ISMS(ISO27001)の考え方について知ろう!!


いつもご愛読いただきありがとうございます。
ISO総合研究所、コンサルタントの佐藤です。

気がつけば2017年も6月となり梅雨入りしましたね。
ジメジメした日が続いて、仕事もなかなかやる気が起きない方もいらっしゃるのではないでしょうか?
かくいう私もジメジメしたこの季節はやる気が出ないのですが(笑)

ジメジメ話題はこのあたりにして、今回のテーマについて書かせていただければと思います。
ずばり、今回のテーマは・・・

「ISMS(ISO27001)の考え方について知ろう!!」

です!!!!!

ISMS(ISO27001)の取得をこれから考えてらっしゃる企業のみなさまも、
社内の体制変更でISMS(ISO27001)や情報セキュリティの担当になっちゃった、なんていう方にもぜひ参考にして頂ければと思い、
パソコンのキーボードを叩かせていただいております(笑)

ISMS(ISO27001)ってなんだ?

早速ですが、ISMS(ISO27001)とはどういったものでしょう?
さんざんISMS(ISO27001)と記載させていただいていますが、
ISMSとは、国際標準化機構(ISO)で定めている
情報セキュリティに関するマネジメントシステムのことです。

ISMSは略称で、ちゃんと記載すると、

「Information Security Management System」

となります。
日本語で言うと、「情報セキュリティマネジメントシステム」ですね。
そのままです。

ざっくりで言うと、企業で保有している情報資産などを守るために
会社で情報セキュリティの仕組みを構築して運用しよう、というものです。
第三者機関に審査をしてもらい、認定をもらえれば、
情報セキュリティの仕組みが構築して運用できていることを
対外的に示すことができます。

IT化が進む現代では、個人の情報や機密情報が電子化されています。
さらに、毎日のようにおこるセキュリティ事故や個人情報の漏えい事故。
そういった事故を受けて、情報セキュリティの強化や意識の向上、
情報資産や個人情報の的確な取扱いを日々、企業は求められています。

このようなセキュリティ体制が整っているか、と言うことを第三者の目で確認され、
保証されるのが、ISMS(ISO27001)です。

ISMS(ISO27001)の取得組織数は年々増加しており、
2017年5月5日現在、
日本国内の一般財団法人日本情報経済社会推進協会(JIPDEC)で認証を受けている組織は

5,201社
(一般財団法人日本情報経済社会推進協会より引用 https://isms.jp/lst/ind/suii.html)

となっています。
日本国内での個人情報保護に関する認証制度であるプライバシーマークの
登録組織数15,344社(2017年6月13日現在)に比べればまだまだ少ないですが、
確実にISMS(ISO27001)の取得社数は増えています。

ISMS(ISO27001)とプライバシーマーク合わせてみても、
日本国内で2万社近くの企業が情報セキュリティや
個人情報保護に関する認証制度に取り組んでいることが上記のデータから分かります。

それほどまでに情報セキュリティや個人情報保護について社会的に関心が高まっている、
ということですね。

ISMS(ISO27001)とプライバシーマークの違いってなんだ?

さて、情報セキュリティや個人情報保護について、
社会的に関心が高まってきていて、ISMS(ISO27001)や
プライバシーマークの認証取得を行っている会社が増えてきていることを
書かせてもらいましたが、素朴な疑問が出てきた方もいらっしゃるかもしれません。

そう、ISMS(ISO27001)とプライバシーマークの違いってなんだ?
という疑問です。

どちらも、情報セキュリティや個人情報保護についての
認証制度なんだろうけど、詳しくは分からない、なんて方もいらっしゃるかもしれませんね。

それでは、簡単にそれぞれの認証制度のことを説明すると、

プライバシーマークは、
日本独自に制定されたもので、個人情報保護に特化した認証制度。

ISMS(ISO27001)は、
全世界共通のもので、個人情報も含む、会社で保有する情報資産全般を対象とした認証制度。

となります。
プライバシーマークは、個人情報の取扱いに注意が必要な企業の取得が多く、
人材派遣、印刷、広告、システム開発、サービス業、社労士、通販など
さまざまな業界で取得している会社があります。
しかし、日本独自の認証制度ですので、国外とのやり取りでは、
「プライバシーマーク?なにそれ?」となってしまうこともあるかもしれません。

ISMS(ISO27001)は、プライバシーマークほど取得している業界が多いわけではなく、
主に、システム開発やメーカー等での取得が多いです。
しかし、全世界共通の基準になっているため、国外とのやり取りでも、
「情報セキュリティの体制整ってるんだね!」となるかもしれません。
また、ISMS(ISO27001)では法規制の順守についての取り組みも行わないといけないため、
個人情報保護法に則った個人情報の取扱いを行っていることもできます。

そのため、お客様の取引要件でプライバシーマークを求められていたけど、
ISMS(ISO27001)でも大丈夫だった!
なんてことも、弊社でお手伝いさせていただいた会社さんではありました。

さて、ISMS(ISO27001)がどういったものか、と言うことから
プライバシーマークとの違いについて記載させていただきました。

みなさまの役に少しでも立ちましたでしょうか?
少ない文字数で説明させていただきましたので、なかなか伝えきれていないところもあるかもしれません。

もっとISMS(ISO27001)について話を聞きたい、
うちの会社でISMS(ISO27001)を取得するにはどうしたらいいの?

こういった疑問や気になることがありましたら、お気軽に弊社のコンサルタントまでご相談ください。
みなさまのもとへ駆けつけます!!

それでは、最後までお読みいただきありがとうございました。

メールアドレス