ISMS
基本知識
ISMS(ISO27001)の認証取得企業の多い業種と取得企業の実例
1.ISMS認証取得企業で多い業種
ISMS認証取得している企業で多い業種は以下の通りです。
- 情報技術業
- サービス業
- 建設業
ISMS認証取得企業についての統計を行っている「情報マネジメントシステム認定センター」によると、認証取得企業で最も多い業種は「情報技術業」で、全体の約58パーセント程です。
※「情報マネジメントシステム認定センター(ISMS-AC)」は日本国内におけるISMS審査機関を認定する唯一の機関です。各国には、それぞれ独自のISMS認定機関が存在します。
IT企業は単に顧客情報を取り扱うというだけでなく、その情報を管理するためのシステムを提供する立場にあります。
より高度なセキュリティマネジメントが求められるため、ニーズが高くなっているわけです。
情報技術業の企業の次に多い業種としては、サービス業があります。
ホテル業を始めとした、多くの顧客についての情報を収集する企業は、信用がなによりも業績に反映されるビジネスです。
情報リスクに対応するための施策として、ISMS(ISO27001)の取得を検討する企業が多いのです。
2.ISMS認証を取得した企業例
事例1)情報通信業(従業員数15名・1拠点)
まったく知識がなくて不安でしたが、4か月でISMS(ISO27001)取得。
システムの受託開発をする当社にとって、情報セキュリティは顧客からの信頼に直結する最重要課題でした。
しかし、ISMS(ISO27001)について知識がなく、セキュリティ対策の専門家でない私たちだけで、本当にISMSの要求事項を満たせるのかという不安もありました。
そこで、ISMSコンサルタントに相談しました。
コンサルタントは、ISMSの基礎知識から丁寧に教えてくれ、当社の状況に合わせた具体的な計画を提案してくれました。
自社で新たに作成した書類も少なく時間がかかるイメージとは少し違うことに驚きました。
ISMS文書の作成から運用体制の構築まで、親身になって支援してくれたおかげで、不安を抱えながらも、わずか4ヶ月でISMS認証を取得することができました。
事例2)建設業(従業員数50名・2拠点)
早期取得を実現!おかげで取引先からの要望に応えることができました。
近年、公共工事の入札条件としてISMS認証取得が求められるケースが増え、当社も対応を迫られていました。
しかし、認証取得には時間と費用がかかるイメージがあり、二の足を踏んでいました。
特に、工事現場で使用する図面や設計情報、顧客の個人情報などが含まれる書類やデータが大量にあり自社のリソースだけでの取得は難しいだろうと判断しました。
そこで、ISMSコンサルタントに相談し、短期間で効率的に認証取得できるサポートを受けることにしました。
コンサルタントの丁寧な指導のもと、わずか3ヶ月で認証を取得できました。
おかげで、これまで参加できなかった入札に参加できるようになり、受注機会が大幅に拡大しました。また、情報セキュリティ対策が強化されたことで、顧客からの信頼も高まり、ビジネスチャンスが広がっています。
事例3)サービス業(従業員数20名・1拠点)
費用と取得期間が分かりづらくて不安でしたが、分かりやすいサポート内容で頼んでよかったです。
個人情報を扱う当社にとって、ISMS認証取得は喫緊の課題でした。
顧客情報の漏洩は企業の信用失墜に直結するため、新たな市場参入への障壁となっており、ISMS認証取得は、顧客や取引先からの信頼を高め、ビジネス拡大の鍵となると考えていました。
しかし、コンサルタントサービスは費用や取得期間が不明瞭で、小規模の当社では明確な費用概算が必要でした。
「認証取得サポートセンター」は、コンサル費用のシュミレーションが出来て分かりやすかったので相談しました。
当社の状況に合わせた具体的な費用と期間を提示してくれ、ISMSの構築から運用まで丁寧にサポートしてくれました。その結果、スムーズに認証を取得できました。
顧客からの信頼も向上し、新規顧客獲得や既存顧客との取引拡大に期待しています。
3.ISMS認証取得のステップ
ISMS認証(ISO27001)を取得するには、情報セキュリティに関する社内体制の構築や、情報資産のリスクアセスメントの実施など、8つのステップを踏む必要があります。
それぞれのステップで必要な作業は多岐にわたり、専門的な知識も必要となるため、初めてISMS認証取得を目指す企業にとってはハードルが高いと感じるかもしれません。
ISMS認証取得までの具体的なステップについては、別記事「 ISMS取得までに必要な8項目!取得方法から流れまでの完全ガイド 」で詳しく解説しています。ぜひ、こちらの記事も参考にして、ISMS認証取得の準備を進めてください。
4.ISMS認証取得が必要な企業の特徴
自社がISMS認証を取得するかどうかを考えるに当たって、自社が取得の必要性の高い業種かを知ることは重要です。
具体的に、必要性の高い企業の特徴をチェックしてみましょう。
情報セキュリティのリスクが高い業種
国や自治体を相手にしたシステムやアプリ、インフラなどを提供しているケースを挙げることができます。こうした企業はどうしてもサイバー攻撃のリスクが高くなりますし、データに触れる作業者の数も増えるためです。
また、そこまでのレベルではなくとも、BtoBをメインとしている企業であれば、より情報セキュリティリスクが高いと言えるでしょう。1件あたりの情報の機密性が高まるからです。
国際的なビジネスを展開する企業
国内だけでなく、海外にまで事業を展開している企業も、ISO27001を取るメリットが大きいです。ISMS認証を取ることで、国際的な信用を得られるからです。
同時に、国を跨いでさまざまな場所に拠点があると、管理ルールがバラバラになったり、ITスキルや意識のレベルが下がったりすることがあります。
その対策としては、国境に左右されず、全世界的に統一できるルールを持つことが鍵となります。
国際規格であるISO27001を適用することは、非常に効果的な方法となるわけです。
顧客情報を大量に扱う企業
サービス業を含め、大量の顧客情報を収集して保管する企業は、それだけで情報セキュリティのリスクが高いと言えます。
また、効率よく情報を管理できないと、無駄な業務が多くなってしまいます。
ISMS認証を取ることによって、安全性を確保すると同時に、より効率的なデータの取り扱いを行うシステムを導入でき、効率化を図れます。
さらに、人材のITスキルの向上を促すことになり、マンパワーの充実によってスムーズな情報処理ができるようになる点にも期待できます。
5.まとめ
ISMS認証は、特に情報技術系やサービス系の業種にメリットが大きいことが分かります。認証取得に当たっては、計画を策定し、ルールを決めた後は、現場で運用して分析と内部監査、そして改善策の提示を行うといったステップを踏んでいきます。
ISMS(ISO27001)は一度取ったら自動的に継続されるわけではなく、維持していくための審査を繰り返し受ける必要もあります。
少なくとも初めての取得の場合は自社だけでは対応するのが難しいので、経験が豊富なコンサルタントを頼って、スムーズに審査をパスできるようにするのがベストです。
上手にサポートを受けながら、企業としての情報セキュリティマネジメント力を高めていきましょう。