ISO27001とは？その必要性や流れ、事例についても解説

企業や組織は、個人情報や顧客情報、契約情報などさまざまな情報資産を有しています。
このような情報資産の管理や運用を体系的に行うためには、会社全体あるいは特定の部署において、しっかりとした情報セキュリティ体制を構築することが必要です。

ISO27001は、企業や組織における情報セキュリティのマネジメント体制について定めている国際規格です。情報の機密性・完全性・可用性の3つの観点で、情報を有効活用するための仕組みを表しています。この記事では、ISO27001の必要性や概要、取得のメリット、活用事例について詳しく解説します。

ISO27001とは

ISO27001とは、2005年10月に発行されたISMSの国際規格の一つです。
ISMSとはInformation Security Management Systemの略語であり、日本語では情報セキュリティマネジメントと訳されます。これは企業における情報セキュリティ対策の仕組みのことです。

ISO27001では、ISMS構築に必要な方法や手順が要求事項となっています。
企業はこの要求事項にしたがって情報管理システムを構築して、社内で運用しなければなりません。また1年に1度の維持審査や、3年に1度の更新審査を受ける必要もあります。

このようにISO27001認証を受けていることは、第三者からのチェックを定期的に受けていることになります。

ISOとは

ISOとは、International Organization for Standardizationの略語であり、日本語では国際標準化機構と訳されます。製品などの大きさ・品質・機能・安全性など、さまざまな観点で国際的な基準を設けて、標準化させることを目的としています。これにより、国際間の取引をスムーズにさせる狙いがあります。

また形のある製品だけでなく、なんらかの活動を管理するための仕組みにもISO規格が設けられています。これはマネジメントシステム規格とよばれ、ISO9001（品質マネジメントシステム）やISO14001（環境マネジメントシステム）などがあります。

ISOは国際的な規格ですが、これらを日本国内において円滑に使えるように邦訳され、日本の国家規格として発行されているのが、JIS規格です。

ISO27001を取得する必要性

ISO27001はISOが定めた情報マネジメントシステムの規格のことです。情報セキュリティに関する組織的な活動の仕組みのことであり、自社にとっても、以下の理由で必要となることがあります。

それぞれを詳しく見ていきましょう。

取引先との取引の条件としてISO27001が求められる場合

取引先の企業に対して、情報セキュリティ対策がしっかりしていることを求める場合、ISO27001を取得していることを条件とすることがあります。多くの企業にとって情報セキュリティ対策は必要不可欠なものです。

自社だけでなく取引先に対しても、ISO27001を取得できる程度の情報セキュリティ対策が行われていることを求めるのは、高度化してきているサイバー攻撃から被害を未然に防ぐためには必須といえるでしょう。

また公共関連の仕事では、入札条件や評価ポイントとして、ISO27001の取得があげられることもあり、このような仕事を受注するために取得は必須といえるでしょう。

個人情報や機密情報などの漏洩が許されない情報を取り扱っている場合

一般の消費者を顧客としている事業をしている会社では、個人情報の取り扱いを避けることはできません。もしそのような企業が個人情報を漏洩してしまうと、社会的な責任だけでなく、金銭的な賠償にも発展するおそれもあります。

しかし自社が自らルールを作って情報セキュリティ対策を行おうと思っても、その対策が適切かどうかの判断は難しく、かなりの負担になることも事実です。

そこでISO27001の基準にしたがって体系的に取り組むことで、情報セキュリティに詳しくない企業でも、ある程度の情報セキュリティ対策を取ることが可能となります。

ISO27001の概要

ここで一般財団法人 日本品質保証機構のWebサイトを元にISO27001の概要についてざっと紹介します。

ISO27001の対象となる組織

ISO27001の対象となる組織には特に制限はありません。業種や業態に関わらずすべての組織が利用して認証を取得できます。

ISO27001の狙い

ISO27001の狙いは次の2つです。

ISO27001の認証取得の効果

ISO27001を取得することで得られる効果として、以下のものが挙げられます。

ISO27001の構成

ISO27001の構成は以下のとおりです。

ISO27001認証取得の流れ

ISO27001認証を取得するまでの流れは以下の通りです。

1. 適用範囲の決定

まずISO27001をどの部署・組織で取得するか決めます。

2. プロジェクトチームを結成

ISO27001の取得を目指すプロジェクトチームを結成します。トップマネジメントを中心にリーダーとメンバーを決めます。

3. 情報セキュリティポリシーを決定

会社に求められる情報セキュリティポリシーを決定します。

4. 認証機関の選択

全国に26あるISMSの認証機関から一つを選択します。

5. ISMS体制の構築

認証機関を決めたら、社内でISMS体制を構築します。ISMS管理責任者とISMS内部監査責任者の二人を決めます。ISMS管理責任者はISMSの構築・維持・報告を担当し、ISMS内部監査責任者は監査の実施や結果報告を担当します。

6. リスクアセスメント

自社のすべての情報資産を整理して情報資産台帳に記載します。この情報資産台帳をもとに、リスクアセスメントを実施します。

7. 従業員教育

ISMS認証の取得範囲にいる従業員への教育を実施します。研修やeラーニングなどを用いて、従業員の情報セキュリティリテラシーを向上させます。

8. 内部監査

申請に先立って社内で内部監査を実施します。客観的な評価を得るために、別部署の社員などに依頼して、適切に対応できているか確認します。

9. マネジメントレビュー

ISMSが適切に運用されているか、トップマネジメントがレビューします。

10. 認定審査を受ける

決定した認証機関にISMSを申請して審査を受けます。

11. 継続的なPDCAサイクルを回す

ISMSの有効期間は3年、1年ごとの定期審査、3年目の更新審査があります。取得後も継続的にISMSに取り組むなどPDCAサイクルを回すことが重要です。

ISO27001の活用事例

ISO27001の活用事例として、LRMがコンサルティングさせていただいたウォンテッドリー株式会社様の事例を紹介します。

ISO27001認証取得のきっかけ

ウォンテッドリー株式会社様では、「情報の取扱いにおける社会的責任を果たす体制を構築する」ことを目的に、ISMS認証取得を開始しました。

もともとエンジニア主体だった同社は、情報セキュリティ対策を中心にしたルール構築をしていましたが、より外部から見えやすい第三者認証として、自社の文化との整合性を踏まえてISMS認証を選択したそうです。

ISO27001認証取得に向けて取り組んだこと

同社は「最短距離の最大社会的インパクト」をポリシーとしているため、従業員の生産性を非常に重視し、ルールにも合理性を求めます。また一方で、ISMS認証取得の目的として「情報の取扱いにおける社会的責任を果たす体制を構築する」ことを持っているため、そことのバランスをとることも肝要でした。

インフラチームのエンジニア1名で認証取得活動を開始し、必要性に応じてセールスやコーポレート部門からも仲間を増やし、最終的には6名でのISMS事務局としての取り組みとなっていきました。

生産性を損なわないISO27001認証取得

ウォンテッドリー株式会社様での認証取得で注力されたのは、情報資産の洗い出しとリスクアセスメントです。クラウドサービスのアカウント管理、自宅での私物PC利用、名刺管理…といったことへのルールを逐一設定していきました。

自走できる体制を目指したため、なるべく自社でのルール作りをし、LRMのコンサルタントが担当したのはタスク洗い出し、スケジュール設定といったプロジェクトの交通整理です。

その結果、必要最小限の工数で無事ISO27001認証取得を果たしました。

こちらのページでインタビューを掲載していますので、あわせてご覧ください。

まとめ

企業にとって情報セキュリティを強化することは、もはや当たり前となっています。ISO27001 認証の取得は、そのための手段として大いに有効活用できるものであり、社外の顧客や取引先に対してセキュリティ対策の高さのアピールにも役立ちます。自社の情報セキュリティ対策が不十分であるとお考えの方は、ISO27001 認証の取得も一つの方法といえるでしょう。