3.236.97.59

ISMSとは?定義・取得の10STEP・Pマークとの違いを解説

ISMS(アイエスエムエス)とは「情報セキュリティマネジメントシステム」のことです。

一言でいえば、「組織が取り扱うデータや情報などを、適切に管理・保全するための仕組み」を意味します。

あらゆるモノがインターネットにつながる「IoT社会」が実現しつつある現代。ほぼすべての企業が、ビジネスに「インターネット」を用いています。

そのため、自社やお客様が保有する機密情報やデータの「漏洩対策」をしたり、悪意のある人物による「データの改ざん」を防いだりすることが、より一層求められるようになりました。

そうしたなかで「情報セキュリティ対策を講じている」事実を、取引先やエンドユーザーに対して表明する資格の一つとして誕生したのが「ISMS」というわけです。

日本でISMS認証の審査がスタートした2002年以来、6239社もの企業が、ISMS認証を取得しています(2020年8月現在)。

しかし、ISMS認証を取得するのは、そう簡単なことではありません。定められた要件に合致する対策を講じないと、ISMS認証を取得することはできないため、注意が必要です

そこで本記事では、以下について解説します。

本記事でわかること

 ・ISMSとは?
 ・「ISMS認証」 を取得するメリット・注意点
 ・「ISMS」と「プライバシーマーク」の違い
 ・ISMS認証を取得する流れ「10STEP」

「ISMSの取得を検討しているが、そもそも自社には必要なのかわからない」
「ISMSの取得を検討しているが、何から始めたらいいのかわからない」

という方に、おすすめの記事です。

それでは早速、みていきましょう。

目次

1.ISMSとは?

 まずは「ISMSとは何か?」ということについて、以下の3点から説明します。

ISMSとは何か?

 ・ISMSの定義
 ・企業が守るべき「情報」とは?
 ・「ISMS」と「ISO27001」の違い

一つずつ、みていきましょう。

1-1.「ISMS」の定義

ISMS(Information Security Management System)の定義は、冒頭でお伝えした通りです。

ISMSの定義

ISMS(アイエスエムエス)とは「情報セキュリティマネジメントシステム」のこと。「組織が取り扱う情報(データ)を、適切に管理・保全するための仕組み」を意味する

「ISMS=情報セキュリティマネジメントシステム」という言葉を、かみ砕くと「情報セキュリティを管理する仕組み」となります。

ここでわかりづらいのが「情報セキュリティ」の内容ではないでしょうか。その点について、情報マネジメントシステム認定センターでは、以下のように定義しています。

情報セキュリティの主な3要素

機密性

認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性

完全性

正確さ及び完全さの特性

可用性

認可されたエンティティが要求した時に、アクセス及び使用が可能である特性

出典:情報マネジメントシステム認定センター「ISMS(情報セキュリティマネジメントシステム)とは

かみ砕いていえば、外部に漏らしてはならない「機密情報」を、以下3点の状態にすることが「情報セキュリティ」といえます。

「情報セキュリティ」に求められること

 ①機密情報を外部に漏らさない
 ②情報は正確で最新である
 ③関係者はすぐにアクセスできる

これら3つの情報セキュリティの柱に対応するセキュリティ対策を講じることが、ISMS認証の取得に必要不可欠なことなのです。

例えば、コンタクトセンター(コールセンター)の場合。具体的には、以下のような取り組みが求められます。

コンタクトセンターが実行すべき「情報セキュリティ」対策の事例

機密性

①機密情報を外部に漏らさない
・取引先から預かった機密情報に対する「不正アクセス対策」を講じる
-CTSの情報を漏らさない
-CTSにアクセスできる権限を関係者のみに付与する

完全性

②漏洩防止対策を徹底的に行う
・CTS情報の正確さを維持する
-CTSに入力チェック機能付与
-情報を更新できる人数を制限する

可用性

③関係者はすぐにアクセスできる
・CTS入力データ、アクセスデータに必要なときにアクセスできる
-ネットワークの二重化、データバックアップ、ロードバランサーの導入

「ISMS=機密性・完全性・可用性の3つを満たした情報セキュリティ対策」であり、この対策を実行することが、ISMS認証の取得につながります。

非常に重要なポイントですから、ぜひ覚えておきましょう。

1-2.企業が守るべき「情報」とは?

ISMSが、「組織が取り扱う情報(データ)を、適切に管理・保全するための仕組み」であることは、ご理解いただけたのではないでしょうか。

その一方で「守るべき情報が、具体的に何を指しているのかわからない」という方もいるのではないでしょうか。

結論からいえば、企業が守るべき情報は、以下の2つです。

①企業内機密情報
②個人情報

①「企業内機密情報」とは?

「企業内機密情報」とは、企業が利益を創出し、事業を継続していくために必要な情報のことです。

例えば、新商品開発に関する「プロジェクト仕様書」などは、企業の売上を創出する「企業内機密情報」に該当します。

プロジェクト仕様書が、競合他社に漏れて先にリリースされてしまったら、その企業は売上を上げる機会を損失してしまうからです。

「重要度の高い情報=企業内機密情報」といえます。

以下の情報も「企業内機密情報」に該当します。

情報の種類

経営情報

展開計画情報、在庫情報 など

財務情報

合弁計画情報、予算情報、融資申し込み情報など

研究開発情報

研究報告書、プロジェクト仕様書など

マーケティング及び広報情報

お客様個人情報、販促情報など

人事情報

社員の給与情報、異動情報など

出典:公益財団法人あいち産業振興機構「セキュリティ対策は何故必要か?

こうして眺めてみると、企業が取り扱う情報は、ほとんど例外なく「企業内機密情報」に該当します。

企業が取り扱う情報は、原則として、漏洩対策を講じなければならないものだといえます。

「企業内機密情報は金銭と同じくらい重要な価値をもつ“資産”」だといえるでしょう。

②「個人情報」とは?

一方、個人情報とは、生存する個人を特定するのに有効な情報のことです。

個人情報保護法では、以下のように定義されています。

(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの

出典:e-Gov法律検索「平成十五年法律第五十七号 個人情報の保護に関する法律

例えば、「神奈川県に住んでいる山田さん」という情報があった場合。

一見、個人情報の塊のようにも思えますが、厳密には個人情報に該当しません。「神奈川県に住んでいる山田さん」は山ほどいるため、個人を特定する情報にならないからです。

一方、「神奈川県横浜市●●区●●町1-2-3に住んでいる山田太郎さん」という情報があった場合はどうでしょうか。こちらは、個人情報に該当します。なぜならば、住所と姓名が明らかになっており、個人の特定ができるものだからです。

企業が取り扱う情報としては、こういった「個人情報(=生存する個人を特定できる情報)」も、情報セキュリティ対策の一環として、適切に管理する必要があるのです。

以上で説明した「企業内機密情報」と「個人情報」の2つが、企業が守るべき情報です。

1-3.「ISMS」と「ISO27001」の違い

「ISMS」という言葉を検索すると「ISO27001」という言葉も一緒に見かけることがあります。

しかし「この2つの言葉の関係が理解できない」という方が少なくありません。結論からいうと、それぞれの違いは以下の通りです。

「ISMS」と「ISO27001」の違い

●ISMS:
組織が取り扱うデータや情報などを、適切に管理・保全するための仕組み

●ISO27001:
ISMSを実現するための国際規格

平たくいえば、「ISMS=情報セキュリティに関する概念」であるのに対し、「ISO27001=ISMSを実現するための要求事項(=具体的条件・ルール)」です。

つまり、ISMS認証を得るには、ISO27001に記載されている要求事項を満たさなければならないということです。

なお、ISO27001は国際規格であり、英語・フランス語・ロシア語で書かれています。

英語が読めない場合には、JIS(日本産業規格)が日本語訳した「JIS Q 27001」を取得して、ISMS認証の取得に取り組みましょう。

「JIS Q 27001」は、「本文」と「付属書A」から構成されています。

「JIS Q 27001」の内容

●本文:
ISMS認証を取得するために実施すべき必須事項が記載されている

●付属書A:
情報セキュリティ対策を推進するための管理策の事例が114個掲載されている。どの管理策を、自社で用いるのかを選択する必要がある

日本語訳を入手したい方は、日本規格協会グループのサイトにアクセスしてください。

2.「ISMS認証」 を取得するメリット

ここまでの記事を通して「ISMSとは何か」について、理解できたかと思います。

その一方で「ISMS認証を取得すべきか」について、迷っている方も少なくないのではないでしょうか。

そこで本章では、ISMS認証を取得するメリットを解説します。

「ISMS認証」 を取得するメリット

 メリット①:ブランドイメージが向上する
 メリット②:大手や官公庁との取引に有利
 メリット③:情報セキュリティ関連の「事故」を防げる

一つずつ、みていきましょう。

2-1.【メリット①】ブランドイメージが向上する

一つ目のポイントが「企業のブランドイメージの向上」です。

例えば、以下のような会社があった場合。あなたは、どちらの会社と取引したいと思うでしょうか。

セキュリティ対策に対する「態度」の比較

【●A社:セキュリティ対策を行わない】
セキュリティソフトを一切入れないため、過去に何度かハッキングの被害に遭っている。しかし、お金のムダだと感じ、セキュリティソフトやUTMなどは一切導入しない。

オフィスにカギをかけるが、資料や契約書は、机のうえに出しっぱなしでも問題ない組織風土。セキュリティ対策など、目に見えないもの。多少、漏洩したって何の問題もない

それよりも、事業で売上を上げていくことの方が大事だ。ISMS?それは一体、どういうものなのでしょうか。

【●B社:セキュリティ対策を講じる】
「情報=企業が守らなければならない重要な資産の一つ」と考え、セキュリティソフトやUTMなどを導入して、ウイルス対策を徹底的に行う。

加えて、社内で管理する「紙ベースの情報」も情報資産なので、不要なものはシュレッダーにかける、契約書などはカギ付きのキャビネットにしまう、なるべくペーパーレス化(PDF化)するなどの対策も講じる。

セキュリティ対策は、目に見えないものだが、取引先や自社を懇意にしてくれるエンドユーザーとのロイヤルティを形成するうえで欠かせないもの。

多少なりともお金がかかるが、関係者の信頼を失うほうがずっと怖い。だから、これからもセキュリティ対策を行っていきたい。もちろん、ISMS認証も取得している。社内にも、情報セキュリティに関する意識が浸透してきている。

A社とB社を比較した場合、どうでしょうか。

A社がどんなに優れた商品をもっている会社だったとしても、A社と取引したいと思う企業はほとんどいないでしょう。こうした実態があかるみになれば、顧客もA社の商品を購入しなくなるはずです。

一方、真摯にセキュリティ対策を実施するB社は、信頼できます。「この会社ならば、安心して取引できる」と思えるため、B社の商品を取り扱う企業が増えていくでしょう。

上記の事例のように「セキュリティ対策への態度」や「ISMS認証の有無」は、企業のブランドイメージを大きく左右するものなのです

2-2.【メリット②】大手や官公庁との取引に必要な場合がある

官公庁の入札案件には「競争参加資格」といった項目が設けられています。

「入札に参加するうえでの条件」が明示されており、条件を満たさなければ、入札に参加できないということです。簡単にいえば「入札の参加条件」です。

この参加条件には「ISMS認証の取得 もしくは それと同等以上の情報保護体制」が求められるケースが少なくありません。

例えば、令和元年12月26日に東京法務局によって公告された「テレビ手続案内システムの導入・運用業務一式」では、以下の一文が記載されています。

2 競争参加資格
(4) ISMS適合性評価制度に基づくISMS認証(JIS Q 27001(ISO/IEC 27001))を取得していること又はこれと同等以上の情報保護体制を有している組織又は部門であること。

出典:法務局「入札公告(令和元年12月26日 件名:テレビ手続案内システムの導入・運用業務一式)

一方、「ISMS認証の取得」が「必須条件」になっている入札案件もあります。

一例としては、令和2年6月12日に千葉県山武市によって公告された「ハザードマップ改訂業務委託」が挙げられます。

3入札参加者の資格要件

(4)法律による許可等次に掲げる認証を全て受けている者
ア ISO9001(品質マネジメントシステム)
イ ISO14001(環境マネジメントシステム)
ウ ISO27001(ISMS情報セキュリティマネジメントシステム)
エ ISO27017(クラウドサービスセキュリティマネジメントシステム)
オ レジリエンス認証(国土強靭化貢献団体認証)
カ プライバシーマーク
キ LGWAN-ASP登録(総合行政ネットワークASP接続及び登録事業者)

出典:山武市「条件付き一般競争入札の実施について(令和2年6月12日) 件名:ハザードマップ改訂業務委託

官公庁の入札案件を獲得していきたいと考えている場合、ISMS認証は取得しておいた方がよいものといえるでしょう。

なお、昨今では、官公庁のみならず、一般企業も取引先の選定において「ISMS認証の有無」を取引の条件に据える場合があります。

「官公庁や企業からセキュリティで安心をしてもらいたい」と考えている場合には、ISMS認証を保有しておいた方がよいでしょう

2-3.【メリット③】情報セキュリティ関連の「事故」を防げる

ISMS認証を取得する3つ目のメリットが「情報セキュリティ関連の事故を防げる」という点です。

1-2.企業が守るべき「情報」とは?」にもある通り、企業が取り扱う「情報(=企業内機密情報+個人情報)」は、金銭と同じくらい重要な価値をもつ“資産”」であり、対策を怠ることで、機密情報や個人情報の流出につながり、想像以上の損害をもたらすこともあります。

そういった情報セキュリティ関連の事故を防ぐためには、技術的な情報セキュリティ対策だけでなく、人が関与する運用・管理面のセキュリティ対策も含め組織全体の情報セキュリティ管理の仕組みを確立、継続的な改善を会社として維持することが重要です。

3.「ISMS認証」 を取得する注意点

「ISMSのメリット」について、理解できたかと思います。

その一方で「注意点」が気になっている方も少なくないのではないでしょうか。

そこで本章では、ISMS認証を取得する際の注意点を解説します。

「ISMS認証」 を取得する注意点

 注意点①:従業員の業務負荷が増加する
 注意点②:「取得前・取得後」に費用がかかる

一つずつ、みていきましょう。

3-1.【注意点①】従業員の業務負荷が増加する

一方で、ISMS認証の取得には「注意点」があります。その一つが「従業員の業務負荷の増加」です。

情報セキュリティへの取り組み方は、企業によってまちまちなので一概にはいえません。

しかし、以下のような業務負荷が発生する可能性があります。

ISMS認証の取得によって発生する業務負荷

・ID・パスワードを3ヵ月に1回変更しなければならない
・添付ファイルを送信するときには、会社指定の「暗号化ソフト」を使わなければならない
・リモートワークを行う場合は、別途セキュリティ対策を定めなければならない
・会社関係の書類・パソコンなどの持ち出しはすべてNG
・紙ベースの情報が持ち出されないよう、紙による提案書や契約書の提出はすべて禁止
・紙ベースの情報が持ち出されないよう、裏紙の利用はすべて禁止

慣れてしまえば、大したことはないかもしれません。しかし、ISMSの運用にともなう環境の激変は、従業員にとって「大きなストレス」になる可能性があります

従業員に対しては、取得後も永続的に「情報セキュリティ対策への協力」をあおがなければなりません。ISMSの担当窓口にとっても、業務負荷の増加につながります。

こうした点は、ISMS認証を取得するうえでの「最大の注意点」といえるでしょう。

業務負荷にかかわるデメリットを解消するには、必要な情報セキュリティルールを増やしすぎないことです。

自分たちが対応できる範囲での最善を目指す事が、とても大事なポイントです。

3-2.【注意点②】「取得前・取得後」に費用がかかる

ISMS認証の審査費用は、審査機関、従業員の人数規模、事業所の数などによって大きく異なります。

しかし、仮に30名程度の規模だったとしても、審査機関による審査だけで「85~90万円」程度が相場です。

加えて、ISMS認証の取得には専門知識が求められるため、コンサルタントに依頼するのが一般的です。

そうした場合にも、少なからぬ費用が発生します。一概にはいえませんが、目安としては「50~200万円」程度です。

加えて、ISMS認証に足りうる環境に整えるための「セキュリティ対策ソフト」や「カギつきキャビネットの購入」「対策に関わる従業員の人件費」なども発生します。

そして、取得後にも「維持費用」と3年ごとの「更新費用」が発生します

ISMS認証の取得によって発生する審査費用・維持費用・更新費用の例

 ・初年度(取得費用) 85万円
 ・2年目(維持費用) 35万円
 ・3年目(維持費用) 35万円
 ・4年目(更新費用) 60万円

積み上げていくと、数百万円単位の予算が必要になります。

「ISMS認証の取得が、自社の売上拡大に欠かせない」「情報セキュリティ対策が事業継続上、不可欠である」という場合には、取得すべきです

しかし、そうでない場合には「費用対効果」を考えたほうがよいでしょう

以上が、ISMS認証を取得するメリット・注意点です。改めて内容をまとめます。

「ISMS認証」を取得するメリット・注意点まとめ

メリット

注意点

メリット①:
ブランドイメージが向上する

注意点①:
従業員の業務負荷が増加する

メリット②:
大手や官公庁との取引に有利

注意点②:
「取得前・取得後」に費用がかかる

メリット③:
情報セキュリティ関連の「事故」を防げる

上記を比較検討したうえで、ISMS認証を取得するか否かを検討してみてください。

4.「ISMS」と「プライバシーマーク」の違い

前項を通じて「ISMS認証を取得すべきだ」と思った方のなかには、

「セキュリティ関連の認証では『プライバシーマーク』もある。念のため、どっちがいいのか検討しておきたい」

と考えた方も、少なくないのではないでしょうか。

そこで本項では、以下について解説します。

「 ISMS」と「プライバシーマーク」の違い

 ・プライバシーマークの定義
 ・「ISMS」と「プライバシーマーク」の違い
 ・結局、どちらを取得した方がいいのか?

一つずつ、みていきましょう。

4-1.プライバシーマークの定義

プライバシーマーク(Pマーク)とは、企業や団体が「個人情報」が漏洩しないよう、適切に扱っていることを認証するものです。

つまり、プライバシーマークにおける保護の対象は「個人情報」のみです。

②『個人情報』とは?」でお伝えした通り、個人情報とは、生存している個人を特定できる情報のことです。

一般財団法人日本情報経済社会推進協会が、審査しているもので、認証が得られた企業は、プライバシーマークを、ホームページや名刺などに印刷してよいことになっています。

プライバシーマークの利用が許可されている媒体の例

 ・ホームページ
 ・名刺
 ・便せん・封筒
 ・契約約款
 ・企画書・広告資料・説明書
 ・店頭

プライバシーマークを取得することで、リスク管理を行う企業とのイメージをもたれます。その結果、企業としての「ブランドイメージ」が向上します

大手企業や官公庁との取引を行う際に有利に働くでしょう。

4-2.「 ISMS」と「プライバシーマーク」の違い

ISMSでは、企業が取り扱う「情報資産すべて」が保護の対象です。つまり「企業内機密情報+個人情報」に対する情報セキュリティ対策が必要ということです。

一方、プライバシーマークでは「個人情報」のみに焦点が当てられています。つまり「保護の対象範囲の違い」は、両者の大きな違いといえます。

もう一つ、重要なポイントがあります。

それは、ISMSは国際標準規格である「ISO27001」がベースの規格ですが、プライバシーマークは日本国内のみの規格であるという点です。

「国内企業との取引が多い」「個人情報の取り扱いが多い」という場合には、プライバシーマークでも問題ありませんが、そうでない場合には、ISMS認証を取得しておいた方が安心です

主な違いをまとめましたので、ご覧ください。

「ISMS」と「プライバシーマーク」の違いまとめ

ISMS

プライバシーマーク

概要

国際標準規格「ISO27001」に基づいた情報セキュリティ対策が講じられていることを認定する制度

個人情報を適切に扱っていることを認定する制度

保護の対象

企業が取り扱う「情報資産すべて」
企業内機密情報+個人情報

個人情報のみ

規格の範囲

国際標準規格

国内規格

認証の単位

組織単位(部門・事業)

会社単位(全社)

更新頻度

3年に1回
(年に1回は維持のための審査がある)

2年に1回

審査の範囲

広く浅くチェックする

個人情報に絞って
狭く深くチェックする

4-3.結局、どちらを取得した方がいいのか?

結局のところ、どちらを取得した方がよいのでしょうか。

一つの考えとしては、大手や官公庁との取引がある場合には、両方取得するのがベストです。そうでない場合には、ケースバイケースで判断するのがよいです

先述の通り、ISMSは、広く浅くあらゆる情報資産に関するセキュリティ対策が審査される一方、プライバシーマークは、個人情報に絞って狭く深く審査されます。

2つの認証は、それぞれ守るべき領域に濃淡があるため、大手や官公庁との取引がある場合には、両方取得しておいた方が安心というわけです

トランスコスモスが運営しているコンタクトセンター(電話やメールに加え、SNS、チャットなど幅広いコミュニケーションチャネルを利用して、顧客と企業を結ぶ部署を指す。以前は電話コミュニケーションのみだったので、コールセンターと呼ばれており、現在でもコールセンターで表現されている所も多い。)では、ISMS27001取得しています。

加えて、会社全体ではプライバシーマークの認証を取得しています。

一方、大手や官公庁との取引がない場合には、予算との兼ね合いを加味して「ケースバイケース」で判断するのがよいと思います。

BtoBで事業を行うIT系の企業であれば、ISMS認証。

一方、BtoCで、一般顧客との取引がメインの通信販売会社であれば、プライバシーマークを取得等、自社の事業の特性を踏まえて「ISMSとプライバシーマーク、どちらの認証を取得するべきか」判断してみてください。

5.ISMS認証を取得する流れ「10STEP」

今までの記事を通して「ISMS認証を取得したい」と考えた方もいると思います。その場合、次に気になるのが

「どうやってISMS認証を取得すればいいの?」

という点ではないでしょうか。そこで本項では、ISMS認証を取得するまでの流れを「10STEP」で解説します。

ISMS認証を取得する流れ「10STEP」

STEP

実行内容

STEP1

「計画」を立てる

STEP2

「情報資産の洗い出し」を行う

STEP3

「リスクアセスメント」を実施する

STEP4

自社の情報を取り扱う「委託先の管理」を行う

STEP5

自社に関わる「セキュリティ関連の法律」をチェックする

STEP6

「情報セキュリティポリシー」「ISMS遵守マニュアル」を策定する

STEP7

従業員への「セキュリティ教育」を行う

STEP8

「内部監査」を実行する

STEP9

「2回の審査」を受ける

STEP10

「PDCAサイクル」 を回し続ける

一つずつ、みていきましょう。

5-1.【STEP1】「計画」を立てる

まずは、ISMS認証を取得するための「全体計画」を立てましょう。

最初に決めておきたい「主な計画事項」は、以下の通り「6項目」です。

ISMS認証の取得にあたって決めておきたい計画事項

①プロジェクト担当者

誰が「全体責任者(意思決定をするトップ)・プロジェクト管理者・内部監査員・プロジェクトメンバーになるのか」を決める
※プロジェクトメンバーには、IT・システム・セキュリティ等に詳しい者も含める

②いつまでに取得するか

「取得する目標期日」を決める

③予算

「ISMS認証の取得」に割り当てる予算を決める

④審査機関

「どの審査機関に審査を依頼するのか」を決める
※実績・審査金額・審査ができる時期・審査の質などを比較検討する

⑤コンサルタント依頼

「コンサルタントに依頼するか否か」「(依頼する場合)どのコンサルタントに依頼するのか」を決める

⑥適用範囲

「ISMSの適用範囲(全社/特定部署のみ)」について決める

上記と併せて、ISMSの規格について日本語訳で書かれた「JIS Q 27001」を入手して理解しておきましょう。

日本語訳を入手したい方は、日本規格協会グループのサイトにアクセスしてください。

5-2.【STEP2】「情報資産の洗い出し」を行う

続いて、社内にある情報資産の洗い出しを行いましょう。

フォーマットがバラバラだとわかりづらくなるため、プロジェクト指定のフォーマットに記入してもらうのがベストです。

フォーマットは、以下の通り、5項目が記載できるとよいでしょう。

情報資産管理表のフォーマット 作成例

項目

記入例

情報資産の名称

領収書

情報資産の管理者

経理部 山田太郎

情報資産の保管場所

カギつきのキャビネット(経理部3階)

情報資産の保管期間

2030年12月25日

記入日

2020年12月25日

情報資産としては、以下のようなものが挙げられます。

1日では書ききれない可能性があるため数日~数週間など期限を設けて、記載するよう促しましょう。

情報資産の例

 ●データの内容
 ・決算書や損益計算書などのデータ
 ・領収書
 ・給与情報
 ・人事情報
 ・契約書
 ・Webサービスのソースコード
 ・新規プロジェクトの計画書
 ・顧客情報
 ・顧客への提案書

 ●媒体の例
 ・ハードディスク
 ・USBメモリ
 ・クラウド
 ・紙
 ・SDカード

5-3.【STEP3】「リスクアセスメント」を実施する

続いて「情報資産のリスクアセスメント」を実施しましょう。

「情報資産のリスクアセスメント」とは、情報セキュリティ上、発生しうるリスクを洗い出し、そのリスクが発生したときの影響度合いを分析・評価することです

情報資産のリスクアセスメントでは、そのリスクに対してどう対処するのかを決める「リスク対応」も行うようにしてください。

まとめると、リスクアセスメントの流れは以下の通りです。

リスクアセスメントの流れ「4STEP」

STEP.1

【リスクの特定】
どのようなリスクがあるのか、洗い出す

例:USBスティックの利用
-外出先でUSBメモリを落として、社内の機密情報が漏洩してしまう

STEP.2

【リスクの分析】
そのリスクが発生したときの影響やその度合いを測る

例:USBメモリの紛失によるリスク度合いの分析
-USBメモリに経営情報、顧客情報などを保存していて、これらの情報が漏れた場合、取引先を失う可能性がある
-赤字転落や廃業の危険性がある

STEP.3

【リスクの評価】
そのリスクに内在するリスクの脅威レベルを決定する

例:USBメモリの紛失によるリスクレベルの評価
-「8/10段階(脅威大)」など

STEP.4

【リスク対応】
以下、どの対処法を講じるのかを決める
・リスク軽減:発生頻度を減らす、影響範囲を減らす
・リスク回避:リスク源の利用を中止する
・リスク移転:代替方法でリスクを回避する
・リスク受容:放置する

例:リスク回避
-USBメモリの利用を中止する

5-4.【STEP4】自社の情報を取り扱う「委託先の管理」を行う

続いて、自社の情報を取り扱う「委託先の管理」を行いましょう。

情報の委託先の情報セキュリティ管理の甘さがきっかけとなって起こる「情報漏洩事故」が多発しており、そうした事故を防ぐためです

例えば、高齢者向けの食事宅配サービスを提供している会社の場合。

定期的に食事を届ける顧客リストを保有しており、そうした顧客リストは提携する配送会社が所有している場合があります。

そういった場合には、食事の宅配を請け負う配送会社を、リスト化して管理しておくということです。

そのうえで、必要に応じて、以下3点を実施しましょう。

情報の委託先に対する取り組み

 ・情報漏洩対策が行われているのかに関する調査
 ・情報セキュリティに関する指導・教育
 ・情報セキュリティに関する監査

5-5.【STEP5】自社に関わる「セキュリティ関連の法律」をチェックする

情報セキュリティ関連の法律は、法改正によって変更される場合があります。過去の法律に基づいた対処を行っていると、不十分な場合があります。

そのため、自社の情報セキュリティの運用上、関わりが大きいセキュリティ関連の法律は、定期的にチェックし、最新情報の取得に努めるようにしましょう

情報セキュリティ関連の代表的な法律

 ・個人情報保護法
 ・マイナンバー法・番号法
 ・不正アクセス禁止法
 ・電子署名認証法
 ・サイバーセキュリティ基本法
 ・高度情報通信ネットワーク社会形成基本法(IT基本法)
 ・迷惑メール防止法
 ・電子契約法

5-6.【STEP6】「情報セキュリティポリシー」「ISMS遵守マニュアル」を策定する

ISMS認証を取得するにあたっては、以下2点を策定しておきましょう。

情報セキュリティポリシーは、ISMSや情報セキュリティに対する考え方・行動指針をまとめたものです。この指針をベースに、社内にISMS(情報セキュリティ体制)を築いていきます。

ISMS遵守マニュアルは、従業員が情報セキュリティを実施するために行うべきことをまとめた文書です。情報セキュリティポリシーだけでは、意図をつかみづらい場合に備えて用意します。

ISMS遵守マニュアルは、誰が読んでもわかるよう、専門用語を用いず、簡潔にまとめることを心がけてください

策定しておきたい指針・マニュアル

情報セキュリティポリシー

ISMSや情報セキュリティに対する考え方・行動指針をまとめたもの。以下の内容で構成する
・基本指針:組織の基本方針・宣言
・対策基準:基本方針を実行するための規則
・実施手順:必要な手続き・手順

ISMS遵守マニュアル

ISMSを維持していくための実施方法などをまとめたマニュアル。従業員が読むため、専門用語を用いず、わかりやすく作成すること

5-7.【STEP7】従業員への「セキュリティ教育」を行う

情報セキュリティポリシーとISMS遵守マニュアルがあれば十分と考えるかもしれません。しかし、それは大きな勘違いです。

なぜならば、マニュアルを読んだとしても、マニュアルの内容通りに実行できるか否かは別問題だからです。

ISMSにおいては、従業員に以下の2点を身につけさせることが大切です。

従業員に身につけさせたい情報セキュリティスキルの例

・情報セキュリティ関連の事故による影響(会社の売上減や赤字、廃業のリスクがあること)
・情報セキュリティ関連の事故を起こさないための対応策

これらのスキルを身につけさせるために、マニュアルの読み合わせやセミナーのほか、いつでも復習できるようにeラーニングを提供したり、定期的なテストを実施したりしましょう

5-8.【STEP8】「内部監査」を実行する

内部監査を行いましょう。

内部監査とは、情報セキュリティを適切に維持・管理する体制が整えられているかをチェックすることです。

内部監査は、以下の手順で行ってください。

内部監査の流れ「5STEP」

STEP.1

●内部監査員の選出
内部監査員は「自分の所属する部署・チーム以外を見る」のが鉄則。部署Aの内部監査は、部署Bの従業員が行うといった具合に編成する

STEP.2

●監査項目(チェックリスト)の作成
情報セキュリティポリシーやマニュアルなどの内容に準じて、監査項目を作成する

STEP.3

●内部監査の実施
内部監査員が監査を行う。内部監査は、外部に委託することも可能

STEP.4

●監査結果の報告書の作成
各部署の状況(目標の達成度合い、情報セキュリティ事故の発生リスク)などについてまとめる

STEP.5

●マネジメントレビュー
監査結果を受けて、トップが以下について判断する
・成果・改善点は何か
・改善点がある場合、どのように改善したらいいか

5-9.【STEP9】「2回の審査」を受ける

ISMSの審査は2回実施されます。1回目の審査から認証書が届くまでは約2ヵ月となります。

それぞれの内容は以下の通りです。

ISMSの監査の流れ「2STEP」

STEP.1

●第一審査
文書のチェックが中心。ISMSの構築に関わったトップマネジメントやプロジェクトメンバーへの質疑応答が中心

・トップマネジメントに対するインタビュー
例:策定した情報セキュリティ方針における重要ポイント

・情報セキュリティのチェック
例:リスクアセスメントの実行手順、認証範囲はどこか など

STEP.2

●第二審査
従業員が情報セキュリティを遵守しているのかについてチェックされる
・内部監査の結果
・マネジメントレビューの結果
・部単位での現場の状況確認

これらの審査をクリアすることで、ISMS/ISO27001の認証取得となります。

5-10.【STEP10】「PDCAサイクル」 を回し続ける

ISMS認証は取得したら終わりではありません。

認証の取得後も、3年ごとの更新に備えて情報セキュリティ対策の維持・向上に努め続ける必要があります。

以下のPDCAサイクルをまわしていきましょう。

ISMSの「PDCA」

P(Plan):計画

・リスクアセスメントの実施
・リスク対応
・目標設定
・マニュアル管理

D(Do):実行

・マニュアルの読み合わせ
・従業員向けの教育
・情報セキュリティに関する事件が発生した際の対応訓練の実施

C(Check):チェック

・内部監査
・マネジメントレビュー

A(Act):行動

・情報セキュリティに関する事件が発生した際の是正措置の実行
・マネジメントレビューの反映(マニュアルの更新など)

6.トランスコスモスが取り組む「ISMS」 

トランスコスモスでは、お客様の情報と資産を守り、信頼されるパートナーになることを目指し、全国61センター(​2022年3月時点)で情報セキュリティマネジメントシステムISO27001認証を取得しています。

「一般財団法人日本要員認証協会 マネジメントシステム審査員評価登録センター(JRCA)認定 審査員補」の資格を保有している担当者を中心に、各センターでもISMS推進担当を配置し、お客様企業により安心して活用していただける情報セキュリティ管理体制の構築と継続的な強化を図っています。

ISO27001に基づく情報セキュリティマネジメントシステムの活動を通じて、従業員全員でお客様の情報と資産を守り、日々情報セキュリティの活動を続けています。トランスコスモスが取り組む「ISMS」
取り組み内容を詳しく知りたい場合はこちらを参照ください。

まとめ

いかがでしたか。
ISMSとは何かについて、理解が深まったのではないでしょうか。

ここで本記事のまとめを入れます。

  • 「ISMS」の定義

    ISMS(アイエスエムエス)とは「情報セキュリティマネジメントシステム」のこと。「組織が取り扱う情報(データ)を、適切に管理・保全するための仕組み」を意味する

  • 企業が守るべき「情報」とは?

    ・企業内機密情報
    ・個人情報

  • 「ISMS」と「ISO27001」の違い

    ・ISMS:組織が取り扱うデータや情報などを、適切に管理・保全するための仕組み
    ・ISO27001:ISMSを実現するための国際規格

  • 「ISMS認証」 を取得するメリット・注意点

「ISMS認証」を取得するメリット・注意点まとめ

メリット

注意点

メリット①:
ブランドイメージが向上する

注意点①:
従業員の業務負荷が増加する

メリット②:
大手や官公庁との取引に必要な場合がある

注意点②:
「取得前・取得後」に費用がかかる

メリット③:
情報セキュリティ関連の「事故」を防げる

プライバシーマークの定義
プライバシーマーク(Pマーク)とは、企業や団体が「個人情報」が漏洩しないよう、適切に扱っていることを認証するもの

  • 「 ISMS」と「プライバシーマーク」の違い

「ISMS」と「プライバシーマーク」の違いまとめ

ISMS

プライバシーマーク

概要

国際標準規格「ISO27001」に基づいた情報セキュリティ対策が講じられていることを認定する制度

個人情報を適切に扱っていることを認定する制度

保護の対象

企業が取り扱う「情報資産すべて」
企業内機密情報+個人情報

個人情報のみ

規格の範囲

国際標準規格

国内規格

認証の単位

組織単位(部門・事業)

会社単位(全社)

更新頻度

3年に1回
(年に1回は維持のための審査がある)

2年に1回

審査の範囲

広く浅くチェックする

個人情報に絞って
狭く深くチェックする

・結局、どちらを取得した方がいいのか?

・大手や官公庁との取引がある場合には、両方取得するのがベスト
 そうでない場合には、ケースバイケースで判断するのがよい
・自社の事業の特性を踏まえて「ISMSとプライバシーマーク、どちらの認証を取得するべきか」判断する

  • ISMS認証を取得する流れ「10STEP」

ISMS認証を取得する流れ「10STEP」

STEP

実行内容

STEP1

「計画」を立てる

STEP2

「情報資産の洗い出し」を行う

STEP3

「リスクアセスメント」を実施する

STEP4

自社の情報を取り扱う「委託先の管理」を行う

STEP5

自社に関わる「セキュリティ関連の法律」をチェックする

STEP6

「情報セキュリティポリシー」「ISMS遵守マニュアル」を策定する

STEP7

従業員への「セキュリティ教育」を行う

STEP8

「内部監査」を実行する

STEP9

「2回の審査」を受ける

STEP10

「PDCAサイクル」 を回し続ける

この記事が、「ISMSとは何か」について知りたい方のお力になれましたら幸いです。

トランスコスモスのコンタクトセンター/コールセンターサービスでお取引いただいたお客様は、業界問わず1,700社を超え、様々なノウハウを保有しています。コンタクトセンター/コールセンターの運営に関して、お悩みの方は一度お問合せください。
トランスコスモスのコンタクトセンター/コールセンターサービスでお取引いただいたお客様は、業界問わず1,700社を超え、様々なノウハウを保有しています。コンタクトセンター/コールセンターの運営に関して、お悩みの方は一度お問合せください。