ISMS認証の取得が、自社の売上拡大に欠かせない」「情報セキュリティ対策が事業継続上、不可欠である」という場合には、取得すべきです。
しかし、そうでない場合には「費用対効果」を考えたほうがよいでしょう。
以上が、ISMS認証を取得するメリット・注意点です。
改めて内容をまとめます。
「ISMS認証」を取得するメリット・注意点まとめ | |
メリット | 注意点 |
メリット 1: | 注意点 1: |
メリット 2: | 注意点 2: |
メリット 3: | |
上記を比較検討したうえで、ISMS認証を取得するか否かを検討してみてください。
5.ISMS認証を取得する流れ「10STEP」
今までの記事を通して「ISMS認証を取得したい」と考えた方もいると思います。
その場合、次に気になるのが
「どうやってISMS認証を取得すればいいの?」
という点ではないでしょうか。
そこで本項では、ISMS認証を取得するまでの流れを「10STEP」で解説します。
ISMS認証を取得する流れ「10STEP」 | |
STEP | 実行内容 |
STEP1 | 「計画」を立てる |
STEP2 | 「情報資産の洗い出し」を行う |
STEP3 | 「リスクアセスメント」を実施する |
STEP4 | 自社の情報を取り扱う「委託先の管理」を行う |
STEP5 | 自社に関わる「セキュリティ関連の法律」をチェックする |
STEP6 | 「情報セキュリティポリシー」「ISMS遵守マニュアル」を策定する |
STEP7 | 従業員への「セキュリティ教育」を行う |
STEP8 | 「内部監査」を実行する |
STEP9 | 「2回の審査」を受ける |
STEP10 | 「PDCAサイクル」を回し続ける |
一つずつ、みていきましょう。
5-1.【STEP1】「計画」を立てる
まずは、ISMS認証を取得するための「全体計画」を立てましょう。
最初に決めておきたい「主な計画事項」は、以下の通り「6項目」です。
ISMS認証の取得にあたって決めておきたい計画事項 | |
1.プロジェクト担当者 | 誰が「全体責任者(意思決定をするトップ)・プロジェクト管理者・内部監査員・プロジェクトメンバーになるのか」を決める ※プロジェクトメンバーには、IT・システム・セキュリティ等に詳しい者も含める |
2.いつまでに取得するか | 「取得する目標期日」を決める |
3.予算 | 「ISMS認証の取得」に割り当てる予算を決める |
4.審査機関 | 「どの審査機関に審査を依頼するのか」を決める ※実績・審査金額・審査ができる時期・審査の質などを比較検討する |
5.コンサルタント依頼 | 「コンサルタントに依頼するか否か」「(依頼する場合)どのコンサルタントに依頼するのか」を決める |
6.適用範囲 | 「ISMSの適用範囲(全社/特定部署のみ)」について決める |
上記と併せて、ISMSの規格について日本語訳で書かれた「JIS Q 27001」を入手して理解しておきましょう。
日本語訳を入手したい方は、日本規格協会グループのサイトにアクセスしてください。
【入手はこちらから】 |
5-2.【STEP2】「情報資産の洗い出し」を行う
続いて、社内にある情報資産の洗い出しを行いましょう。
フォーマットがバラバラだとわかりづらくなるため、プロジェクト指定のフォーマットに記入してもらうのがベストです。
フォーマットは、以下の通り、5項目が記載できるとよいでしょう。
情報資産管理表のフォーマット 作成例 | |
項目 | 記入例 |
情報資産の名称 | 領収書 |
情報資産の管理者 | 経理部 山田太郎 |
情報資産の保管場所 | カギつきのキャビネット(経理部3階) |
情報資産の保管期間 | 2030年12月25日 |
記入日 | 2020年12月25日 |
情報資産としては、以下のようなものが挙げられます。
1日では書ききれない可能性があるため数日~数週間など期限を設けて、記載するよう促しましょう。
情報資産の例 |
●データの内容 ●媒体の例 |
5-3.【STEP3】「リスクアセスメント」を実施する
続いて「情報資産のリスクアセスメント」を実施しましょう。
「情報資産のリスクアセスメント」とは、情報セキュリティ上、発生しうるリスクを洗い出し、そのリスクが発生したときの影響度合いを分析・評価することです。
情報資産のリスクアセスメントでは、そのリスクに対してどう対処するのかを決める「リスク対応」も行うようにしてください。
まとめると、リスクアセスメントの流れは以下の通りです。
リスクアセスメントの流れ「4STEP」 | |
STEP1 | 【リスクの特定】 例:USBスティックの利用 |
STEP2 | 【リスクの分析】 例:USBメモリの紛失によるリスク度合いの分析 |
STEP3 | 【リスクの評価】 例:USBメモリの紛失によるリスクレベルの評価 |
STEP4 | 【リスク対応】 ・リスク軽減:発生頻度を減らす、影響範囲を減らす 例:リスク回避 |
5-4.【STEP4】自社の情報を取り扱う「委託先の管理」を行う
続いて、自社の情報を取り扱う「委託先の管理」を行いましょう。
情報の委託先の情報セキュリティ管理の甘さがきっかけとなって起こる「情報漏洩事故」が多発しており、そうした事故を防ぐためです。
例えば、高齢者向けの食事宅配サービスを提供している会社の場合。
定期的に食事を届ける顧客リストを保有しており、そうした顧客リストは提携する配送会社が所有している場合があります。
そういった場合には、食事の宅配を請け負う配送会社を、リスト化して管理しておくということです。
そのうえで、必要に応じて、以下3点を実施しましょう。
情報の委託先に対する取り組み |
・情報漏洩対策が行われているのかに関する調査 |
5-5.【STEP5】自社に関わる「セキュリティ関連の法律」をチェックする
情報セキュリティ関連の法律は、法改正によって変更される場合があります。
過去の法律に基づいた対処を行っていると、不十分な場合があります。
そのため、自社の情報セキュリティの運用上、関わりが大きいセキュリティ関連の法律は、定期的にチェックし、最新情報の取得に努めるようにしましょう。
情報セキュリティ関連の代表的な法律 |
・個人情報保護法 |
5-6.【STEP6】「情報セキュリティポリシー」「ISMS遵守マニュアル」を策定する
ISMS認証を取得するにあたっては、以下2点を策定しておきましょう。
情報セキュリティポリシーは、ISMSや情報セキュリティに対する考え方・行動指針をまとめたものです。この指針をベースに、社内にISMS(情報セキュリティ体制)を築いていきます。
ISMS遵守マニュアルは、従業員が情報セキュリティを実施するために行うべきことをまとめた文書です。情報セキュリティポリシーだけでは、意図をつかみづらい場合に備えて用意します。
ISMS遵守マニュアルは、誰が読んでもわかるよう、専門用語を用いず、簡潔にまとめることを心がけてください。
策定しておきたい指針・マニュアル | |
情報セキュリティポリシー | ISMSや情報セキュリティに対する考え方・行動指針をまとめたもの。以下の内容で構成する ・基本指針:組織の基本方針・宣言 |
ISMS遵守マニュアル | ISMSを維持していくための実施方法などをまとめたマニュアル。従業員が読むため、専門用語を用いず、わかりやすく作成すること |
5-7.【STEP7】従業員への「セキュリティ教育」を行う
情報セキュリティポリシーとISMS遵守マニュアルがあれば十分と考えるかもしれません。
しかし、それだけでは十分とはいえません。
なぜならば、マニュアルを読んだとしても、マニュアルの内容通りに実行できるか否かは別問題だからです。
ISMSにおいては、従業員に以下の2点を身につけさせることが大切です。
従業員に身につけさせたい情報セキュリティスキルの例 |
・情報セキュリティ関連の事故による影響(会社の売上減や赤字、廃業のリスクがあること) |
これらのスキルを身につけさせるために、マニュアルの読み合わせやセミナーのほか、いつでも復習できるようにeラーニングを提供したり、定期的なテストを実施したりしましょう。
5-8.【STEP8】「内部監査」を実行する
内部監査を行いましょう。
内部監査とは、情報セキュリティを適切に維持・管理する体制が整えられているかをチェックすることです。
内部監査は、以下の手順で行ってください。
内部監査の流れ「5STEP」 | |
STEP1 | ●内部監査員の選出 内部監査員は「自分の所属する部署・チーム以外を見る」のが鉄則。 |
STEP2 | ●監査項目(チェックリスト)の作成 情報セキュリティポリシーやマニュアルなどの内容に準じて、監査項目を作成する |
STEP3 | ●内部監査の実施 内部監査員が監査を行う。内部監査は、外部に委託することも可能 |
STEP4 | ●監査結果の報告書の作成 各部署の状況(目標の達成度合い、情報セキュリティ事故の発生リスク)などについてまとめる |
STEP5 | ●マネジメントレビュー 監査結果を受けて、トップが以下について判断する ・成果・改善点は何か |
5-9.【STEP9】「2回の審査」を受ける
ISMSの審査は2回実施されます。
1回目の審査から認証書が届くまでは約2ヵ月となります。
それぞれの内容は以下の通りです。
ISMSの監査の流れ「2STEP」 | |
STEP1 | ●第一審査 ・トップマネジメントに対するインタビュー ・情報セキュリティのチェック |
STEP2 | ●第二審査 ・内部監査の結果 |
これらの審査をクリアすることで、ISMS/ISO27001の認証取得となります。
5-10.【STEP10】「PDCAサイクル」を回し続ける
ISMS認証は取得したら終わりではありません。
認証の取得後も、3年ごとの更新に備えて情報セキュリティ対策の維持・向上に努め続ける必要があります。
以下のPDCAサイクルをまわしていきましょう。
ISMSの「PDCA」 | |
P(Plan):計画 | ・リスクアセスメントの実施 |
D(Do):実行 | ・マニュアルの読み合わせ |
C(Check):チェック | ・内部監査 |
A(Act):行動 | ・情報セキュリティに関する事件が発生した際の是正措置の実行 |
6.トランスコスモスが取り組む「ISMS」 について
トランスコスモスでは、お客様の情報と資産を守り、信頼されるパートナーになることを目指し、全国54センター(※執筆時点)で情報セキュリティマネジメントシステムISO27001認証を取得しています。
この取り組みを、事例としてご紹介します。
課題 | 顧客や取引先の個人情報・機密情報などの情報資産を管理・保護するための万全な体制が求められる |
施策 | ・情報セキュリティに関するルールやマニュアルを作成、運用 |
成果 | トラブルなく多くのクライアントから受注 |
トランスコスモスは、デジタルマーケティング事業、EC事業、コンタクトセンター(コールセンター)事業、BPO事業などを幅広く展開していますが、その中でさまざまな情報を入手、取り扱う必要があります。
たとえば、マーケティングやBPOでは、企業の経営戦略や財務などに関わる重要な機密事項を共有しますし、コンタクトセンターには、商品注文や問い合わせをするユーザーの膨大な個人情報が毎日集まり蓄積されています。
これらの情報資産を管理・保護していくためには、万全な体制を整えなければなりません。
そこで、ISMSを構築、運用するために、以下のような取り組みを実施しています。
・基本方針として「情報セキュリティ ポリシー」を制定 →コンプライアンスと情報セキュリティに関する研修を、入社時+年1回以上、全従業員に義務づけ ・セキュリティに関する設備を導入 →監視カメラの設置、セキュリティカードによる入退室管理、私物持ち込み制限など ・各事業所で年1回、情報セキュリティの運用をチェック |
その結果、情報漏洩などのトラブルもなく、多くのクライアント様から機密情報や個人情報を扱う重要なプロジェクトのご依頼をいただくことができています。
この取り組みについて、さらにくわしく知りたい場合は、以下を参照してください。
https://www.trans-cosmos.co.jp/company/sustainability/fair/security.html
まとめ
いかがでしたか。
ISMSとは何かについて、理解が深まったのではないでしょうか。
ここで本記事のまとめを入れます。
●「ISMS」の定義
ISMS(アイエスエムエス)とは「情報セキュリティマネジメントシステム」のこと。
「組織が取り扱う情報(データ)を、適切に管理・保全するための仕組み」を意味する
●企業がISMSで守るべき「情報セキュリティの3要素」とは
・機密性:機密情報を外部に漏らさない |
●ISMSの目的は
・機密情報を守り、流出などのリスクを防ぐ |
●「ISMS認証」には「ISO/IEC 27001」「JIS Q27001」の2種の規格がある
・ISO/IEC 27001:国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で定めた国際規格 |
●「ISMS認証」を取得するメリット・注意点
メリット1:情報セキュリティ関連の「事故」を防げる 注意点1:従業員の業務負荷が増加する |
●ISMS認証を取得する流れ「10STEP」
ISMS認証を取得する流れ「10STEP」 | |
STEP | 実行内容 |
STEP1 | 「計画」を立てる |
STEP2 | 「情報資産の洗い出し」を行う |
STEP3 | 「リスクアセスメント」を実施する |
STEP4 | 自社の情報を取り扱う「委託先の管理」を行う |
STEP5 | 自社に関わる「セキュリティ関連の法律」をチェックする |
STEP6 | 「情報セキュリティポリシー」「ISMS遵守マニュアル」を策定する |
STEP7 | 従業員への「セキュリティ教育」を行う |
STEP8 | 「内部監査」を実行する |
STEP9 | 「2回の審査」を受ける |
STEP10 | 「PDCAサイクル」を回し続ける |
この記事が、「ISMSとは何か」について知りたい方のお力になれましたら幸いです。