インターネットが普及し、情報の重要性が高まる現代社会においては、情報資産を守る対策が必要です。不正アクセスやサイバー攻撃など、情報に関する脅威は増えており、多くの機密情報や個人情報を扱う企業や組織は、情報セキュリティに力を入れなければなりません。

そこで用いられるのが、ISMS(アイエスエムエス)情報セキュリティマネジメントシステムです。
ISMSの構築は、情報セキュリティを向上させるための一手段として有効です。

今回は、このISMSとその国際規格であるISO27001について、詳しく解説していきましょう。

ISMSとは

まずは、ISMS とはどのようなことを指すのか確認していきましょう。

ISMS(アイエスエムエム)とは、情報セキュリティを管理するための仕組みのこと。情報に対する安全対策によって、情報資産が危険に晒されることのないように守るための仕組みを指す言葉です。
これは「Information Security Management System」を略したもので、日本語では「情報セキュリティマネジメントシステム」と訳されます。

ISMSは、情報漏えいや悪用などといった情報インシデント発生のリスク低減に有効で、多くの企業や組織が自社にその仕組みを構築しています。
また、ISMSには国際規格も設けられており、高いレベルで情報セキュリティの仕組みを構築し社会の信頼性を得るため、国際規格の認証取得を目指す企業も少なくはありません。

情報リスクが高まる社会において、ISMSは企業や組織の情報資産を守るための重要な仕組みとして注目されています。

情報セキュリティとは

先述の通り、ISMSとは「情報セキュリティマネジメントシステム」のことです。
では、そもそもこの「情報セキュリティ」とは、どのようなことを指すのでしょうか。

情報セキュリティとは、「正規のユーザーが情報を安全に安心して使用できるようにするために必要な対策を行うこと」です。
一般的な定義では、下記の3点を確保することが情報セキュリティの定義であるとされています。

◆情報セキュリティの3つの要素
①情報の機密性
情報にアクセスできるのが、その情報へのアクセスを認められた人だけである状態を確保すること
②情報の完全性
情報が破壊・改ざん・消去されていない状態を確保すること
③情報の可用性
情報へのアクセスを認められた人が、必要な時に中断されることなく、その情報にアクセスできる状態を確保すること
(参考:総務省 国民のための情報セキュリティサイト『情報セキュリティって何?』より)

これら3つの要素をバランス良く維持することが、情報セキュリティには重要。具体例としては、ウイルス対策ソフトの導入やID・パスワードの適切な管理、ソフトウェアのこまめな更新などが、情報セキュリティ(対策)の一例だと言えます。

企業や組織、そして個人が安全に情報を扱うためには、情報の脆弱性を補うためのさまざまな対策によって、情報セキュリティを強化する必要があります。

マネジメントシステムとは

ここまでの解説でもわかるように、マネジメントシステムとは「仕組み」のこと。
JQA(日本品質保証機構)では、マネジメントシステムを以下のように定義しています。

◆マネジメントシステムの定義
目標を達成するために組織を適切に指揮・管理する「仕組み」のこと
(引用:JQA 日本品質保証機構『ISOの基礎知識』より)

目標や組織によって、マネジメントシステムは異なります。組織は自由に目標を設定し、その実現のため自由にマネジメントシステムを構築することができます。

ISMSの国際規格

次に、ISMSの国際規格についてご説明しましょう。マネジメントシステムは、企業や組織が自由に構築することができます。
しかし、企業・組織ごとにマネジメントシステムのつくりが異なっていては、企業・組織間でのやり取りは円滑に進みません。また、企業・組織が一からマネジメントシステムを構築するのもハードルが高いでしょう。

そこで、企業や組織におけるマネジメントシステムの基準として用いられているのが、「国際規格」。マネジメントシステムの国際的な基準のことです。
この国際規格はISO(国際標準化機構)によって策定されていて、その種類は複数あります。
代表的なものが品質マネジメントシステムを指すISO9001。工場の看板や商品パッケージなどで目にしたことのある方も多いのではないでしょうか。

ISMSの国際規格は、ISO/IEC27001(以降ISO27001とします)。
国際規格の認証を受けたマネジメントシステムを構築することで、企業や組織は目標を効率的に実現できるほか、社会的な信頼も得ることができます。

国際規格と重要事項

マネジメントシステムの国際規格には、ISOによる「要求事項」が定められています。
この要求事項は国際規格の認証のための基準となるもの。マネジメントシステムの認証にあたっては、認証機関は「対象がこの要求事項を満たしているかどうか」を審査し、認証の可否を判断します。

ISMSの国際規格であるISO27001の要求事項のポイントとなるのは、2点。「ISMSの確立・実施・維持・継続的な改善」「情報セキュリティのリスクアセスメントおよびリスク対応」です。
ISO27001には、上記2点を実現するための要求事項が定められており、認証を取得するには、企業や組織はその要求事項を満たす仕組みを構築する必要があります。

ISMSとISO27001の違い

ISMSとISO27001の違いを知るにあたって、改めて、ISMSとISO27001の概要を確認してみましょう。

◆ISMS(情報セキュリティマネジメントシステム)
情報セキュリティを管理するための仕組みのこと。
◆ISO27001
ISMS(情報セキュリティマネジメントシステム)の国際規格のこと。

ISMSは情報セキュリティ管理の「仕組み」を指す言葉であり、ISO27001はISMSの国際規格の認証ナンバーです。どちらも情報セキュリティマネジメントシステムに関する言葉ではありますが、その正確な意味はそれぞれ異なります。

しかし、ISO27001のことをISMSと呼ぶケースは多く、実際にはほとんど同じ意味の言葉として使用されています

ISMSとPマークの違い

最後に、ISMSとPマークの違いについても確認しておきましょう。
Pマークとは、下記のようなものを指します。

◆Pマーク
プライバシーマークのこと。
個人情報に対する適切なセキュリティ体制を構築している事業者を評価するプライバシーマーク制度に基づくもの。日本産業規格(JIS)の要求事項に適合した事業者には、Pマークを使用した活動が認められる。

ISMS(ISO27001) もPマーク(プライバシー制度)もマネジメントシステムではありますが、ISMS(ISO27001)が個人情報だけでなく全ての情報を守るためのマネジメントシステムを指すのに対し、Pマーク(プライバシーマーク制度)は個人情報だけを対象とします。
また、ISMS(ISO27001)が国際規格であるのに対し、Pマーク(プライバシーマーク制度)は日本国内だけで適用される制度に基づくものです。
さらに、ISMS(ISO27001)では組織全体または一部を適用範囲に設定できますが、Pマーク(プライバシーマーク制度)の適用単位は法人全体となります。

まとめ

ISMS(情報セキュリティマネジメントシステム)とISO27001についてご紹介しました。
ISMSとISO27001は混同されることが多いですが、その意味と関係性については正確に把握しておきたいですね。

ISMS国際規格の認証取得は、企業・組織内の情報セキュリティを高め、社内の業務や社員の意識を改善し、企業価値を向上へと導く手段として効果的です。
認証取得には労力が必要ですが、そのメリットは企業や組織にとって大きなもの。巧妙になる情報の脅威に備えるためにも、ISO27001認証取得を検討してみてください。