「ISO27001」って何?Pマークとの違いは?企業事例も紹介
認証を取得することで、取引先からの信頼を得られるほか、入札できる行政案件の幅が広がる国際規格「ISO27001」。楽天グループやソフトバンク株式会社など、多くの有名企業も取得しています。今回はISO27001の概要やPマークとの違い、企業事例などを紹介します。
ISO27001とは
ISO27001とは、企業が情報資産の安全な管理および有効活用する仕組みを有していることを証明する、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。ISO27001では、次の3つの要素を保持することが求められています。
機密性:情報漏えいがない状態
完全性:最新の情報を正確に、かつ欠けることなく管理する状態
可用性:情報を使いたいときにいつでも利用できる状態
なお、ISO27001は業種・業態問わず、あらゆる企業が認証を取得することができます。
ISO27001とPマークとの違い
Pマークとは、個人情報を適切に保護している組織に付与されるマークのことです。ISO27001とPマーク、両者の一番の違いが、「保護対象」です。前者が個人情報を含む情報資産全般を保護対象としているのに対し、後者は個人情報のみを保護対象としています。
そのほか、ISO27001がグローバルな認証規格「国際規格」であるのに対し、Pマークは日本のみで通用する「国内規格」です。そのため、海外とのやり取りが多い企業は、ISO27001取得のメリットをより大きく感じられることでしょう。
ISO27001を取得する3つのメリット
ISO27001を取得するメリットを3つ解説します。
取引先からの信頼を得やすい
ISO27001を取得するということは、審査機関という第三者より、“情報セキュリティ体制や取り組みを評価されている”ということ。情報セキュリティという観点で、ISO27001を取得している企業と取得していない企業、取引先からの信頼を得られるのは当然前者でしょう。ちなみに、信頼して取引を続けたいがために、取引先からISO27001の取得をお願いされるケースもあるようです。
従業員は情報セキュリティに対する意識が高まる
ISO27001は取得した後も、定期的な審査を受けなければいけません。例えば、3年に1度実施される更新審査では、「現場視察」が行われます。現場視察では、審査員から現場での情報の取り扱い状況について詳しくチェックされるほか、部門ごとの責任者や現場担当者へのヒアリングも実施されます。こうした審査が定期的に実施されるISO27001取得企業において、従業員は審査に向けて情報保護に関する取り組みを積極的に行うようになり、したがって情報セキュリティに関する意識の向上につながります。
入札できる案件の幅が広がる
国や自治体が発注する案件で「ISO27001の取得」を入札条件としているケースが増えています。つまり、企業としてはISO27001の取得により、入札できる案件の幅を広げることができるのです。ISO27001は企業の事業拡大や売上UPに直結する規格と言えるでしょう。
ISO27001取得企業事例
実際にISO27001を取得した企業事例を3事例見ていきましょう。
① 株式会社Poetics(旧:株式会社Empath)
「従業員のセキュリティ意識の向上」を実現した事例です。
音声感情分析AIの開発・分析を手掛ける株式会社Poeticsは、2022年6月にISO27001を取得しました。秘匿性の高い情報を取り扱うサービスを提供する同社は、“できる限り営業機会を損失しないため[庄子1] ”に認証の取得を決意します。また決意の背景には、「秘匿性の高いデータの取り扱いがきちんとされていないと、お客様も不安を抱かれるだろう」という同社の思いもありました。
認証取得の結果、従業員のセキュリティ意識の向上や社外とのやり取りに関する工数削減を実現しています。
ISO27001取得が、社内的なメリットにもつながった事例と言えるでしょう。
② AI CROSS株式会社
「上場に際してISO27001が役に立った」事例です。
業界最大級のSMS配信サービスやノーコードAI分析サービスなどを展開しているAI CROSS株式会社。2018年1月からISO27001取得に向けた取り組みを始め、同年8月に認証を取得しました。
同社は2019年10月に当時の東証マザーズ市場に上場を果たしましたが、上場監査にあたり、「ISO27001および(同社が取得していた)Pマークの存在は小さくなかった」と担当者は語っています。
具体的には、情報セキュリティに関する上場監査を受けた際に、「ISO27001のプロセスに沿って内部統制をしています」と自信を持って監査の担当者へ伝えることができたと言います。
この事例から、上場を目指している企業にとってもISO27001取得はメリットがあることが分かります。
引用:AI CROSS様(法人向けSMS送受信サービス・人材管理クラウド/ISMS取得
③ 東京エレクトロン デバイス株式会社
「入札に参加するため」という理由で、ISO27001を取得した事例です。
東京エレクトロン デバイス株式会社は、最先端の半導体やネットワークシステムなどを、高度な技術サポートおよび品質保証と合わせて提供している技術商社です。
同社は「官公庁向けの入札案件では、認証取得が入札に参加する必須要件になっていたこと」を背景の一つに、ISO27001取得に取り組みました。同社のリソースの関係上、入札に間に合わせるため、コンサルティング会社に依頼し、無事ISO27001を取得しました。
「入札に参加するため」という、事業拡大・売上UPに直結する目的でISO27001を取得した事例です。
引用:東京エレクトロン デバイス株式会社 様|ISO27001(ISMS)認証取得支援
ISO27001に関するよくある質問
最後に、ISO27001に関するよくある質問を3つ紹介します。
ISO27001取得までにどれくらいの期間がかかる?
A.10カ月~1年程度
一般的には10カ月~1年程度の期間が必要ですが、取得を目指す企業の準備体制やリソースによっては、半年程度で取得できるケースもあります。
ISO27001の取得費用は?
A.企業・審査機関により異なる
ISO27001の取得に必要な費用は、「審査費用」です。コンサルティング会社に依頼する場合は、さらに「コンサルティング費用」がかかります。
審査費用は審査機関や申請する企業の規模・業種によって値段が異なります。あくまで参考程度ですが、従業員規模1名~10名:53万5,000円、11名~25名:64万円、45名以上になると100万円以上掛かるケースもあります。正確な金額は、審査機関に見積りをとって確認しましょう。
またコンサルティング費用についてもコンサルティング会社によって値段は異なりますが、年間40万円程度から請け負っている企業もあります。
ISO27001を取得したあとは何をする?
A.要求事項に沿った運用をする
ISO27001の有効期限は3年のため、維持審査および更新審査を通らなければ、認証が失効してしまいます。そのため、審査に備えて、要求事項に沿った運用をする必要があります。なお、要求事項には例えば、内部監査の実施や情報セキュリティに関する方針の決定などがあります。
まとめ
ISO27001は、企業が情報資産の安全な管理および有効活用する仕組みを有していることを証明する国際規格
ISO27001取得により、従業員の情報セキュリティに関する意識が向上するほか、入札できる案件を増やすことができる
ISO27001は上場審査にも有効。取得するまでには一般的には10カ月~1年程度かかる
この記事が気に入ったらサポートをしてみませんか?