column お役立ちコンテンツ

ISMS

規格解説

ISMS認証規格の種類(ISO27001など)とPマークとの違いを分かりやすく解説!

ISMSとISOの違い

ISMSとISO27001の違い

『ISMS』と『ISO27001』は似ていて混同しますが、同じものではありません。

『ISMS』は(Information Security Management System)の略で「情報セキュリティマネジメントシステム」と呼ばれ、セキュリティ管理の仕組みそのものを表す言葉です。

一方『ISO27001』はISMSを組織内でどう運用していくかを規格として定めたものです。

ISMSの規格にはいくつか種類がありますが、『ISO27001』は情報セキュリティの3要素である「機密性」「完全性」「可用性」をバランス的よくマネジメントして、情報をいかに有効活用できるかを示した国際規格です。

ISO27001はISMSと呼ばれることも多く、近年ではほぼ同義として扱われていますが、正確には仕組みと規格であるという違いについては覚えておきましょう。

ISMS規格の種類

ISMS規格はISO27001が有名ですが、一口にISMS規格と言っても、実は種類が豊富で、それぞれ特徴が異なります。ISMS規格には、主に以下の2シリーズがあります。

1. ISO/IEC 27000シリーズ

国際標準化機構 (ISO) と国際電気標準会議 (IEC) が共同で制定した、ISMSに関する国際規格群です。ISMSを導入するための要求事項や指針を定めており、ISMS認証取得の基準にもなっています。

代表的な規格は以下の通りです。

  • ISO/IEC 27001:2005年に初版が発行された規格。組織の情報セキュリティ管理が一定の水準を満たしていることを認定する「ISMS認証」の要求事項を定義している。日本では2006年に「JIS Q 27001」として同等の国内規格が発行されている。

  • ISO/IEC 27002:情報セキュリティ管理を実践するためのベストプラクティス(実践規範)をまとめた規格。英国規格の「BS 7799」を元に2000年に策定された「ISO/IEC 17799」が2005年に改訂され、規格番号が改められISO/IEC 27000シリーズに編入された。日本では2006年に同等の内容が「JIS Q 27002」として発行されている。

  • ISO/IEC 27018:クラウドサービス(パブリッククラウド:複数の利用者がクラウド環境を共有する運用形態)上での個人情報保護に関する国際規格(ガイドライン)のことです。2014年に ISO (国際標準化機構)によって制定されました。

2. JIS Q 27000シリーズ

日本産業規格(JIS規格)の一つで、情報セキュリティマネジメントシステム(ISMS)についてのベストプラクティスやガイドラインをまとめたもの。国際標準のISO/IEC 27000シリーズと同等の内容となっている。

代表的な規格は以下の通りです。

  • JIS Q 27001:2005年に発行されたISO/IEC 27001と同等の内容を定めた国内規格で、2006年に発行された。規格名称は「情報セキュリティ、サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項」

  • JIS Q 27002:2005年に発行されたISO/IEC 27002と同等の内容を定めた国内規格で、2006年に発行された。規格名称は「情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範」。ISO/IEC 17799をもとに策定されたJIS X 5080の改訂版。

ISMSとPマークの違い

ISMSとPマークの違い

情報を保護するという目的で運用されている認証制度に、Pマークというものがあります。これはプライバシーマークと呼ばれる認証制度で、日本情報経済社会推進協会が運用しています。

これも情報を保護するための制度ですので、広義ではISMSに関する認証制度の一つと言えます。しかし、通常ISMSの認証とされるISO27001と比べると、明確な違いがあります。

ISMSとPマークの保護対象の違い

ISMSとPマークの違いは、情報管理や保護をする対象範囲が異なるという点です。

ISMS『お客様や利用者の個人データ』『企業自身の機密情報』など、情報すべてをどのように管理、保護するかを定めた規格
Pマーク『個人情報』の管理、保護を対象とする
ISMSとPマークの保護対象の違い

また、認証される地域にも違いがあります。ISO27001は国際規格ですので、国を越えて適用できるものとなっています。Pマークは日本国内で運用される制度です、海外向けサービスを展開している日本企業にとっては優位性の持てる証とはいえないでしょう。

他にも、認証される範囲が異なる点にも注目できます。ISOは、企業や団体の中で、情報システム部門のみや、いずれかの工場のみといった形で特定の部署だけに適用することができます。一方で、Pマークは企業全体に適用されるものですので、すべての部署が基準を満たしている必要があります。

ISMS規格の何を取得すべき?

情報セキュリティへの関心が高まる中、企業としてセキュリティ対策に取り組むことは必須と言えるでしょう。しかし、具体的な対策として何をすべきか、特に認証取得については、多くの企業が頭を悩ませているのではないでしょうか。

企業の目的によって一概にどちらを取得すべきと断言できるものではありませんので、『自社ではどうして情報セキュリティに組織的に取り組むのか?』を整理して検討すべきでしょう。