一般財団法人日本情報経済社会推進協会
セキュリティマネジメント推進室　室長　 郡司　哲也

• 「IT-Report 2025 Spring」全文はこちらから別ウインドウで開く

2024年12月、一般社団法人情報マネジメントシステム認定センター（ISMS-AC）が認定した認証機関による認証件数が、8,000件を超えました。2001年に通商産業省（当時）のパイロット事業として開始されたISMS適合性評価制度ですが、開始から約24年で認証件数が8,000件を超えたという点で、世界的に見ても誇るべき数字であると思います。そこで今回は、これからISMS認証を取得したいという方や、ISMS認証ってどんなもの？という方（ついでに、ISMS認証を分かっているつもりになっていたが今更聞けないという立場の方）に向けて、ISMS適合性評価制度を紹介したいと思います。

ISMS認証に限らず、主に製造業を営む組織などが取得しているISO 9001認証（Quality Management System：品質マネジメントシステム）などに代表される「ISO＋番号＋認証」で呼ばれているものは、ISO（国際標準化機構）が発行する国際規格で規定されている「要求事項（Requirement）」に対して、認証を取得したい企業や組織がその要求事項に適合しているか、第三者である認証機関が審査をする仕組みです。

ISMS認証は、ISO/IEC 27001（JIS Q 27001）という情報セキュリティマネジメントシステムの要求事項を規定した規格に基づき、組織の対応状況を第三者である認証機関が審査し、要求事項に適合していることを証明するものです。認証された証として、組織に認証文書（いわゆる「認証登録証」）が発行されます。

さて、ここで重要となるのが、第三者である認証機関の公平性や能力です。実は、ISMS認証を取得したい組織がISO/IEC 27001で規定される要求事項を満たすことと同様に、ISMS認証審査を行う認証機関に対する要求事項も、国際規格で規定されており、ISMS認証機関の公平性や認証審査員の力量などについても定められています。では、ISMS認証機関が規格の要求事項を満たしていることを、誰が保証するのでしょうか。そこで登場するのが認定機関です。ISMS認証機関がISMS認証を取得したい組織の審査を行うのと同じように、認定機関はISMS認証機関として活動したい機関を審査し、認定するという役割を担っています。さらに、認定機関に対する要求事項も、別の国際規格で規定されています。このように、ISMS認証に関わるさまざまな事項は国際規格で定められており、ISMS認証が公平かつ適切に実施されることを担保する全体の仕組みのことを「ISMS適合性評価制度」と呼びます。

認証件数が8,000件を超え、今やIT業界では認証を持っていることがB２Bの常識になりつつあるISMS認証ですが、誤解された認識も少なくありません。そこで、ISMS認証の「誤解あるある」をいくつか紹介したいと思います。

ISMS認証の特徴の一つとして、情報セキュリティの「管理策」という考え方があります。ISO/IEC 27001には、要求事項を規定した本文のほかに「附属書A」というパートがあり、情報セキュリティのための管理策のリストが添付されています。よくある勘違いの一つが、「附属書Aの管理策を全部実施すればOK」や「附属書Aの管理策の中から好きなものが選べる」などの解釈です。附属書Aの正しい使い方は、組織が情報セキュリティのリスクを評価し、その結果情報セキュリティ対策としてこういう対策を行うことにしました、という具体的な対策に漏れがないかを確認するために参照する、いわばお手本のリストとしての利用です。もし、「管理策は附属書Aから選べばいいんですよ」というようなことを言う方がいたら、それはISMS認証を誤解していると疑ったほうが良いかもしれません。

ISMS適合性評価制度の生い立ちは、確かに2001年に始まった通商産業省（当時）のプロジェクトでした。しかし、ISMS適合性評価制度に関わる全ての認定機関、認証機関は民間企業で構成されており、法律による制度ではありません。公共機関による入札事業などで、入札要件に「ISMS認証を取得していること」云々が記載されていることがありますが、これは、公共機関が応札企業に求める情報セキュリティ対策を推し量るものさしでしかありません。B２Bで情報システムの開発業務を外部委託する際に、相手方にISMS認証の取得有無を確認するのと同じです。

誤解というのとは少し違うのですが、あちこちで見かける「第三者認証」という言葉は、ISO規格に基づく適合性評価制度の普及を担っている身としては常々、正しく使っていただきたいと思っているところです。なぜなら、「認証（certification）」という行為についてもISO規格で明確に定義されていて、そこでは、第三者による公平な審査のことを指しているからです。そのため、ISO規格に基づく適合性評価制度を説明しているような場面で「第三者認証」と言ってしまうと、「頭痛が痛い」とか「激しく激突」のようなくどさを感じてしまいます。一般的な意味での「認証」と、ISO規格に基づく適合性評価制度での「認証」には、大きな違いがあるのです。

蛇足になりますが、皆さんは「フラダンス」というと、ハワイの伝統的な歌と踊りを思い浮かべると思います。ところが、「フラ」とはハワイ語で「踊る」とか「ダンス」という意味なんだそうです。フラダンスという日本語は、ハワイの方からすると「踊る踊る」とか「ダンスダンス」という感じになってしまうらしいです。ちょっとおかしいですよね。このコラムをここまで読んでいただいた方は、「そもそも、ISO規格でいう認証とはですねぇ…」と、ぜひこのトリビアも一緒に披露してみてください。でも、同僚やお客様に引かれない程度で、ほどほどに。（笑）

以上、ISMS認証を含む、全体的な仕組みとしての「ISMS適合性評価制度」をご紹介しました。JIPDECは、ISMS適合性評価制度の開始時から制度運用に関わってきましたが、現在は関連法人であるISMS-ACが認定事業を行い、JIPDECは制度普及を行っています。ISMS-ACでは、情報セキュリティ分野だけではなく、複数のマネジメントシステム認証の認定を実施しており、今春からは新たにAIマネジメントシステム認証の認定を開始する予定です¹。AIマネジメン トシステムについても、今後IT-Reportでご紹介する予定です。お楽しみに！

• 1　「AIマネジメントシステムの認証を対象とした認定の開始について」（2025年１月31日、ISMS-AC）別ウインドウで開く