ISMSとは、かんたんに言うと、会社や団体が大切な情報を安全に守るための仕組みです。
パソコンにウイルス対策ソフトを入れるだけではありません。情報を扱うときのルールを決め、社員に伝え、問題がないかを定期的に確認します。
この記事では、ISMSとは何か、読み方や目的、ISMS認証の仕組みを初心者向けに解説します。ISO27001やPマークとの違いも、順番に紹介します。
関連するIT用語をまとめて確認したい方は、IT用語一覧もあわせてご覧ください。
ISMSとは?かんたんに言うと「会社の情報を守るための仕組み」
ISMSとは、会社や団体が持っている情報を、安全に管理するための仕組みです。
ここでいう団体には、学校、病院、役所なども含まれます。会社や団体のように、複数の人が共通の目的で活動する集まりを、組織と呼びます。
ISMSでは、情報が外に漏れないようにするだけではありません。情報を正しく保ち、必要なときに使える状態にすることも大切にします。
情報を扱うとは、情報を見る、保存する、送る、印刷する、書き換える、削除するといった行動のことです。
ISMSの身近な例
ISMSは、学校が生徒の個人情報を管理する仕組みに似ています。
生徒の住所や成績表を、誰でも見られる場所には置きません。見てもよい人を決め、決められた場所に保管し、勝手に書き換えられないようにします。
会社の仕事でも考え方は同じです。顧客情報や契約書などを、決められた人が、決められた方法で扱えるようにします。
ISMSは何の略?読み方と正式名称
ISMSは「アイ・エス・エム・エス」と読みます。
正式名称は、Information Security Management Systemです。日本語では「情報セキュリティマネジメントシステム」と呼ばれます。
情報セキュリティとは、大切な情報を安全に守ることです。
マネジメントシステムとは、ルールを決め、実行し、問題がないかを確認して、少しずつよくしていく仕組みです。
ISMSの目的は大切な情報を安全に管理すること
ISMSの目的は、会社や団体が持つ情報に関する問題を減らすことです。
情報が漏れることだけでなく、消えることや、勝手に書き換えられることも防ぎます。
さらに、必要なときに情報やシステムが使えない問題にも備えます。
ISMSで守る情報の具体例
ISMSで守る情報には、次のようなものがあります。
- 顧客の氏名、住所、電話番号
- 社員の氏名や給与に関する情報
- 会社の売り上げや経理に関する情報
- 商品の設計図や開発中の資料
- 取引先との契約書
- パソコンやシステムに保存されたデータ
- 紙に印刷された資料
- 会議や電話で伝えられた内容
ISMSで守る情報は、パソコンの中にあるデータだけではありません。紙の資料や、人から聞いた内容も対象になります。
ただし、ISMS認証では、認証を受ける部署や事業の範囲が決められます。その範囲の中で、組織が管理するさまざまな情報を守ります。
ISMSが使われる会社や団体
ISMSは、IT企業だけで使われる仕組みではありません。
金融、製造、医療、教育、運送、販売など、情報を扱うさまざまな会社や団体で使われています。
顧客情報や社内の大切な資料を持つ会社であれば、業種や規模にかかわらず、ISMSの考え方を取り入れられます。
ISMSで大切な3つの要素
ISMSでは、情報の「機密性」「完全性」「可用性」という3つの要素を大切にします。
難しく見える言葉ですが、意味はそれほど複雑ではありません。
機密性とは「見せてはいけない人に見せないこと」
機密性とは、情報を見てもよい人だけが見られる状態にすることです。
たとえば、社員ごとにパスワードを設定し、関係のない人が顧客情報を見られないようにします。
紙の資料を鍵のかかる場所に保管することも、機密性を守る方法の一つです。
完全性とは「情報を正しい状態に保つこと」
完全性とは、情報が勝手に書き換えられたり、消されたりしないようにすることです。
ここでいう完全性は、情報が完璧であるという意味ではありません。正しい内容が、勝手に変えられずに保たれていることを意味します。
たとえば、注文数が「10個」から勝手に「100個」へ変わると、正しい仕事ができません。誰がいつ変更したかを記録することも、完全性を守る方法です。
可用性とは「必要なときに使えること」
可用性は「かようせい」と読みます。
必要な人が、必要なときに情報やシステムを使える状態を意味します。
たとえば、パソコンやシステムが故障したときに備えて、データのコピーを別の場所にも保存します。この保存用のコピーをバックアップといいます。
ISMSの仕組み
ISMSは、セキュリティ製品の名前ではありません。
人、ルール、設備、パソコン、システムなどをまとめて管理し、問題があれば改善する仕組みです。
守る情報と起こりそうな問題を確認する
最初に、会社がどのような情報を持っているかを確認します。
次に、その情報が漏れる、消える、勝手に変えられるといった問題を考えます。
このように、どのような問題が起こりそうかを調べ、どの問題から対策するかを決めることを「リスクアセスメント」といいます。
情報を守るためのルールを決める
起こりそうな問題を確認したら、必要なルールを決めます。
たとえば、パスワードの管理方法、資料の持ち出し方法、メールを送る前の確認方法などです。
退職した社員が、会社のシステムに入れないようにする手順も決めます。
決めたルールを実行する
ルールは、作るだけでは十分ではありません。
社員にルールを説明し、日々の仕事で守れるようにします。
たとえば、次のような取り組みがあります。
- パスワードを他人に教えない
- メールの送り先を送信前に確認する
- 紙の資料を机の上に置いたままにしない
- データを定期的にバックアップする
- 誰がいつ部屋に入ったかを記録する
- 問題が起きたときの連絡先を決める
定期的に確認して改善する
会社の仕事や使うシステムは、少しずつ変わります。そのため、以前に決めた対策が合わなくなることがあります。
ISMSでは、ルールが守られているかを確認し、問題があれば見直します。
計画し、実行し、確認し、改善する流れを、PDCAと呼ぶことがあります。
ISMS認証とは?外部の機関が仕組みを確認する制度
ISMS認証とは、会社や団体が作ったISMSを、外部の機関が確認する制度です。
外部の機関とは、その会社とは別の立場で確認する組織です。このような組織を、認証機関と呼びます。
認証機関は、会社のISMSがISO27001で決められた基準に合っているかを確認します。
ISMSとISMS認証の違い
ISMSは、情報を守るために会社が作り、運用する仕組みです。
ISMS認証は、その仕組みが決められた基準に合っているかを、外部の機関が審査する制度です。
| 項目 | 意味 |
|---|---|
| ISMS | 会社や団体が情報を安全に管理する仕組み |
| ISMS認証 | ISMSが基準に合っているかを外部の機関が確認する制度 |
ISMSを運用していても、必ず認証を取得しなければならないわけではありません。
ISMS認証を取得するまでの流れ
ISMS認証を取得するときは、一般的に次のような流れで進めます。
- 認証を受ける部署や仕事の範囲を決める
- 守る情報を確認する
- 起こりそうな問題を調べる
- 情報を守るルールを作る
- 決めたルールに沿って仕事をする
- 社内で問題がないか確認する
- 認証機関の審査を受ける
- 必要な修正を行い、認証を取得する
審査では、書類だけでなく、決めたルールが実際の仕事で守られているかも確認されます。
ISMS認証の有効期限と定期的な審査
ISMS認証は、一度取得すれば永久に続くものではありません。
認証を取得したあとも、定期的に審査を受けます。また、一定の期間ごとに、認証を更新するための審査があります。
定期的な審査を行うことで、ISMSが作ったままになっていないかを確認します。
ISMSとISO27001の違い
ISMSとISO27001は関係が深いため、同じ意味だと思われることがあります。
しかし、ISMSは会社が作る仕組みであり、ISO27001はその仕組みに必要な条件を定めた基準です。
ISMSは情報を守る仕組み
ISMSは、会社や団体が情報を安全に管理するための仕組みです。
社員への教育、パスワードの管理、問題が起きたときの対応、定期的な見直しなどが含まれます。
ISO27001はISMSの基準を定めた規格
ISO27001は、ISMSを作り、運用し、改善するために必要な条件を定めた基準です。
正式には「ISO/IEC 27001」と書きます。この記事では、わかりやすく「ISO27001」と表記しています。
規格とは、多くの国や会社で共通して使えるように決められた基準です。
| 項目 | ISMS | ISO27001 |
|---|---|---|
| 意味 | 情報を安全に管理する仕組み | ISMSに必要な条件を定めた基準 |
| 役割 | 会社が実際に作り、運用する | 仕組みを作るときの基準になる |
| 関係 | 仕組みそのもの | 仕組みを確認するための基準 |
日本では、ISO27001に対応した「JIS Q 27001」という基準も使われています。
ISMSとPマークの違い
ISMSとPマークは、どちらも情報を適切に管理していることを外部に示す制度です。
大きな違いは、主に対象となる情報と、認証を受ける範囲にあります。
対象となる情報が異なる
ISMSでは、認証を受ける範囲の中で、組織が管理するさまざまな情報を対象にします。
顧客情報だけでなく、社員情報、技術情報、契約情報、売り上げ情報なども含まれます。
Pマークは、正式にはプライバシーマークといいます。事業者が個人情報を適切に扱う仕組みを作り、正しく運用しているかを確認する制度です。
認証の対象となる範囲が異なる
ISMS認証では、会社全体だけでなく、特定の部署や事業だけを対象にする場合があります。
認証の対象になっている部署、事業、場所などを「登録範囲」といいます。
そのため、ISMS認証を確認するときは、会社名だけでなく、どの部署や仕事が対象なのかも見ることが大切です。
Pマークは、原則として事業者を単位として、個人情報の取り扱いの仕組みを確認します。
ISMSとPマークの違いを表で比較
| 項目 | ISMS認証 | Pマーク |
|---|---|---|
| 主な目的 | 組織が管理するさまざまな情報を安全に管理する | 個人情報を適切に扱う仕組みを整える |
| 主な対象 | 顧客情報、社員情報、技術情報、契約情報など | 氏名、住所、電話番号などの個人情報 |
| 主な基準 | ISO27001 | 個人情報の取り扱いに関する基準 |
| 対象の範囲 | 会社全体または一部の部署や事業 | 原則として事業者単位 |
どちらが優れているというものではありません。会社が扱う情報や、取引先から求められる条件に合わせて選ばれます。
ISMS認証を取得するメリット
ISMS認証には、情報を守るルールを整理しやすくなるというメリットがあります。
外部の審査を受けるため、社内だけでは気づきにくい問題を見直すきっかけにもなります。
情報を守る社内ルールを整えられる
会社では、人によって仕事の進め方が異なることがあります。
ISMSを作ることで、情報を保存する場所や、資料を持ち出す方法などを整理できます。
問題が起きたときの連絡方法や対応の手順も決められます。
取引先や利用者からの信頼につながる
ISMS認証を取得すると、一定の基準に沿って情報を管理していることを外部に示せます。
仕事を受けるための条件として、ISMS認証の取得が求められることもあります。
問題やミスが起きたときに対応しやすくなる
情報に関する問題を、完全になくすことは簡単ではありません。
しかし、連絡する相手や対応の手順を事前に決めておけば、問題が起きたときに落ち着いて対応しやすくなります。
ISMS認証の注意点
ISMS認証にはメリットがありますが、認証を取得することだけが目的にならないように注意が必要です。
実際の仕事でルールを使い、改善を続けることが大切です。
認証を取るだけでは情報を守れない
書類を作って認証を取得しても、社員がルールを守らなければ十分ではありません。
日々の仕事に合ったルールを作り、無理なく続けられるようにする必要があります。
社員全員でルールを守る必要がある
情報を扱うのは、情報システム部門だけではありません。
メールを送る、資料を印刷する、顧客へ電話をかけるといった日常の仕事にも、情報管理が関係します。
認証があっても問題を完全に防げるとは限らない
ISMS認証は、情報に関する問題が絶対に起きないことを保証するものではありません。
問題が起こる可能性を調べ、必要な対策を行い、改善を続ける仕組みがあることを示すものです。
また、会社の商品やサービスの品質を保証する制度でもありません。
初心者が間違えやすいISMSのポイント
ISMSには、言葉だけを見ると誤解しやすい点があります。
代表的な間違いを確認しておきましょう。
ISMSはセキュリティ製品の名前ではない
ISMSは、ウイルス対策ソフトやパソコンの機能ではありません。
情報を守るための人、ルール、設備、システムをまとめて管理する仕組みです。
ISMS認証は会社全体が対象とは限らない
ISMS認証は、会社全体で取得している場合もあれば、一部の部署や事業だけで取得している場合もあります。
認証の有無を確認するときは、登録範囲も確認する必要があります。
ISMSとISO27001は同じ意味ではない
ISMSは、情報を管理する仕組みです。
ISO27001は、ISMSを作り、運用するときに必要な条件を定めた基準です。
ISMSは一度作れば終わりではない
新しいシステムを導入したり、働き方が変わったりすると、必要な対策も変化します。
そのため、ISMSは定期的に確認し、改善を続ける必要があります。
ISMSについてよくある質問
ISMSはすべての会社に必要ですか?
すべての会社に、ISMS認証の取得が義務づけられているわけではありません。
ただし、会社の規模にかかわらず、情報を安全に管理する考え方は大切です。
取引先との契約や、仕事を受けるための条件として、認証が求められる場合もあります。
ISMS認証を取得している会社は安全ですか?
ISMS認証を取得している会社は、決められた基準に沿って、情報を管理する仕組みを作り、審査を受けています。
ただし、問題が絶対に起きないことを保証するものではありません。
どの部署や仕事が認証の対象なのか、登録範囲を確認することも大切です。
ISMS認証の取得には費用がかかりますか?
ISMS認証を取得するには、認証機関へ支払う審査費用などがかかります。
費用は、会社の規模、社員数、事業所の数、認証を受ける範囲などによって異なります。
そのため、すべての会社に共通する金額はありません。
ISMS認証は個人でも取得できますか?
ISMS認証は、会社や団体などの組織を対象とした制度です。
個人がISMSについて学ぶことはできますが、個人向けの資格試験とは異なります。
ISMSと情報セキュリティの違いは何ですか?
情報セキュリティとは、大切な情報を安全に守ることです。
ISMSは、情報セキュリティを会社や団体全体で続けるための仕組みです。
ISMS認証とセキュリティソフトは同じですか?
同じではありません。
セキュリティソフトは、パソコンなどを守るための製品です。ISMSは、製品だけでなく、人やルールも含めて情報を守る仕組みです。
まとめ|ISMSとは会社の情報を継続して守るための仕組み
ISMSとは、会社や団体が持つ大切な情報を、安全に管理するための仕組みです。
見せてはいけない人に情報を見せない「機密性」、情報を正しく保つ「完全性」、必要なときに使えるようにする「可用性」を大切にします。
ISMS認証とは、その仕組みがISO27001の基準に沿って運用されているかを、外部の認証機関が確認する制度です。
ISMS認証では、会社全体ではなく、一部の部署や事業だけが対象になることもあります。認証を確認するときは、どの範囲が対象なのかも見ることが大切です。
ISMSは、認証を取得することだけが目的ではありません。会社の仕事や新しい問題に合わせて、ルールや対策を見直し続けることが大切です。

