セキュリティ認証を持っているか確かめる方法

取引先のセキュリティチェックを行う際などに、ISMSやプライバシーマークなどのセキュリティ認証の所有状況を確認することが多いのではないでしょうか？

確認する際は、「対象となる会社のホームページを確認する」という方法を取ることが基本かと思いますが、ホームページ上には何も掲示されていないケースなども少なくありません。

そのうえで実は、各社のサイトを見る以外にも認証の取得状況をチェックする方法があるので、今回は認証の種類別にまとめてみようと思います。

ISMS認証[27001]/ISMSクラウドセキュリティ認証[27017]/ISMS -PIMS認証[27017]（ISMS適合性評価制度）

まず情報セキュリティ認証といえばのISMS系認証。
ISMS系認証は日本におけるISMSの認定機関（統括組織のようなもの）ISMS-ACホームページの＜登録組織検索＞ページで各認証の取得状況をチェックすることが可能です。

情報マネジメントシステム認定センター（ISMS-AC）

検索においては「組織名」や「部門名」「登録範囲(事業内容や支社など)」など様々なワードで検索することができます。

ISMS系認証の注意点

前述の通り基本検索できるのですが、例外があるので以下の2つの点について注意してください。

1. ホームページで公表していない組織がある
   ISMS適合性評価制度では、認証取得した場合でも「ホームページ上で公開しない」という選択肢をとることも可能です。
   そのため、組織によっては何らかの理由(特定部門のみで取得していて公表していないなど)で「公表しない」を選択していることがあります。
   （2023年4月現在、認証登録組織のうち400社程度が公表していない）
   

2. ISMS-ACの制度以外で認証取得している組織は検索できない
   ISMS適合性評価制度は、日本のISMS-AC以外に、世界に存在する認定機関で相互承認される同様の制度が運用されています。
   そのためISMS-ACの認定は受けていないけど、他国の認定機関から認定を受けている審査機関もあり、その場合ISMS-ACのホームページでは表示されません。
   また、ISMS認証自体は国の制度などなわけではないので、勝手にプライベート認証のような形で制度を作って認証をおろしているというケースなどもありえます。

プライバシーマーク

セキュリティ認証系ではISMSと双璧をなすといっても過言ではない、個人情報保護をテーマにしたプライバシーマーク。
プライバシーマークの付与事業者は、マークの付与機関であるJIPDECのプライバシーマーク制度ホームページの＜付与事業者情報＞で付与されている事業者を検索することが可能です。

付与事業者情報｜プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会（JIPDEC）

検索においては「事業者名称」「登録番号」に加え、詳細検索で「都道府県」や「業種」などから検索することができます。

また、プライバシーマークは「取消し」や「一時停止」などの処分が行われている事業者についてもホームページ上で確認することもできます。

ISMAP

最近登場したセキュリティ認証制度の一つであるISMAP。
政府機関のクラウドサービス調達のための評価・登録制度であり、ここまでのISMSやPマークと違い、明確な国の制度でもあります。
また、要求事項もISMSの規格をさらに細かくした内容などを含むため、セキュリティについてはISMS以上に要求の高いものとなっています。

そんなISMAPについては、ISMAPポータルサイトの＜ISMAPクラウドサービスリスト＞で登録事業者を確認することが可能です。

ISMAPクラウドサービスリスト - ISMAPポータル

まとめ

今回は様々なセキュリティ認証の取得状況の検索方法について整理しました。
委託先などのセキュリティチェックにおいて活用できるかもしれません。

ただ一点注意が必要なのは、「これらのセキュリティ認証を持っている＝セキュリティ対策100点で問題ない」というわけではないということです。
確かにこれらの認証登録がされているということはそれらの基準に準拠しているということである一方で、準拠のための方法や対策は組織によって異なってくるため、認証を持ったうえでどのような取り組みを行っているのか確認することでチェックの有効性がより高まるかもしれません。