株式会社アイ・ティ・アール
取締役 / プリンシパル・アナリスト　　入谷　光浩氏

本レポートでは、一般財団法人日本情報経済社会推進協会（以下、JIPDEC）が2026年1月に実施した「企業IT利活用動向調査2026」（調査協力：株式会社アイ・ティ・アール）集計結果の中から、プライバシーマークとISMS認証を中心に第三者機関による認証の取得状況について調査した結果を分析している。

• 調査概要、分析レポート全文はこちら

プライバシーマークとISMS認証の取得状況について質問を行った。まず、2024年調査から2026年調査までのプライバシーマークの取得状況を見てみる（図48）。「取得済みであり、今後も継続予定」の割合は2024年調査の49.4%から2025年調査では44.5%へと低下したものの、2026年調査では50.0%へと回復している。約2社に1社が取得済みで継続を予定しており、プライバシーマークが企業における個人情報保護への取り組みの証明として定着していることが示されている。

「取得済みだが、今後の継続はしない予定」は2024年調査の17.3%から2026年調査では14.8%へと低下傾向にあり、取得を維持する企業の割合が相対的に安定していることがうかがえる。「今後取得する予定」は14.0%と一定程度存在しており、新規取得を目指す企業も引き続き見られる。

プライバシーマークの取得状況について業種別に見てみる（図49）。「取得済みであり、今後も継続予定」の割合が最も高いのは情報通信（65.7%）であり、金融・保険（62.0%）がこれに続いている。この2つの業種は全体平均（50.0%）を大きく上回っており、個人情報を大量に取り扱う業務特性や、顧客・取引先からの信頼確保の必要性が、プライバシーマーク取得を強く後押ししていると考えられる。

プライバシーマークの取得状況について従業員規模別に見てみる（図50）。「取得済みであり、今後も継続予定」の割合は5,000人以上で70.5%と最も高く、1,000～4,999人（57.9%）がこれに続いており、大企業ではプライバシーマークが個人情報保護の基盤的な認証として広く定着していることがわかる。一方、300～999人では40.9%、299人以下では32.8%と、規模が小さくなるにつれて取得済み継続割合が大きく低下している。

次に、2024年調査から2026年調査までのISMS認証の取得状況を見てみる（図51）。「取得済みであり、今後も継続予定」の割合は2024年調査の38.1%から2025年調査では33.8%へと低下したものの、2026年調査では39.3%へと回復しており、プライバシーマークと同様に情報セキュリティマネジメントの基盤的な認証として一定の水準を維持していることがわかる。「取得済みだが、今後の継続はしない予定」は2024年調査の24.5%から2026年調査では22.4%へと低下傾向にあり、取得を維持する企業の割合が相対的に安定していることがうかがえる。

次にISMS認証の取得状況について業種別に見てみる（図52）。「取得済みであり、今後も継続予定」の割合が最も高いのは情報通信（58.6%）であり、金融・保険（53.3%）がこれに続いている。この2つの業種は全体平均（39.3%）を大きく上回っており、情報資産の保護が事業の根幹に関わる業種特性や、顧客・取引先からの信頼確保の必要性がISMS認証取得を強く後押ししていると考えられる。プライバシーマークでも同様の傾向が見られており、この2つの業種が情報セキュリティ・プライバシー保護の両面で先行していることが改めて示されている。

ISMS認証の取得状況について、従業員規模別に見てみる（図53）。「取得済みであり、今後も継続予定」の割合は5,000人以上で56.2%と最も高く、1,000～4,999人（45.2%）がこれに続いており、大企業ではISMS認証が情報セキュリティマネジメントの基盤的な認証として広く定着していることがわかる。一方、300～999人では33.1%、299人以下では24.9%と、規模が小さくなるにつれて「取得済みであり、今後も継続予定」の割合が大きく低下している。

プライバシーマークとISMS認証はどのような背景や動機があって取得しているのだろうか。プライバシーマークでは「主要取引先や顧客から取得を要請されたため」が最も高く、「入札・契約条件として取得が求められたため」がこれに続いている。取引関係における要件充足が取得の主要動機となっており、自発的な取り組みよりも外部からの要請に応じる形で取得が進んでいる実態が浮かび上がっている（図54）。

ISMS認証も同様の傾向にあるが、「入札・契約条件として取得が求められたため」がプライバシーマークを上回っており、公的な入札案件や企業間取引においてISMS認証が契約要件として位置付けられているケースが多いことがうかがえる（図55）。

プライバシーマーク/ISMS認証ともに、「情報セキュリティ対策を強化するため」や「コンプライアンス管理体制を強化するため」も一定程度挙げられており、外部要請への対応だけでなく、自社の内部管理体制の強化を目的とした取得も見られる。一方、「社会やステークホルダーからの信頼性を高めるため」や「営業上の差別化やブランド価値向上のため」は相対的に低い水準にとどまっており、両認証の取得がまだ外部要件への受動的な対応にとどまり、戦略的な価値創出として位置付けている企業は限定的であることが示されている。

プライバシーマークとISMS認証を取得したことでどのような効果が出ているのだろうか。まず、2024年調査から2026年調査までのプライバシーマークの取得による効果を見てみる（図56）。「取引先からの信頼性が向上した」が3年連続で最上位を維持しているものの、2024年調査の64.9%から2026年調査では58.3%へと低下傾向にある。「消費者からの信頼性が向上した」も同様に緩やかな低下傾向が見られる。

一方、上昇傾向にある項目も複数見られる。「社内の情報セキュリティ体制が整備できた」は15.6%から19.1%へと年々上昇しており、プライバシーマーク取得が対外的な信頼向上にとどまらず、社内のセキュリティ管理体制の整備にも寄与していることがうかがえる。「従業員の情報セキュリティやコンプライアンスに対する意識が向上した」や「セキュリティインシデントの発見・対応が迅速化した」も上昇しており、セキュリティ強化にも寄与していることが示されている。

次に、2024年調査から2026年調査までのISMS認証の取得による効果を見てみる（図57）。プライバシーマークと同様に「取引先からの信頼性が向上した」が高い水準にあるものの、2024年調査の52.5%から2026年調査では47.5%へと低下傾向にある。「消費者からの信頼性が向上した」も同様の傾向を示しており、対外的な信頼向上効果は一定程度定着した段階にあると考えられる。

一方、上昇傾向にある項目も複数見られる。「社内の情報セキュリティ体制が整備できた」は14.0%から20.1%へと大幅に上昇しており、ISMS認証取得が社内のセキュリティ管理体制の整備に寄与していることが明確に示されている。「従業員の情報セキュリティやコンプライアンスに対する意識が向上した」や「セキュリティインシデントの発見・対応が迅速化した」も上昇しており、社内の実効的なセキュリティ強化へと広がっていることがうかがえる。この傾向はプライバシーマークと共通しており、両制度とも社内への波及効果が高まっていることが示されている。

機密情報を扱う業務の委託事業者を選定する際に重視する点について質問を行った（図58）。「第三者機関の認定／認証を取得していること（プライバシーマークやISMS認証など）」は3年連続で最上位を維持しており、委託先選定においてプライバシーマークやISMS認証などの第三者認証が最も重視される基準として定着していることがわかる。約4割の企業が最重要基準として位置付けており、認証取得が委託事業者としての信頼性確保に直結していることが改めて示されている。

「データ侵害などインシデントが発生した時の緊急の体制と対策が整備されていること」は28.4%から33.4%へと大幅に上昇しており、ランサムウェアをはじめとするサイバー攻撃リスクの高まりを背景に、委託先のインシデント対応体制の整備を重視する企業が着実に増えていることがうかがえる。「業界のセキュリティに関する基準やガイドラインに準拠して管理していること」も23.3%から25.9%へと上昇しており、業界固有のセキュリティ基準への適合を委託先選定の条件として重視する傾向が強まっている。

クラウドサービスを選定する際に、重視するサービス提供事業者のセキュリティやデータ保護に関する取り組みについて質問を行った（図59）。「不正アクセス対策」が最も重視される項目として最上位を維持しており、「データセンターの物理的セキュリティ対策」「セキュリティに関する第三者認証制度の取得」がこれに続いている。クラウドサービス選定においても、委託事業者の選定と同様に第三者認証が重要な選定基準として広く認識されていることがわかる。

ランサムウェアをはじめとするサイバー攻撃によるシステム障害やデータ暗号化のインシデントが増加していることもあり、「障害検知・復旧対策」や「データ滅失対策」、「セキュリティインシデントが発生した時の利用者側での対応手順のマニュアル化」など、インシデントからの復旧対策も重視されるようになっている。

次に、クラウドサービスを選定する際、サービス提供事業者が取得している第三者評価をどの程度重視するかを、5つの第三者評価について質問を行った（図60）。すべての第三者評価において「非常に重視する」と「重視する」の合計が80%前後に達しており、クラウドサービス選定において第三者評価・認証が広く重視されていることがわかる。

「非常に重視する」の割合が最も高いのはプライバシーマーク（39.7%）であり、ISMSクラウドセキュリティ認証（35.2%）、ISMS認証（33.8%）がこれに続いている。プライバシーマークはクラウドサービスの選定においても個人情報保護への対応を示す指標として最も強く重視されており、個人データを扱うクラウドサービスにおけるプライバシー保護への関心の高さが反映されていると考えられる。ISMS認証は「非常に重視する」の割合こそプライバシーマークを下回るものの、「重視する」の割合が49.3%と全項目中最も高く、「非常に重視する」と「重視する」の合計では83.1%に達している。情報セキュリティマネジメントの基盤的な認証として、クラウドサービス選定における幅広い層での重視度が高いことがうかがえる。

本章では、第三者認証制度の取得状況について調査結果を分析した。そこから得られた考察を以下にまとめる。

1．プライバシーマークとISMS認証は裾野を広げていくことが求められる： プライバシーマークとISMS認証の両制度ともに取得済み継続割合が回復傾向にあり、大企業を中心に広く普及している。一方、中小企業や一部の業種では取得率が低く、認知・活用の格差が残っており、認証取得の裾野を広げていくことが重要な課題となっている。

2．認証取得の動機は外部要請への対応が主であり、戦略的活用への転換が求められる： プライバシーマーク、ISMS認証ともに、取引先や顧客からの要請、入札・契約条件への対応が取得の主要動機となっており、自発的・戦略的な取り組みとして位置付けている企業はまだ限定的である。一方、取得による効果として社内のセキュリティ体制整備や従業員意識の向上が着実に上昇しており、認証取得を単なる要件充足にとどめず、組織能力の強化や企業価値向上につなげる視点を持つことが今後の重要な方向性となっている。

3．委託先・クラウド事業者の選定において第三者認証が最重要基準として定着している： 機密情報を扱う業務委託先の選定でも、クラウドサービスの選定においても、第三者認証の取得が最も重視される基準として定着している。加えて、インシデント対応体制の整備を重視する企業が増加傾向にあり、サイバー攻撃リスクの高まりを背景にサプライチェーン全体でのセキュリティ水準の確保に対する要求が高まっていることが示されている。

4．認証の対外的な信頼向上効果は定着しつつあり、社内への実効的な波及効果の拡大が次の課題となる： プライバシーマークとISMS認証の両制度において取引先からの信頼性の向上という対外的な効果の割合は緩やかに低下している一方、社内の情報セキュリティ体制の整備やインシデント対応の迅速化といった社内への実効的な波及効果が着実に上昇している。認証取得を契機に、組織全体のセキュリティ文化の醸成と継続的な改善サイクルの定着へとつなげていくことが、今後の重要な取り組みとなっている。

本内容は、筆者自身の調査分析に基づく個人的見解で、JIPDECの公式見解を述べたものではありません。