Written by ねこずきのねこ。
広報・販売企画・販売パートナー様支援を経て、現在プロダクトPRに携わる。
目 次
法人向けの情報セキュリティ認証・規格とは
ISOとは
ISMS認証(ISO 27004)
プライバシーマーク(Pマーク)制度
プライバシーマークとISMSの違い
セキュリティ認証に役立つ「LANSCOPE」
法人向けセキュリティ認証から読み解く企業に求められるセキュリティ対策
法人向けセキュリティ認証「ISO」「ISMS」「Pマーク」を解説、共通して抑えておきたいセキュリティ対策をぐっと凝縮しました!
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
企業経営を行う上でリスクマネジメントは重要です。リスクは様々ですが、時代とともに新たなリスクが誕生することもしばしば…。企業経営におけるリスクと言えば「資金計画の失敗」、「敵対的買収」などのリスクが思い浮かびますが、同様にリスクマネジメントしたいのが「セキュリティ」です。しかし、その対策範囲は多岐に渡るため、何から始めれば良いか悩みどころでもあります。
そんな時に、まず検討したいのが、法人向けの情報セキュリティ認証の取得です。今回は、国内で多くの企業が取得している身近な情報セキュリティ認証「ISO」「ISMS」「プライバシーマーク」について解説するとともに、企業にどのようなセキュリティ対策が求められているのかを読み解いていきたいと思います。
法人向けの情報セキュリティ認証とは
情報セキュリティの必要性が問われる中、「ISO」「ISMS」「プライバシーマーク」は、よく検討比較される法人向けセキュリティ認証です。どのような違いがあるのでしょうか。
「ISO」は世界で通用する国際規格で、「世界基準のモノサシ」として活用されます。情報セキュリティの他にも様々な規格が存在しており世界中で使われている認証です。対して「ISMS」は、そのISOを元に組織や部署全体にセキュリティ体制を構築・運用すること(仕組み化)を目的とした認証です。一方で「プライバシーマークマーク」は、個人情報保護に特化した認証で日本固有のセキュリティ認証です。それぞれ重視している保護対象が異なります。
情報セキュリティ認証を取得するメリット・デメリット
情報セキュリティ認証を取得するメリットとして、すでに体系づけられたフレームワーク・ガイドラインなどを元にするため、何からどのようにセキュリティ対策を実施するかが明確で、取り組みやすくなります。結果、組織の情報セキュリティ水準が向上し、漠然とした不安の解消や情報漏洩などのリスクに備えることができます。
そして何よりセキュリティ対策の有効性を客観的に証明することができる点が大きなメリットです。
ここで気をつけておきたいのが「認証を取ることをGOALにしない」ということです。企業の状況を加味した体制構築を行わなければ、無駄な対応工数が増えるなど形骸化する恐れがあるという点がデメリットです。認証取得をゴールにするのではなく、事業の状態に合わせて持続可能な体制構築を行うことが重要です。
●メリット
1.コンプライアンス体制の徹底とセキュリティ水準を向上
2.取引先やお客様に対し、情報セキュリティに対する信頼やPRとなる
3.大手企業や官公庁などの取引先条件や入札条件を満たせる
4.明確なルール化と運用で漠然とした不安やリスクを明確化し対策できる
5.グローバルでも戦える(ISO・ISMSなど)
●デメリット
1.運用に乗り切らない体制構築をしてしまうと形骸化してしまう
2.必要以上に厳しくしてしまうことで、その対応業務に追われてしまう
3.複雑にしてしまうことで、思わぬ不具合やトラブルに陥ってしまう
ISOとは
ISOとは、世界基準の国際標準規格を指します。スイスのジュネーブにある非営利法人国際標準化機構(International Organization Standardization)が監督しています。ISO規格は様々な種類があり、大きく「モノの規格」と「マネジメントシステムの規格」の2つに分かれています。のちにご紹介するISMSは、このISO規格を元にしているなど、様々なモノの基準となっている規格です。
ISO規格の種類について
ISO規格は様々な分野において存在しています。ISO9001は、基本的な規格として顧客に提供する製品・サービス品質向上のための普遍的な内容がまとめられています。そしてISO9001をベースに、より実践的に利用できるように業界固有の要求事項を追加・派生したものがセクター規格です。
例えば、製造業であれば生産物の品質維持のためのISO9001、医療メーカーであれば医療機器産業におけるリスクマネジメントのISO13485といったケースがあります。他にも食品安全や労働安全衛生のための規格などが策定されています。今回のテーマである情報セキュリティは、マネジメントシステム規格のISO27001が該当します。
ISO27001「情報セキュリティ」の拡張規格
ISO27001には拡張規格というものが存在します。拡張規格は元となるISO27001の取得後、選択して取得することが可能です。
クラウドセキュリティに特化した「ISO27017」、個人情報を含むクラウドセキュリティに特化した「ISO27018」、個人情報保護に特化した(PマークのISO版)「ISO27701」です。これら拡張規格は、昨今のクラウドサービスの拡がりを受け、ISO27001だけではカバーしきれない部分を補完しています。
実際にISO27001に加え、事業特性を考慮して取得する企業が増えています。例えばAmazonやGoogle、Microsoft AzureはISO27017を取得しています。またLINEWORKSは、そのISO27017に加えISO27018も取得するなど、事業形態や内容によって複数の規格認証を取得する企業も少なくありません。
※参照:JAQ一般財団法人日本品質保証機構を元に作成
ISO27001の監査ポイントとは
ISO27001は情報セキュリティ3大要素として、情報資産の「機密性」「完全性」「可用性」を保つための仕組みに対して評価を行います。
主に組織活動を行う上で情報セキュリティマネジメントに必要な方針や目標を定め、必要な工程や方法を管理するためのフレームワークが示されています。具体的な要求事項として、組織の状況・リーダーシップ・パフォーマンス評価などが求められており、それらが機密性・完全性・可用性を加味されているかがポイントとなります。さらにそれらはPDCAサイクル化が求められており、継続的なセキュリティ改善がなされているかが監査のポイントです。
| 情報の機密性・安全性及び可用性の維持 | |
|---|---|
| 機密性 | アクセスを許可された接続だけが、情報にアクセスできる →情報漏洩を防止する管理 |
| 完全性 | 情報や処理方法が正確・完全である →最新で正確な情報で管理する |
| 可用性 | 許可された接続が、必要に応じて情報や資産に確実にアクセスできる →必要な時にすぐ使える状態で管理する |
●ISOとは
・スイスのジュネーブにある非営利法人国際標準化機構が運営・監督
・様々な分野の国際規格が定められており、世界基準のモノサシとなる
・情報セキュリティのISO規格は、ISO27001
・機密性・完全性・可用性を用いた持続可能なPDCAサイクル化が審査ポイント
・ISO27001には拡張規格がある(ISO27017・SIO27018・ISO277701)
ISMS認証(ISO27001)
ISMSは一般社団法人情報マネジメントシステム認定センター(以降:ISMS-AC)が管轄しており、組織の情報マネジメントシステム定着のため、国際規格に基づいた認証を行っている機関です。ISMS認証では、前述のISO27001に即した、情報セキュリティリスク低減のために、情報セキュリティマネジメントシステムを構築・運用することが求められます。
情報セキュリティに関するガイドラインは数あれど、ISMSは技術的な対策や人的・組織的対策にまで言及しており、組織全体の情報マネジメント体制の構築・リスク対応を重視した認証となっています。国際規格に対応した情報セキュリティが実現でき、国際取引においても信頼構築にも貢献できます。
ISMSの審査基準
国際基準であるISO27001に即した情報セキュリティマネジメントが実現されているかが監査基準となります。そのためISO27001の要求事項に則ったPDCAサイクルの仕組みの構築・運用が求められます。
企業は、ISMSを構築する指標として、情報資産の「機密性」「完全性」「可用性」をバランスよく確保するための仕組みを作ることが求められます。
さらにISMS認証取得後は3年ごとの更新となりますが、実は1年ごとに継続審査が行われます。持続可能な体制構築が重要です。
●ISMSとは
・一般社団法人情報マネジメントシステム認定センター(以降:ISMS-AC)が管轄
・ISO27001の考え方に基づいた情報セキュリティマネジメントの実施(JIS Q27001)
・更新は3年だが1年ごとの継続審査が必要
・認定企業にはロゴマークを使用して対外的にアピールできる
※参照:ISMS AC「情報マネジメントシステム認定センター」
プライバシーマーク(Pマーク)制度
個人情報保護を徹底するならおススメなのが「プライバシーマーク」です。経済産業省の外郭団体である一般財団法人日本情報経済社会推進協会(以降:JIPDEC)が管轄、個人情報保護に特化したセキュリティ認証です。プライバシーマーク制度は、個人情報に関する「安心の証」として1998年にスタートし、2022年10月現在で17,000社以上が取得している歴史あるセキュリティ認証制度です。
●プライバシーマークとは
・日本国内の事業者向けの認証
・国家規格「JIS Q 15001」に準拠した個人情報保護体制の構築・運用をJIPDECが認定
・認定企業にはロゴマークを使用して対外的にアピールできる
プライバシーマークの審査基準
プライバシーマーク認証の対象は、国内に活動拠点を持つ事業者です。国家規格「JIS Q 15001」に準拠した企業が認証を受けられます。JIS規格には、産業製品のみならず、情報処理やサービスにも規格が定められており、プライバシーマークが準拠するJIS Q 15001は「個人情報保護の国家規格」です。
JIS Q 15001では、個人情報保護に関する「Plan」「Do」「Check」「Action」のサイクルを定期的に回すことが求められています。規定(ルール)を作成・運用し、様式(フォーマット)に運用記録を残し、適宜見直しを行うという一連の流れが必要です。これによりセキュリティ水準を保つことができます。さらに有効期限が2年間のため、一度取得して終わりではないという点がポイントです。
特に2022年4月に施行された改正個人情報保護法により、個人情報保護がより重要視されるようになりました。個人情報保護法対応を見越した管理を行いたい企業にはおススメのセキュリティ認証です。すでにプライバシーマーク取得済の企業様は、規定類の差分を対応するだけでOKです。
プライバシーマークとISMSの違い
よく比較されるこの2つのセキュリティ認証ですが、前提として両方ともが情報資産の保護を目的にしたセキュリティ認証です。違いは冒頭でも紹介した情報セキュリティの対象範囲です。
ISMSは、個人情報はもちろん、個人情報以外の情報資産に関しても対象としています。一方でプライバシーマークは個人情報保護に特化しているため、個人情報以外の情報資産に関しては言及していません。つまりISMSの方がより広い範囲をターゲティングしていることが分かります。また、部署単位や事業所、サービスに限定した取得も可能なため、全社的な協力を得られない場合でも取得できる点も魅力です。
これだけ聞くと、プライバシーマーク大丈夫?と心配される方もいるかもしれませんが、プライバシーマークは「プライバシーマーク固有の基準」を設けています。ISMSの個人情報保護レベルが法律(個人情報保護法)順守レベルであることに対し、プライバシーマークでは法律以上に本人の権利を重視しています。そのため法律で策定された範囲より、さらに厳しい基準で個人情報を守る認証となっています。
どちらもセキュリティ対策として有効な認証です。親会社や取引先から取得を求められて取得する、事業形態に合わせて取得するなど、自社の事業内容や体制に合わせて選択することをおすすめします。
| プライバシーマーク | ISMS | |
|---|---|---|
| 開始日 | 1998年4月 | 2002年4月 |
| 認定機関 | 一般財団法人日本情報経済社会推進協会(JIPDEC) | 一般社団法人情報マネジメントシステム認定センター(ISMS-AC) |
| 審査基準 | JIS Q 15001:2017 | ISO27001:2013 |
| 有効期限 | 2年 | 3年(ただし1年ごとに継続審査) |
| 保護領域 | 個人情報保護 個人情報のみが守るべき対象で、個人情報保護規定を満たすことが目的 |
情報セキュリティ 全ての情報が守るべき対象で、情報セキュリティの3大要素を高めることが目的 |
| 保護対象 | 法人単位 | 部署単位など |
| 登録者数 | 17,199社 | 6,715社 |
※2022年10月現在
セキュリティ認証の監査に活躍するLANSCOPE
どちらのセキュリティ認証においても、情報セキュリティのための体制を構築し、運用のPDCAサイクルを回すことが求められます。ここで重要となるのがツールの活用です。情報資産の把握やインシデントの有無などは人力で行うとなるとかなりの工数が掛かります。ツールを活用することで、監査対応を効率化することが可能です。
弊社がご提供するエンドポイントセキュリティツール「LANSCOPE」では、セキュリティ認証取得に求められるPDCAサイクル化における様々な支援が可能です。ISO27001の管理策に対する対応方法をホワイトペーパーにまとめていますので、是非ご参考にしてください。
| 管理目的 | 管理策 |
|---|---|
| A.6 情報セキュリティの為の組織 | A.6.2.1 モバイル機器の方針 A.6.2.2 テレワーキング |
| A.9.1 アクセス制御に対する 業務上の要求事項 |
A.9.1.1 アクセス制御方針 A.9.1.2 ネットワーク及びネットワークサービスへのアクセス |
| A.13 通信のセキュリティ | A.13.1.1 ネットワーク管理策 A.13.1.2 ネットワークサービスのセキュリティ A.13.1.3 ネットワークの分離 |
| A.18 順守 | A.18.2.1 情報セキュリティの独立したレビュー A.18.2.2 情報セキュリティのための方針群及び標準の順守 A.18.2.3 技術的順守のレビュー |
セキュリティ認証の取得は自社内で対応することも可能ですが、専門のコンサルティングサービスを利用することで大幅に負担を減らすことができます。セキュリティ認証取得をご検討の際はもちろん、認証指標に沿ったセキュリティ対策を行いたい方は、是非LANSCOPEを活用ください。
法人向けセキュリティ認証から読み解く企業に求められるセキュリティ対策
法人向けセキュリティ認証「ISO」「ISMS」「Pマーク」を解説、共通して抑えておきたいセキュリティ対策をぐっと凝縮しました!
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
