情報セキュリティに必須の「ISMS認証」…プライバシーマークより〈格上〉との認識は正しいのか?

情報セキュリティに関する認証として、個人情報だけでなく、技術情報はもちろん財務情報や人事情報などすべての情報資産を対象とする「ISMS」。これも、今後ビジネス展開をする上で、この認証を受けることは非常に重要です。概要と取得のプロセスについて見ていきます。情報マネジメントシステム構築のエキスパートが解説します。

ISMS取得費用と取得までの期間

ISMS認証の取得に当たっては、まず体制を構築したうえで、実際にそれを運用してレビューを実施する、そしてその後に申請書類の作成と申請を行い、審査を受け、必要な是正を経て取得するという大きな流れになり、この点はプライバシーマークと同じです。最短で半年、一般的には1年程度という取得までの期間もほぼ変わりません。

 

また審査費用など認証取得には費用が掛かりますが、これについてはプライバシーマークと異なり定額の料金ではなく、利用する認証機関によって変わります。これは申請者によってISMSの認証を受けようとする範囲や、審査対象となるものがそれぞれ異なるためです。

 

費用の目安としては、最低規模の審査でも50万円から100万円程度です。コンサルタント会社を利用する場合はその費用がプラスされ、認証に合格するための追加的な設備投資が必要であれば、さらにその費用が必要になります。

 

ISMSの認証機関(登録審査機関)としては、一般社団法人情報マネジメントシステム認定センター(ISMS─AC)が30団体を認定しています(2022年2月6日現在)。

 

ISMSでは構築したシステムが引き続き規格に適合し、有効に維持されていることを確認する更新審査が3年ごとに行われます。プライバシーマークが2年ごとであるのに比べて1年間隔が空きますが、ISMSでは認証を維持するために年に1回の中間的な審査(サーベイランス審査)を受けることになっています。

 

そのため事実上、年1回のチェックを受けることになり、プライバシーマークよりはむしろチェック機会が多いといえます。なお、更新審査もサーベイランス審査も有料です。

 

[図表] ISMS・プライバシーマークの違い

ISMS取得のメリット

ISMS取得の大きなメリットはプライバシーマークと同様、情報セキュリティ・インシデントの発生を未然に防ぐとともに、第三者認証の取得により対外的な信用を高めることができるという点にあります。

 

入札などの条件として求められることも増えており、条件としての明示がなされていない場合でも、未取得の企業に比べて高い評価を得ることができることはいうまでもありません。また、組織内の情報セキュリティに対するリテラシーを高めるという点も、プライバシーマーク取得と同様のメリットです。さらに次のようなメリットもあります。

 

①業務効率の改善

ISMSは認証を得ようとする対象を絞って取得するものであることから、組織内のどこにどのような情報がどういう形で存在するのかということを改めて具体的に把握することができます。

 

そのため、情報セキュリティリスクがどこにあるのかということを網羅的に、また定量的に見極めることができ、情報セキュリティレベルを高めることができます。さらに、書類やデータがリスト化されることで、それらを探す時間を短縮することができるため、業務効率が大きく改善するという副次的な効果も期待できます。

 

②適切なリスク対応の実現

セキュリティの対象となる情報の所在を網羅的に把握することにより、逆に、情報共有によるリスクも浮き彫りにすることができます。その分析に基づき、適切なアクセスコントロール(共有する必要がない人にはアクセス権を与えない)を実現することで情報漏えいリスクを低減することができます。

 

③事業継続性の向上

万一、情報漏えいに関する訴訟やトラブル対応が求められたときでも、マネジメントシステムに基づいた記録などによって組織が適切な対応をしていたことが証明しやすくなります。そのため対応に多くの時間を取られることなく、事業の継続性を高めることができます。

 

【7/9(土)関連セミナー開催】
機関投資家からの信頼も厚い「いちご」が不動産小口化商品を提供
「好立地×新築レジデンス」で叶える最強の「資産防衛」

 

株式会社ユーピーエフ 代表取締役

神奈川県出身。2003年24歳の時、現在の前身である「上野企画(個人事業主/DM発送、データベースマーケティング事業)」を起業。

その後2008年にプライバシーマークとSMS(ISO27001)の取得と運用更新支援専門の情報セキュリティー支援事業を開始。

現在全国4拠点にて2300社以上の支援先を持つ、業界トップクラスのコンサルティング会社。

2020年7月「経営者がおすすめのPマークコンサル会社部門」「Pマークコンサルアフターフォロー満足度部門」「医療関係者に最も選ばれるPマークコンサル会社部門」「上場企業従事者に最も選ばれるPマークコンサル会社部門」(調査企画:日本マーケティングリサーチ機構)で1位を受賞。

著者紹介

連載経営者・情報管理担当者が知っておきたい「情報セキュリティ」のキホン

Pマーク ISMSを取ろうと思ったら読む本

Pマーク ISMSを取ろうと思ったら読む本

仲手川 啓

幻冬舎メディアコンサルティング

経営者、情報管理担当者必読!Pマーク・ISMS取得の流れから注意点、コンサル会社の選び方まで徹底解説! 「低価格」「丸投げでお任せください」と謳い、とにかく受注だけすればよいというスタンスのコンサル会社が多く存在…

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

登録していただいた方の中から
毎日抽選で1名様に人気書籍をプレゼント!
TOPへ