見出し画像
Photo by ia19200102

ISMS認証取得企業の本音。ISMS認証を取得して良かった?

SecureNavi株式会社

ISMSオートメーションツール「SecureNavi」を提供する、SecureNavi株式会社の井崎です。

「情報セキュリティレベルを上げたい!」「営業上の優位を獲得したい!」といった目的で、ISMS認証を取得するための取り組みを開始する企業を多く見かけます。ところで、これらの企業は、実際にISMS認証を取得した結果として、それらの目的を達成できているのでしょうか?

ISMS認証を取得したにも関わらず、当初想定していた目的が達成できていなければ本末転倒です。今回は、日本のISMS認証制度を運営しているISMS-ACのアンケート結果から、「ISMS認証を取得した組織・企業のその後」について紹介します。

ISMSの導入によるメリット

まずは、ISMS認証の取得(厳密には「ISMSの導入」)により、どのような効果があったのかを見てみましょう。

アンケート結果は、以下のようになっています。

画像1

画像は、ISMS-AC「ISMS適合性評価制度に関する調査報告書」(2018年3月)より引用

情報セキュリティ管理体制や情報セキュリティ対策が強化できた、情報セキュリティに関する意識向上に寄与した、と回答している企業・組織が、非常に多くいる事がわかります。驚くべきはその割合です。例えば「社員の情報セキュリティに関する意識向上、教育啓発に寄与した」という設問項目では、98.2%もの企業が「該当する」もしくは「やや該当する」と回答しています(アンケートは全数調査ではないため、偏りがあるかもしれない点に注意が必要です)。

確かに、ISMSを構築するためには、従業員に対して情報セキュリティに関する教育を実施することがよくあります。他にも、ISMSを構築するためには様々な取り組みがあります。そういった取り組みの結果、情報セキュリティレベルが向上し、上記のようなアンケート結果になったのではないかと予想できます。

それ以外にも「顧客からの信頼確保に貢献」であったり、「企業イメージの向上に貢献」といった回答をしている企業・組織も多い事がわかります。ISMS認証を取得すると、ISMSのシンボルマークを利用することができるため、対外的に、企業の安心感を示すアピールに活用することができます。ISMSの取り組みが、セキュリティレベルの向上だけではなく、信頼獲得やイメージ向上にもつながっていることが見て取れます。結果として、営業成績や売上への貢献に結びついている企業もあるでしょう。

ISMSの導入によるデメリット

このアンケートでは、導入によるデメリットは質問項目に含まれておりません。そこで、ISMSを取得することで発生する、2つのデメリットを挙げてみたいと思います。

1. ISMSを運用する金銭的なコストが発生すること

まずはじめに金銭的なコストが発生することです。ISMSは1年に1回審査があるため、継続的に審査費用を払い続ける必要があります。また、コンサルタントと契約したり、ISMS効率化のためのツールを導入している場合、それらの費用も必要となります。ISMSを維持するランニングコストが、得られるメリットに大して高すぎると判断し、ISMS認証の維持をやめるケースも散見されます。

一方でこれらの金銭的なコストは、定期的に見直しを行うことで安くすることができます。コンサルティング会社を見直したり、契約をやめたりすることで、コンサルティングにかかるコストを削減することができますし、審査会社を変更することで、審査費用を安くすることもできます。金銭的なコストが高いから認証維持をやめるのではなく、一度見直してみると良いかもしれません。

2. ISMSを運用するには一定の人的コストが必要

ISMSを維持していくためには、費用のような金銭的コストだけではなく、一定の人的なコストも必要です。ISMSは構築して終わりではなく、毎年定期的な運用が必要です。担当者が忙しすぎて、この人的コストを割くことができず、ISMS認証の維持をやめてしまうケースもあります。

ISMSの維持に必要な人的コストも、ISMSを見直すことで削減することができます。ISMSの世界でも「現状維持は後退」だと考えることができます。日々様々なツールや技術が登場しているなか、ISMSをずっと認証取得時のままの運用手法で運用していると、いつまで経っても人的コストがかかり続けてしまいます。ISMSオートメーションツールや、タスク管理ツールをうまく活用することで、ISMSの運用負荷を下げ、担当者の負担を楽にすることができます。

さいごに

以上、ISMS認証を取得した企業が感じるメリットとデメリットを紹介しました。私個人としては、ISMS認証を取得する・しないは、各企業や組織の自由な意思決定であり、費用対効果が合うと思えばすれば良いし、費用対効果が合わないと思えばすべきでないと考えています。また、ISMSを取得したことにより発生するデメリットは、定期的にISMS自体を見直すことで、大きく負担を削減することができますので、定期的にお客様からの要望や自社の目指したいセキュリティへの取り組み、金銭的・人的リソースと照らし合わせて、検討してみてください。

---

弊社では、ISMSオートメーションツール「SecureNavi」を提供しています!
誰でも簡単にISMSを構築し、認証取得・ISMS運用が可能です。

ISMS認証取得について相談したい方はお気軽にご連絡ください!




この記事が気に入ったらサポートをしてみませんか?