Pマーク・ISMS丸わかり!初心者ガイド

ISMSってなに?Pマークとの違いは?取得期間や取得費用の相場を徹底解説

ISMSも情報セキュリティマネジメントシステムに関する規格です。 IT化の急速な進展により、不正アクセスやコンピュータウイルス、内部不正行為などによって個人情報漏えいはもちろん、企業の資産情報漏えいなど、さまざまな情報セキュリティ上の問題が発生しています。こうした脅威に対して、より対策を強化するため設けられた認証がISMSです。

本記事ではISMSとは何か、Pマークとの違いや取得するにはどのくらい期間がかかるのか、取得費用の相場について解説していきます。

ISMSはすべての情報資産を対象としたセキュリティ対策

ISMSはプライバシーマークと同様に情報セキュリティに関する認証ですが、プライバシーマークが従業者や顧客の個人情報を対象としているのに対して、ISMSは個人情報だけでなく、技術情報はもちろん財務情報や人事情報などすべての情報資産を対象とし ています。

もともとプライバシーマークは、個人情報を守るという思想でスタートした制度であり、個人情報の取得や利用・提供・委託、保管および管理、廃棄や開示要求への対応など、個人情報全般の取り扱いについて定めたマネジメントシステムです。しかしISMSは自社の情報資産全般を守るための枠組みとしてつくられたものであり、その一部として個人情報を含んでいるという関係にあります。

ISMSで認証が与えられるのは会社全体の場合もありますが、部署や場所単位、あるいはシステム単位というように対象を限定して取得することができます。

またマネジメントシステムのつくり方においても、ISMSはプライバシーマークとは異なっています。

プライバシーマークでは、個人情報を適切に保護するための規格やそれに基づく運用の仕方が非常に細かく厳密に定められています。このとおりの運用が正しくできなければ、 認証を得ることができません。一方ISMSでは、まず情報セキュリティを「情報の機密性、完全性及び可用性の維持」と明確に定義します。

機密性とは文字どおり扱う必要がない人間を情報にアクセスさせないということであり、完全性とは情報の正確さや新しさ、可用性とは少し聞き慣れない言葉ですが、必要とするときにいつでも情報にアクセスできるということです。

機密性、完全性、可用性の3つの視点から総合的に何が情報セキュリティとして求められるのかを明らかにし、そのうえで守るべき情報資産についての脅威とリスクを洗い出し、それをトータルに低減していくための仕組みや 管理体制を構築していきます。

ISMSとPマークっとの違いは?

プライバシーマークが個人情報に的を絞ったセキュリティ対策であるのに対して、ISMS はより広い範囲を選択して、セキュリティマネジメントシステムを部分的に構築し、認証を受けることができます。

ISMSは、もともと2001年にイギリスの情報セキュリティの基準であるBS 7799―2をベースにスタートし、その後2005年に、ISO/IEC27001という国際規格(それを日本語に翻訳したものがJIS Q 27001)になりました。

プライバシーマークが、日本産業規格であるJIS Q 15001に基づく国内だけの 認証であるのに対して、ISMSは国際的な認証で、この点も2つの認証の異なるところです(ただし、プライバシーマークには「相互承認団体」というものが存在します。これはプライバシーマーク取得制度と同様の認証制度をもつ国外の団体で、相互に認証を認め合う関係にある団体のことです。現時点では韓国の韓国情報通信産業協会がそれに該当します)。

情報マネジメントシステム認定センターによると2022年2月現在、ISMSは日本で約6700件が認証を受けています。ISOのマネジメントシステムの規格でよく知られているのは、工場などが取得する品質管理に関するマネジメントシステム(ISO 9001)や、環境に関するマネジメントシステム(ISO14001)です。

これらに比べると、まだ歴史が浅いこともあり取得数は少ないのですが、先の2つのいずれもが、 更新の中止や失効により年々減少しているのに比べISMSは着実に数を増やしており、 注目度の高さがうかがえます。

ISMS取得の期間は最短で半年、一般的には約1年程度必要

ISMS認証の取得に当たっては、まず体制を構築したうえで、実際にそれを運用してレビューを実施する、そしてその後に申請書類の作成と申請を行い、審査を受け、必要な是正を経て取得するという大きな流れになり、この点はプライバシーマークと同じです。 最短で半年、一般的には1年程度という取得までの期間もほぼ変わりません。

ISMS取得費用の相場は「50万円〜100万円」

審査費用など認証取得には費用が掛かりますが、これについてはプライバシーマークと異なり定額の料金ではなく、利用する認証機関によって変わります。これは申請者によってISMSの認証を受けようとする範囲や、審査対象となるものがそれぞれ異なるためです。

費用の目安としては、最低規模の審査でも50万円から100万円程度です。コンサルタント会社を利用する場合はその費用がプラスされ、認証に合格するための追加的な設備投 資が必要であれば、さらにその費用が必要になります。

ISMSの認証機関(登録審査機関)としては、一般社団法人情報マネジメントシステム認定センター(ISMS─AC)が 団体を認定しています(2022年2月6日現在)。

ISMSでは構築したシステムが引き続き規格に適合し、有効に維持されていることを 確認する更新審査が3年ごとに行われます。プライバシーマークが2年ごとであるのに比べて1年間隔が空きますが、ISMSでは認証を維持するために年に1回の中間的な審査(サーベイランス審査)を受けることになっています。

そのため事実上、年1回のチェックを受けることになり、プライバシーマークよりはむしろチェック機会が多いといえます。なお、更新審査もサーベイランス審査も有料です。

関連記事

監修者紹介

仲手川 啓

仲手川 啓Nakategawa Kei

株式会社ユーピーエフ代表取締役

Pマーク(プライバシーマーク)、ISMS(ISO27001)の新規取得や更新通過支援を累計2500社以上の支援実績を有する情報セキュリティーコンサルティング会社代表。(※2022年10月現在)
独自の最新の進行管理ツールや低価格での支援スタイルから口コミ、紹介での取引開始を中心に、IT・人材系ビジネスのスタートアップから大企業まで幅広い層からの支持を集め現在業界トップシェア。
同社は「経営者がおすすめのPマークコンサル会社部門1位」、「Pマーク取得コンサルアフターフォーロー満足度部門1位」、「医療関係者に最も選ばれるPマークコンサル会社部門1位」、「上場企業従事者に最も選ばれるPマークコンサル部門1位」を受賞している。(※調査企画:日本マーケティングリサーチ機構)

ご不明な点がありましたら、
お気兼ねなくお問合せください。