ISMS(ISO27001)の必要性は、組織の状況で異なります。
ISMS(ISO27001)取得・維持の必要性を疑問に思う方もいることでしょう。
ISMSの認証件数は年々増加していますが、取得の理由は組織によって異なります。目的を明確にし、自分達の組織にISMSが本当に必要かどうか判断しましょう。

1.ISMS(ISO27001)の必要性がある事例

ISMSの認証件数は増加していると言っても、他の企業・組織がどんな理由で取得しているか気になりませんか?
一部ですが、弊社にお問合せをいただいたお客様のお声を紹介します。

事例①
クライアントからの要望、失注を防ぐため
『クライアントからISMSかプライバシーマークを取得しているかどうか、また、情報管理の状況について聞かれることが増えました。
質問に対して十分な回答ができなかった結果、案件を受注できなかったケースも出てきており、今後の拡大を見据えて、ISMS取得を決めました。』

事例②
セキュリティ対策を証明するため
『新しい事業を開始するにあたってお客様の社外秘データを取り扱うことになり、機密保持の契約やデータの保管に関してきちんとしたセキュリティ対策を実施できているか証明が必要になったので、この度ISMS取得に踏み切りました。』

事例③
入札に参加するため
『自治体案件でISMSやプライバシーマークが条件で入札ができないケースがあり、機会損失となっていました。
また、案件によっては膨大な情報を受領することがあり、セキュリティ面のリスク対策が必要であると感じていたので、今回取得を決めました。』

事例④
個人情報以外のセキュリティ強化、在宅勤務へ対応するため
『プライバシーマークを取得しているが、個人情報以外のセキュリティに関してマニュアルがなく、ISMS取得の必要が出てきました。
また、コロナ禍で在宅勤務がスタートし、一層セキュリティマニュアルの必要性を感じました。』

いかがでしょうか。
ISMS取得の必要性が大いにあるケースをご紹介しました。

2.取得のメリット

ISMS(ISO27001)取得のメリットを大きく3つにまとめました。

①顧客や取引先から信頼を得やすい状態になる
「セキュリティ体制を整えています」といってお取引を行う際、自己宣言と、第三者から評価されているのではどちらが信頼を得られるでしょうか。
もちろん、第三者から評価された方ですね。

審査機関という第三者から評価された状態になることで、お取引先の信頼を得やすくなりますし、取引を拡大できるケースもあります。

②情報を取り扱う手順やルールを明確にできる
ISMS(ISO27001)の取得・更新は、情報セキュリティのルールの過不足を確認する機会になりますし、すでにあるルールの妥当性についても確認できます。

③役割や責任権限が明確になる
ISMS(ISO27001)の取得では情報セキュリティに関する役割や責任権限なども考えていく必要があります。セキュリティを保つためのルールももちろんですが、ソフト面、ハード面の管理体制も整える必要があります。
“なんとなく”振り分けていた役割を改めて確認できる機会になります。

3.取得のデメリット

もちろんデメリットもあります。
今回は主なデメリット3つを紹介します。

①作業が増える
審査機関から評価を受けるためには、社内で実施したと確認できる記録が必要になります。
今まで口頭で確認していたことを書面に残す必要が出て来たり、結果だけを書面・データで残していたものに対し、プロセスも書面やデータで残す必要が出てきます。

②守るべきルール・手順が増える
ISMS(ISO27001)の構築で難しいのが、この部分です。
セキュリティを担保するために考えれば行うべきことも、「社員の手間が増える…」「業務が窮屈になってしまう…」などといったリスクがあります。
また、残すべき情報やログが増えてしまうこともあります。

セキュリティを保つことももちろんですが、それで日常業務が行いにくい体制になってしまっては元も子もありません。
状況に合ったルールや手順を判断していく必要があります。

③審査費用が発生する
ISMS(ISO27001)は一度取得したら終わり!というものではありません。
維持するためには毎年審査がありますので、継続して運用していかなければなりません。
審査費用も毎年発生しますし、審査を受けるためのスケジュール確保も必要になります。

4.ISMS(ISO27001)とPマークは何が違う?

ISMS(ISO27001)の必要性について考える際、もう1つの疑問が浮かぶ企業も多いです。
それは、ISMS(ISO27001)とプライバシーマーク(Pマーク)との違いは何か?」「プライバシーマーク(Pマーク)では問題ないのか?」「という考えです。

ISMS(ISO27001)とプライバシーマーク(Pマーク)は似て非なるものです。
違いを表にまとめました。

ISMS(ISO27001)とプライバシーマーク(Pマーク)の比較表

こちらの記事で違いについて詳しく解説しておりますので是非ご覧ください。

まとめ

ISMS(ISO27001)の必要性がある事例の紹介とメリット・デメリットについてご説明しましたがいかがでしたでしょうか。
取得のメリット・デメリットを把握した上で、自分達の組織に本当にISMS(ISO27001)が必要かどうか判断しましょう。

ISMS基礎知識一覧