取引先からの信頼獲得のために　情報セキュリティの「ISMS認証」について知ろう

サイバー攻撃による機密情報や個人情報の流出が相次いでいます。

サイバーセキュリティが非常に重視されるようになった今、大企業だけでなく中小企業でも対策をしっかりしていかなければなりませんし、情報セキュリティをどれだけ講じているかが取引先からの信頼関係にも繋がるようになっています。

そして、自社の情報セキュリティが一定の水準を満たしていることを証明してくれる国際規格があります。

「ISMS認証」と呼ばれるものです。

ISMS認証を受けていることは企業にとって良いアピールポイントになります。

ここではISMS認証の概要をご説明します。

ISMS認証とは

まず「ISMS」とは、Information Security Management System（情報セキュリティマネジメントシステム）の略です。

ひとくちに「情報セキュリティ」と言っても、具体的には3つの要素があります。

　　(出所：一般社団法人情報マネジメントシステム認定センター「ISMS適合性評価制度」) 
　　https://isms.jp/doc/JIP-ISMS120-71.pdf p2

それぞれ具体的には、

情報が漏えいしないようにし（機密性）、

改ざんや誤りがないようにし（完全性）、

そして必要なときに必要な人が利用できるようにする（可用性）

というものです。情報セキュリティの維持には、情報流出への対策だけではなく、その運用も大切です。

また、技術的な要素だけでなく、従業員への教育や訓練、組織体制の整備なども要件として含まれています。

ISMS認証の重要性

企業における情報セキュリティの高さは、取引先からも重視されています。

三菱UFJリサーチ&コンサルティングの調査によれば、発注元企業から情報セキュリティに関する条項を提示されたり義務付けられたりすることが「大きく増加している(12.5%)」、「やや増加している(38.9%)」との結果が得られています。

　　(出所：三菱UFJリサーチ&コンサルティング「中小企業における情報セキュリティ対策の最新動向
　　　　～脅威の認識が難しい中でも、対策を普及させるため必要な施策とは～」)
　　https://www.murc.jp/wp-content/uploads/2024/05/seiken_240516_01.pdf p13

情報セキュリティも取引の条件になりつつあるのです。

その具体的な内容は下の通りです。

　　(出所：三菱UFJリサーチ&コンサルティング「中小企業における情報セキュリティ対策の最新動向
　　　　～脅威の認識が難しい中でも、対策を普及させるため必要な施策とは～」
　　https://www.murc.jp/wp-content/uploads/2024/05/seiken_240516_01.pdf p13

機密保持(86.3%)は当然のことですが、ISMSなどの認証取得の依頼・要件化(13.7%)というのも一定の割合で意識されています。

一方で中小企業では、自社が情報セキュリティ被害に遭う可能性を感じている企業が4割以上にのぼっているものの、半数近くは「対策の必要性を感じたことがない」としています。

　　(出所：三菱UFJリサーチ&コンサルティング「中小企業における情報セキュリティ対策の最新動向
　　　～脅威の認識が難しい中でも、対策を普及させるため必要な施策とは～」
　　https://www.murc.jp/wp-content/uploads/2024/05/seiken_240516_01.pdf p6

「企業規模が小さくターゲットにされないと思うため」というのがおもな理由ですが、それは誤った認識です。

　　三菱UFJリサーチ&コンサルティング「中小企業における情報セキュリティ対策の最新動向
　　～脅威の認識が難しい中でも、対策を普及させるため必要な施策とは～
　　https://www.murc.jp/wp-content/uploads/2024/05/seiken_240516_01.pdf p8

中小企業ほど狙われやすいという事実

警察庁の統計によると、2024(令和6年)にランサムウェア(ファイルを暗号化し、解除の条件として金銭を要求するサイバー攻撃)の被害に遭った企業の規模と業種は下のようになっています。

　　https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6kami/R06_kami_
　　cyber_jousei.pdf p36

被害の多くは、じつは中小企業に集中しているということがわかります。

よって、甘く考えることはできません。

「ISMS認証」は国際規格

このような中、ISMS認証を取得することは、取引上の信頼もそうですが、実際に一定のセキュリティ体制を構築できるだけでなく、社内の意識を高めることにも繋がります。

実際、ISMSの導入により、下のような効果が得られています。

　　(出所：一般社団法人情報マネジメントシステム認定センター「ISMS適合性評価制度」)
　　https://isms.jp/doc/JIP-ISMS120-71.pdf p6

実際にセキュリティが高まった、あるいは組織の中でセキュリティに関する意識が高まった、管理体制ができるようになった、といったことはもちろんですが、多くの企業に「顧客からの信頼関係に貢献した」「企業イメージの向上に貢献した」という恩恵をもたらしていることがわかります。

ISMS認証を受けるには

では、ISMS認証を受けるにはどのような手続きが必要かをご紹介します。

まず認証のための適合評価は、下のようなしくみになっています。

　　(出所：一般財団法人日本情報経済社会推進協会
　　　　　「ISMS/ITSMS/BCMS/CSMS認証を取得するには」)
　　https://www.jipdec.or.jp/project/smpo/ninsyou.html

企業がISMS認証を取得しようとする時、まず相談や申請をする相手は「認定された認証機関」です。

「認定された認証機関」とは、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)による認定を受けた特定の団体や企業です。

ネットで「ISMS認証」を検索すると多くの企業が出てきますが、一般社団法人情報マネジメントシステム認定センター（ISMS-AC）の認定を受けていない団体や企業を通じて申請すると、自社のホームページなどに認定シンボルマークを使用できないので注意が必要です。

なお、2024年9月27日時点でISMS認証機関と認定されているのは以下の団体および企業です。

　　(出所：一般社団法人情報マネジメントシステム認定センター「ISMS認証機関一覧」)
　　https://isms.jp/lst/isr/index.html

申請からISMS認証登録までには、最短で3~4か月かかります。

また、ISMS認証の取得範囲には制限がありません。例えば事業部・部・課単位、プロジェクト単位といった範囲で認証を取得することも可能ですので、優先順位をつけて必要性の高い部門でまず認証を受ける、という選択肢もあります。

中小企業には取り入れやすい選択肢でしょう。

現代ではサプライチェーン全体がネットワークでつながり、サイバー攻撃の入り口はどこにあるかわからなくなっています。

直接攻撃を受けていなくても被害の理由が取引先にあったり、逆に取引先が受けたサイバー攻撃が自社に影響を及ぼすこともありえます。

安心して取引ができる環境を作るためにも、自社の認定取得や、認定を取得している相手を積極的に選んでいく、という意識が必要です。

　　一般財団法人日本情報経済社会推進協会「FAQ2：認証取得条件」
　　https://www.jipdec.or.jp/project/smpo/FAQ2.html
　　一般財団法人日本情報経済社会推進協会「ISMS/ITSMS/BCMS/CSMS認証を取得するには」
　　https://www.jipdec.or.jp/project/smpo/ninsyou.html

＜清水 沙矢香＞

2002年京都大学理学部卒業後、TBSに主に報道記者として勤務。社会部記者として事件・事故、テクノロジー、経済部記者として各種市場・産業など幅広く取材、その後フリー。

取材経験や各種統計の分析を元に多数メディアに寄稿中。